关于OpenLDAP和AD帐号的整合,网上有大量的文档,绝大多数都不符合我们的需求,下面的方案是我经过调研、测试、修改、最终采用的。

. 需求概述

公司网络中有两种帐号:OpenLDAP帐号和AD帐号,用户需要记住两套密码,需要修改系统让用户只需要记住一套密码。

.
需求分析

本方案主要解决使用便利性问题:用户只需要记一个密码,就可登录相关系统。

根据已知的信息,Exchange邮件系统只能用AD认证,因此,最终的密码必须用AD的密码。具体有如下几个方法:

)用AD替换OpenLDAP

)OpenLDAP作为代理,将访问指向Windows
AD

)OpenLDAP只修改userPassword的属性,使它的值由Windows
AD提供,其它设置不变

)存在下述问题:

目前运行的一些系统只兼容AD或OpenLDAP中的一种,如果用其中一种替换另一种,会造成这些系统无法认证,修复起来需要大量时间,比如:CI。造成这种情况的原因是OpenLDAP与AD的差异性:属性、组、DN、权限管理等;

如果OpenLDAP设置为AD的代理,产生的问题和上面相同;

)对于当前的情况更可行一些。

.
方案概述

OpenLDAP内置了对于SASL的支持,本方案基于以下文档,但是去除了导出ADca证书、与OpenLDAP
ca证书整合的部分:

http://blogs.msdn.com/b/alextch/archive/2012/04/25/configuring-openldap-pass-through-authentication-to-active-directory.aspx

经过后期测试,不需要导出AD
ca证书也能实现相关功能。

.1
AD配置

1创建bind帐号

在ou=Users,dc=gkkxd,dc=com下建立一个英文的普通帐号,比如:

cn=saslauthd,ou=Users,dc=gkkxd,dc=com

3.2
OpenLDAP配置

1)配置SASLAUTHD

安装sasl2

配置sasl2,采用ldap认证,
ldap_servers填写AD地址,ldap_bind_dn填写之前创建的帐号

2)修改帐号的userPassword

把用户帐号的userPassword值改为
{SASL}用户名@域名
这样的形式,例如:{SASL}hupeng@gkkxd.com,即可让该帐号使用AD的密码。

3.3其它工作

1)确保使用AD密码的OpenLDAP帐号在AD上有同名帐号

2)修改OpenLDAP管理系统的密码修改功能,使其能将用户密码设置为采用AD密码

3)通知用AD密码认证的用户统一通过exchange
owa进行密码的修改

[系统集成] OpenLDAP使用AD密码的更多相关文章

  1. 12-openldap使用AD密码

    阅读视图 本文严重参考 Openldap 整合windows AD认证 本文其他参考 OpenLDAP使用AD密码 Configuring OpenLDAP pass-through authenti ...

  2. gitlab 接入 openldap、AD

    =============================================== 20171009_第2次修改                       ccb_warlock === ...

  3. sharepoint 修改AD密码

    sharepoint 修改AD密码 下面是添加添加“空元素”代码: 第一个<CustomAction>是添加修改密码项目 第二个<CustomAction>是添加js修改脚本 ...

  4. 在泛微系统中修改AD密码的配置

    参照文档: Windows server 2008 R2 安装AD域证书:https://blog.csdn.net/zhuyongru/article/details/81107839 配置泛微OA ...

  5. Python 修改AD密码

    前提条件: AD 已开启证书服务(最重要的一句话). import ldap3 SERVER = 'adserver' BASEDN = "DC=example,DC=com" U ...

  6. SharePoint 2010中重置windows 活动目录(AD)域用户密码的WebPart(免费下载)

    由于SharePoint 2013推出不久,并非所有的企业都会升级到SharePoint 2013的,毕竟升级不是打打补丁这么简单,更多的企业还是使用Sharepoint 2010版本的,因此本人自行 ...

  7. SharePoint 2013中修改windows 活动目录(AD)域用户密码的WebPart(免费下载)

    前段时间工作很忙,好久没更新博客了,趁国庆休假期间,整理了两个之前积累很实用的企业集成组件,并在真正的大型项目中经受住了考验:.Net版SAP RFC适配器组件和SharePoint 2013修改AD ...

  8. 烦烦烦SharePoint2013 以其他用户登录和修改AD域用户密码

    sharepoint默认是没有修改AD密码 和切换 用户的功能,这里我用future的方式来实现. 部署wsp前: 部署后 点击以其他用户身份登录 点击修改用户密码: 这里的扩展才菜单我们用Custo ...

  9. web更改AD用户密码

    web更改AD用户密码 #web更改AD密码 #网站配置 绑定域名ad.test.cn 功能,更改AD用户密码 #参考http://bbs.51cto.com/thread-1379675-1.htm ...

随机推荐

  1. progresql - 常用的管理命令

    1.查看当前数据库实例的版本 Select version(); 2.查看数据库的启动时间 Select pg_postmaster_start_time(); 3.查看最后load配置文件的时间 s ...

  2. JavaScript的Date对象

    整理了一些JavaScript时间的对象,如下所示: toLocaleString()得到当前的年月日和时间的字符串 toLocaleTimeString() 得到当前的时间字符串 toLocaleD ...

  3. cookie预:

    什么是cookie? cookie 是存储于访问者的计算机中的变量.每当同一台计算机通过浏览器请求某个页面时,就会发送这个 cookie.你可以使用 JavaScript 来创建和取回 cookie ...

  4. YUV格式&像素

    一幅彩色图像的基本要素是什么? 说白了,一幅图像包括的基本东西就是二进制数据,其容量大小实质即为二进制数据的多少.一幅1920x1080像素的YUV422的图像,大小是1920X1080X2=4147 ...

  5. CSS3判断手机横屏竖屏

    原理: 当用户旋转屏幕的时候,会进入到你的监听方法中,然后通过window.orientation来获取当前屏幕的状态:0 - 竖屏90 - 逆时针旋转横屏-90 - 顺时针旋转横屏180 - 竖屏, ...

  6. NetworkComms V3 之自定义对象

    NetworkComms网络通信框架序言 能够发送自定义对象,并且在发送的时候对发送的对象进行加密,压缩是networkComms v3框架的一个重要特性. 具体可以参考源码中 ExampleCons ...

  7. MySQL:日期函数、时间函数总结

    MySQL 获得当前日期时间 函数 获得当前日期+时间(date + time)函数:now() mysql> select now(); +---------------------+ | n ...

  8. JavaWeb chapter 8 过滤器

    1.  一个中间组件,用于拦截源数据和目的数据之间的消息,过滤二者之间传递的数据: 2.  Servlet过滤器是驻留在Web服务器上的Web组件,过滤从客户端传递到服务器端的请求和相应. 3.  多 ...

  9. 《算法竞赛入门经典》5.41数学基础-Cantor的数表

    如下数列,第一项是1/1,第二项是1/2,第三项是2/1,第四项是3/1,第五项是2/2,…….输入n,输出第n项.1/1   1/2   1/3   1/4   1/52/1   2/2   2/3 ...

  10. IT公司100题-28-整数的二进制表示中1的个数

    问题描述: 输入一个整数n,求n的二进制表示中,一共有多少个1.例如n=8,二进制表示为00001000,二进制表示中有1个1.     分析: 如果一个数n不为0,那么n-1的二进制表示,与n的二进 ...