Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
-- Linux User #452368 http://twitter.com/vpadro
"Everything that irritates us about others can lead us to an understanding of ourselves"
Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
-- Linux User #452368 http://twitter.com/vpadro
"Everything that irritates us about others can lead us to an understanding of ourselves"
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
-- Linux User #452368 http://twitter.com/vpadro
"Everything that irritates us about others can lead us to an understanding of ourselves"
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
-- Linux User #452368 http://twitter.com/vpadro
"Everything that irritates us about others can lead us to an understanding of ourselves"
CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
-- Linux User #452368 http://twitter.com/vpadro
"Everything that irritates us about others can lead us to an understanding of ourselves" _______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
Jorge García garsan@gmail.com escribió:
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista.
Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra!
He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones.
http://wiki.centos.org/HowTos/DirectoryServerSetup
Creo que el mayor problema es la migracion o manejo de las politicas.
Que pueden decirme al respecto?
Slds Michel
---------------------------------------------- Webmail, servicio de correo electronico Casa de las Americas - La Habana, Cuba.
Se qeu con esto me voy a llevar palos por todas partes XD Pero tengo qeu decir, es que el AD de microsoft es muy bueno y sencillo.
De las pocas cosas que tiene Microsoft.
Lo malo es qeu con un AD, meter un linux, es muy complicado.
Sin embargo, al revés, es ams sencillo auqneu la configuración inicial lleve un poco de mas trabajo.
Yo nunca tuve que hacerlo, pero si administré un dominio con Fedora - DS, en el cuál el entorno era mixto, Linux y windows y funcionaba muy bien.
Un saludo.
----- Mensaje original ---- De: "michel@casa.co.cu" michel@casa.co.cu Para: centos-es@centos.org Enviado: mié,28 julio, 2010 03:38 Asunto: Re: [CentOS-es] Migración del Directorio Activo
Jorge García garsan@gmail.com escribió:
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo mismo me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de un servidor que se me esta quedando obsoleto en cuanto a Harware se refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista.
Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra!
He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones.
http://wiki.centos.org/HowTos/DirectoryServerSetup
Creo que el mayor problema es la migracion o manejo de las politicas.
Que pueden decirme al respecto?
Slds Michel
---------------------------------------------- Webmail, servicio de correo electronico Casa de las Americas - La Habana, Cuba.
_______________________________________________ CentOS-es mailing list CentOS-es@centos.org http://lists.centos.org/mailman/listinfo/centos-es
No he llegado a probarlo, pero tenía por ahí guardado desde hace mucho este enlace, tal vez sirva para algo; como dice el propio artículo, no es AD, son las antiguas System Policies, pero entiendo que con un emulador de NT4 es lo más a qué se va a poder llegar (al menos hasta que Samba-4 nos ofrezca otras posibilidades):
http://wiki.samba.org/index.php/Implementing_System_Policies_with_Samba
Este otro enlace también cuenta cosas que podrían ser de interés (me ha parecido):
http://www.linuxactionshow.com/forum/comments.php?DiscussionID=238
Esta otra gente tiene una solución, de pago, por lo que parece:
Esta discusión también me ha parecido interesante:
https://bbs.archlinux.org/viewtopic.php?id=53597
El caso es que como dice Mónica, en efecto AD es una de las pocas cosas buenas de M$ a efectos funcionales (al margen de cómo este hecho por dentro) y no es tan fácil emularlo por completo, no digamos ya con la misma facilidad de configuración (a Dios lo que es de Dios, a M$ lo que es de M$).
Saludos.
Saludos, hermanos.
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de michel@casa.co.cu Enviado el: martes, 27 de julio de 2010 09:39 p.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] Migración del Directorio Activo
Jorge García garsan@gmail.com escribió:
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo
mismo
me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de
un
servidor que se me esta quedando obsoleto en cuanto a Harware se
refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista.
Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra!
He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones.
http://wiki.centos.org/HowTos/DirectoryServerSetup
Creo que el mayor problema es la migracion o manejo de las politicas.
Que pueden decirme al respecto?
Slds Michel
Michel y demás hermanos, migrar un AD no es sencillo si se desea migrar a los usuarios sin tener que pasar a re-establecer su contraseña (yo he pasado por eso y es bastante pesado). Yo tengo poca experiencia en estos temas, lo que puedo aportar es lo siguiente:
Monta un Fedora (ahora 389) Directory Server (los paquetes están en el Repo de EPEL y Alcance Libre), el proceso de instalación es sencillo. Luego de que tengas todo OK, entonces procede a crear el certificado para asegurar tus conexiones LDAP (por el puerto 686) y especifícale en el servidor que solamente acepte conexiones seguras, en el lado del cliente ejecutas openssl con algunas opciones y apuntando al puerto 686 del servidor LDAP para extraerle el certificado al mismo para que el cliente se conecte sin problemas, claro está que tendrías que configurar el cliente LDAP después.
