关于OpenLDAP和AD帐号的整合,网上有大量的文档,绝大多数都不符合我们的需求,下面的方案是我经过调研、测试、修改、最终采用的。
. 需求概述
公司网络中有两种帐号:OpenLDAP帐号和AD帐号,用户需要记住两套密码,需要修改系统让用户只需要记住一套密码。
.
需求分析
本方案主要解决使用便利性问题:用户只需要记一个密码,就可登录相关系统。
根据已知的信息,Exchange邮件系统只能用AD认证,因此,最终的密码必须用AD的密码。具体有如下几个方法:
)用AD替换OpenLDAP
)OpenLDAP作为代理,将访问指向Windows
AD
)OpenLDAP只修改userPassword的属性,使它的值由Windows
AD提供,其它设置不变
)存在下述问题:
目前运行的一些系统只兼容AD或OpenLDAP中的一种,如果用其中一种替换另一种,会造成这些系统无法认证,修复起来需要大量时间,比如:CI。造成这种情况的原因是OpenLDAP与AD的差异性:属性、组、DN、权限管理等;
如果OpenLDAP设置为AD的代理,产生的问题和上面相同;
)对于当前的情况更可行一些。
.
方案概述
OpenLDAP内置了对于SASL的支持,本方案基于以下文档,但是去除了导出ADca证书、与OpenLDAP
ca证书整合的部分:
经过后期测试,不需要导出AD
ca证书也能实现相关功能。
.1
AD配置
1)创建bind帐号
在ou=Users,dc=gkkxd,dc=com下建立一个英文的普通帐号,比如:
cn=saslauthd,ou=Users,dc=gkkxd,dc=com
3.2
OpenLDAP配置
1)配置SASLAUTHD
安装sasl2
配置sasl2,采用ldap认证,
ldap_servers填写AD地址,ldap_bind_dn填写之前创建的帐号
2)修改帐号的userPassword
把用户帐号的userPassword值改为
{SASL}用户名@域名
这样的形式,例如:{SASL}hupeng@gkkxd.com,即可让该帐号使用AD的密码。
3.3其它工作
1)确保使用AD密码的OpenLDAP帐号在AD上有同名帐号
2)修改OpenLDAP管理系统的密码修改功能,使其能将用户密码设置为采用AD密码
3)通知用AD密码认证的用户统一通过exchange
owa进行密码的修改
[系统集成] OpenLDAP使用AD密码的更多相关文章
-
12-openldap使用AD密码
阅读视图 本文严重参考 Openldap 整合windows AD认证 本文其他参考 OpenLDAP使用AD密码 Configuring OpenLDAP pass-through authenti ...
-
gitlab 接入 openldap、AD
=============================================== 20171009_第2次修改 ccb_warlock === ...
-
sharepoint 修改AD密码
sharepoint 修改AD密码 下面是添加添加“空元素”代码: 第一个<CustomAction>是添加修改密码项目 第二个<CustomAction>是添加js修改脚本 ...
-
在泛微系统中修改AD密码的配置
参照文档: Windows server 2008 R2 安装AD域证书:https://blog.csdn.net/zhuyongru/article/details/81107839 配置泛微OA ...
-
Python 修改AD密码
前提条件: AD 已开启证书服务(最重要的一句话). import ldap3 SERVER = 'adserver' BASEDN = "DC=example,DC=com" U ...
-
SharePoint 2010中重置windows 活动目录(AD)域用户密码的WebPart(免费下载)
由于SharePoint 2013推出不久,并非所有的企业都会升级到SharePoint 2013的,毕竟升级不是打打补丁这么简单,更多的企业还是使用Sharepoint 2010版本的,因此本人自行 ...
-
SharePoint 2013中修改windows 活动目录(AD)域用户密码的WebPart(免费下载)
前段时间工作很忙,好久没更新博客了,趁国庆休假期间,整理了两个之前积累很实用的企业集成组件,并在真正的大型项目中经受住了考验:.Net版SAP RFC适配器组件和SharePoint 2013修改AD ...
-
烦烦烦SharePoint2013 以其他用户登录和修改AD域用户密码
sharepoint默认是没有修改AD密码 和切换 用户的功能,这里我用future的方式来实现. 部署wsp前: 部署后 点击以其他用户身份登录 点击修改用户密码: 这里的扩展才菜单我们用Custo ...
-
web更改AD用户密码
web更改AD用户密码 #web更改AD密码 #网站配置 绑定域名ad.test.cn 功能,更改AD用户密码 #参考http://bbs.51cto.com/thread-1379675-1.htm ...
随机推荐
-
PHP读写大“二进制”文件,不必申请很大内存(fopen、fread、fwrite、fclose)
<?php /** * 读写大二进制文件,不必申请很大内存 * 只有读取到内容才创建文件 * 保证目录可写 * * @param string $srcPath 源文件路径 * @param s ...
-
地址(Address)——统一资源表示(URI)——WCF学习笔记(2)
统一资源标识(URI) URI:Uniform Resource Identifier(统一资源标识),唯一地标识一个网络资源的同时也表示资源所处的位置的方式(资源访问所用的网络协议). URI结构: ...
-
嵌入式 hi3518平台以太网网络模块设计包括重连机制和网线检测机制
<span style="font-family:Courier New;"> #include <sys/types.h> #include <st ...
-
Mysql 多列形成主键(复合主键 )
什么是数据表的复合主键 所谓的复合主键 就是指你表的主键含有一个以上的字段组成 比如 create table test ( name varchar(19), id number, ...
-
基于Java的Arc Engine二次开发的环境的配置
1.软件准备 ArcGIS for Desktop 10.2, Arc engine, jdk-7u60-windows-i586,Eclipse Mar2 2.软件的安装 2.1 ArcGIS fo ...
-
Asp.Net MVC Unobtrusive Ajax
1. Unobtrusive JavaScript介绍 说到Unobtrusive Ajax,就要谈谈UnobtrusiveJavaScript了,所谓Unobtrusive JavaScript ...
-
IPC rtsp转发服务器搭建
sudo apt-get install libmoose-perl liburi-perl libmoosex-getopt-perl libsocket6-perl libanyevent-per ...
-
thinkphp自动映射分析
thinkphp的字段映射功能可以隐藏表单中真正的字段名,自动映射到真正的数据库字段,如表单中input的提交的名字为mail,而数据库中存的是email实现的原理非常简单首先定义一个映射的数组,以下 ...
-
SpringBoot笔记十四:消息队列
目录 什么是消息队列 消息队列的作用 异步通信 应用解耦 流量削峰 RabbitMQ RabbitMQ流程简介 RabbitMQ的三种模式 安装RabbitMQ RabbitMQ交换器路由和队列的创建 ...
-
ajax后台输出有红点
转自 百度了很多,说有utf8的bom头,通过dw,sublime软件,各种清除格式无果. 后来直接在返回结果之前,执行一下ob_clean(); 完美解决问题