Héctor Suárez Planas bolodia@medired.scu.sld.cu escribió:
Saludos, hermanos.
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de michel@casa.co.cu Enviado el: martes, 27 de julio de 2010 09:39 p.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] Migración del Directorio Activo
Jorge García garsan@gmail.com escribió:
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo
mismo
me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de
un
servidor que se me esta quedando obsoleto en cuanto a Harware se
refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista.
Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra!
He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones.
http://wiki.centos.org/HowTos/DirectoryServerSetup
Creo que el mayor problema es la migracion o manejo de las politicas.
Que pueden decirme al respecto?
Slds Michel
Michel y demás hermanos, migrar un AD no es sencillo si se desea migrar a los usuarios sin tener que pasar a re-establecer su contraseña (yo he pasado por eso y es bastante pesado). Yo tengo poca experiencia en estos temas, lo que puedo aportar es lo siguiente:
Monta un Fedora (ahora 389) Directory Server (los paquetes están en el Repo de EPEL y Alcance Libre), el proceso de instalación es sencillo. Luego de que tengas todo OK, entonces procede a crear el certificado para asegurar tus conexiones LDAP (por el puerto 686) y especifícale en el servidor que solamente acepte conexiones seguras, en el lado del cliente ejecutas openssl con algunas opciones y apuntando al puerto 686 del servidor LDAP para extraerle el certificado al mismo para que el cliente se conecte sin problemas, claro está que tendrías que configurar el cliente LDAP después.
Luego asegúrate que tu W2K3 tenga su Entidad Emisora de Certificados y su AD tenga su certificado. Si todo está OK, entonces tiene que obtener ambos certificados (en el Wincows es un .pki y en el Linux es un .p12 si la memoria no me falla) para añadirlos a ambos servidores. Con esto hecho tienes que establecer un Acuerdo de Sincronización en el 389DS para así poder sincronizar el 389 con los usuarios del AD.
Si todo lo anterior es exitoso, tienes que montar en en Windows el PassSync y configurarlo para que en cuanto haya algún cambio de contraseña por parte de un usuario, pues, que el PassSync la capture y se la mande al 389DS (esto es debido a que la función de Hash de los passwords en Wincows no es igual a la de Linux y, dicho sea de paso, el password no se guarda en la entrada del usuario en el AD), hay varios modos de forzar a los usuarios a que cambien sus pass, uno de ellos (el que más me gusta) es por las políticas de cambio de pass.
Una vez obtenidos todos los datos de los usuarios, entonces es que montar en tu Linux el smbldap-tools. Claro, entre un amigo y yo lo modificamos (sin saber ni K de phyton ni perl) para que convirtiera las entradas ntUser obtenidas del AD en entradas posixAccount y sambaSAMAccount para que nos pudieran servir para los usuarios (se imaginas casi 1000 usuarios pasando por el sistema para poner contraseñas, un verdadero dolor de cabeza).
Esto fue lo que hicimos por allá por el año 2007 para resolver el problema de la migración, claro, de eso ya casi no me acuerdo nada porque me desentendí de eso. XD Ya saben, cuando uno se pone viejo la memoria falla. XD Sí sé que tengo esos papeles con los apuntes tirados en algún rincón de mi casa llenándose de polvo.
:)
Hola , es cierto que el Directorio Activo es una de las mejores cosas que tiene M$, sus funcionalidades no podrán ser reemplazadas al 100% como suele ser el manejo de politicas entre otras cosas en linux.
Es probable que para futuras versiones del Directory Server vayan incorporando estas y otras funcionalidades. como bien menciono Arturo con Samba se puede implementar la carga de scripts al inicio entre otras.
Hector buen trabajo el que realizastes,esos apuntes merecen ser desempolvados.. :-)
Me pregunto si se mantiene la misma filosofia de restablecer la contraseña para cada usuario asi como con las maquinas , como saben cada maquina que se encuentre agregada al dominio tiene una cuenta en el Directorio Activo.
Tendré que crear dichas cuentas en el nuevo DS sacando cada maquina del dominio y volviendolas a entrar?
Asi como actualizar los registros DNS para que apunten al nuevo controlador de dominio?
Recuerden que tambien debo migrar el DNS desde M$ para linux, pero este lo hare nuevo por completo.
Slds Michel
---------------------------------------------- Webmail, servicio de correo electronico Casa de las Americas - La Habana, Cuba.