Luego asegúrate que tu W2K3 tenga su Entidad Emisora de Certificados y su AD tenga su certificado. Si todo está OK, entonces tiene que obtener ambos certificados (en el Wincows es un .pki y en el Linux es un .p12 si la memoria no me falla) para añadirlos a ambos servidores. Con esto hecho tienes que establecer un Acuerdo de Sincronización en el 389DS para así poder sincronizar el 389 con los usuarios del AD.
Si todo lo anterior es exitoso, tienes que montar en en Windows el PassSync y configurarlo para que en cuanto haya algún cambio de contraseña por parte de un usuario, pues, que el PassSync la capture y se la mande al 389DS (esto es debido a que la función de Hash de los passwords en Wincows no es igual a la de Linux y, dicho sea de paso, el password no se guarda en la entrada del usuario en el AD), hay varios modos de forzar a los usuarios a que cambien sus pass, uno de ellos (el que más me gusta) es por las políticas de cambio de pass.
Una vez obtenidos todos los datos de los usuarios, entonces es que montar en tu Linux el smbldap-tools. Claro, entre un amigo y yo lo modificamos (sin saber ni K de phyton ni perl) para que convirtiera las entradas ntUser obtenidas del AD en entradas posixAccount y sambaSAMAccount para que nos pudieran servir para los usuarios (se imaginas casi 1000 usuarios pasando por el sistema para poner contraseñas, un verdadero dolor de cabeza).
Esto fue lo que hicimos por allá por el año 2007 para resolver el problema de la migración, claro, de eso ya casi no me acuerdo nada porque me desentendí de eso. XD Ya saben, cuando uno se pone viejo la memoria falla. XD Sí sé que tengo esos papeles con los apuntes tirados en algún rincón de mi casa llenándose de polvo.
:)
--
Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
Héctor Suárez Planas bolodia@medired.scu.sld.cu escribió:
Saludos, hermanos.
-----Mensaje original----- De: centos-es-bounces@centos.org [mailto:centos-es-bounces@centos.org] En nombre de michel@casa.co.cu Enviado el: martes, 27 de julio de 2010 09:39 p.m. Para: centos-es@centos.org Asunto: Re: [CentOS-es] Migración del Directorio Activo
Jorge García garsan@gmail.com escribió:
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo
mismo
me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de
un
servidor que se me esta quedando obsoleto en cuanto a Harware se
refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista.
Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra!
He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones.
http://wiki.centos.org/HowTos/DirectoryServerSetup
Creo que el mayor problema es la migracion o manejo de las politicas.
Que pueden decirme al respecto?
Slds Michel
Michel y demás hermanos, migrar un AD no es sencillo si se desea migrar a los usuarios sin tener que pasar a re-establecer su contraseña (yo he pasado por eso y es bastante pesado). Yo tengo poca experiencia en estos temas, lo que puedo aportar es lo siguiente:
Monta un Fedora (ahora 389) Directory Server (los paquetes están en el Repo de EPEL y Alcance Libre), el proceso de instalación es sencillo. Luego de que tengas todo OK, entonces procede a crear el certificado para asegurar tus conexiones LDAP (por el puerto 686) y especifícale en el servidor que solamente acepte conexiones seguras, en el lado del cliente ejecutas openssl con algunas opciones y apuntando al puerto 686 del servidor LDAP para extraerle el certificado al mismo para que el cliente se conecte sin problemas, claro está que tendrías que configurar el cliente LDAP después.
Luego asegúrate que tu W2K3 tenga su Entidad Emisora de Certificados y su AD tenga su certificado. Si todo está OK, entonces tiene que obtener ambos certificados (en el Wincows es un .pki y en el Linux es un .p12 si la memoria no me falla) para añadirlos a ambos servidores. Con esto hecho tienes que establecer un Acuerdo de Sincronización en el 389DS para así poder sincronizar el 389 con los usuarios del AD.
Si todo lo anterior es exitoso, tienes que montar en en Windows el PassSync y configurarlo para que en cuanto haya algún cambio de contraseña por parte de un usuario, pues, que el PassSync la capture y se la mande al 389DS (esto es debido a que la función de Hash de los passwords en Wincows no es igual a la de Linux y, dicho sea de paso, el password no se guarda en la entrada del usuario en el AD), hay varios modos de forzar a los usuarios a que cambien sus pass, uno de ellos (el que más me gusta) es por las políticas de cambio de pass.
Una vez obtenidos todos los datos de los usuarios, entonces es que montar en tu Linux el smbldap-tools. Claro, entre un amigo y yo lo modificamos (sin saber ni K de phyton ni perl) para que convirtiera las entradas ntUser obtenidas del AD en entradas posixAccount y sambaSAMAccount para que nos pudieran servir para los usuarios (se imaginas casi 1000 usuarios pasando por el sistema para poner contraseñas, un verdadero dolor de cabeza).
Esto fue lo que hicimos por allá por el año 2007 para resolver el problema de la migración, claro, de eso ya casi no me acuerdo nada porque me desentendí de eso. XD Ya saben, cuando uno se pone viejo la memoria falla. XD Sí sé que tengo esos papeles con los apuntes tirados en algún rincón de mi casa llenándose de polvo.
:)
Hola , es cierto que el Directorio Activo es una de las mejores cosas que tiene M$, sus funcionalidades no podrán ser reemplazadas al 100% como suele ser el manejo de politicas entre otras cosas en linux.
Es probable que para futuras versiones del Directory Server vayan incorporando estas y otras funcionalidades. como bien menciono Arturo con Samba se puede implementar la carga de scripts al inicio entre otras.
Hector buen trabajo el que realizastes,esos apuntes merecen ser desempolvados.. :-)
Me pregunto si se mantiene la misma filosofia de restablecer la contraseña para cada usuario asi como con las maquinas , como saben cada maquina que se encuentre agregada al dominio tiene una cuenta en el Directorio Activo.
Tendré que crear dichas cuentas en el nuevo DS sacando cada maquina del dominio y volviendolas a entrar?
Asi como actualizar los registros DNS para que apunten al nuevo controlador de dominio?
Recuerden que tambien debo migrar el DNS desde M$ para linux, pero este lo hare nuevo por completo.
Slds Michel
---------------------------------------------- Webmail, servicio de correo electronico Casa de las Americas - La Habana, Cuba.
Saludos, hermanos.
Jorge García garsan@gmail.com escribió:
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com
escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo
mismo
me gustaria preguntar sobre este mismo tema como hago para migrar
un
servidor con centos 5.5 con ldap + Samba que autentica usuarios,
de
un
servidor que se me esta quedando obsoleto en cuanto a Harware se
refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió: > Realmente hay que ver que tantas politicas/servicios utilizas en
ese
> dominio porque si nada mas lo usas para el DNS, DHCP, y > authentificacion de usuarios, no creo que sea necesario crear un > dominio, si no con un servidor en CentOS con los servicios de
LDAP,
> DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3,
sin
> embargo como se que tienen limitado su acceso a internet te hago > llegar un pdf que te ayudara muchisimo. > > > Saludos.
Con smbldap-tools podrias hacer la migracion, sin embargo
recomendaria
hacer un laboratorio antes y hacer las pruebas correspondientes
antes
de tirar el Servidor y levantar el nuevo.
Saludos.
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna
opción?
Quiero agradecer a todos aquellos que respondieron rapidamente mi correo a la lista.
Mis intenciones no son de migrar de la noche a la mañana , montare un lab para ir haciendo pruebas, no hay presion en la migración, pero de que hay que migrarlo eso ya esta planificado desde hace mucho y ahora es tiempo de hacerlo , asi que manos a la obra!
He podido ver que existe un proyecto que ya me mencionaron en un correo, Directory Server el mismo esta disponible en el repositorio de CentOS , en la seccion de Extras. me pregunto si alguien quizas lo tenga implementado y funcionando desde algun tiempo, que pueda darme sus referencias y opiniones.
http://wiki.centos.org/HowTos/DirectoryServerSetup
Creo que el mayor problema es la migracion o manejo de las politicas.
Que pueden decirme al respecto?
Slds Michel
Michel y demás hermanos, migrar un AD no es sencillo si se desea migrar
a
los usuarios sin tener que pasar a re-establecer su contraseña (yo he
pasado
por eso y es bastante pesado). Yo tengo poca experiencia en estos temas,
lo
que puedo aportar es lo siguiente:
Monta un Fedora (ahora 389) Directory Server (los paquetes están en el
Repo
de EPEL y Alcance Libre), el proceso de instalación es sencillo. Luego
de
que tengas todo OK, entonces procede a crear el certificado para
asegurar
tus conexiones LDAP (por el puerto 686) y especifícale en el servidor
que
solamente acepte conexiones seguras, en el lado del cliente ejecutas
openssl
con algunas opciones y apuntando al puerto 686 del servidor LDAP para extraerle el certificado al mismo para que el cliente se conecte sin problemas, claro está que tendrías que configurar el cliente LDAP
después.
Luego asegúrate que tu W2K3 tenga su Entidad Emisora de Certificados y
su AD
tenga su certificado. Si todo está OK, entonces tiene que obtener ambos certificados (en el Wincows es un .pki y en el Linux es un .p12 si la memoria no me falla) para añadirlos a ambos servidores. Con esto hecho tienes que establecer un Acuerdo de Sincronización en el 389DS para así poder sincronizar el 389 con los usuarios del AD.
Si todo lo anterior es exitoso, tienes que montar en en Windows el
PassSync
y configurarlo para que en cuanto haya algún cambio de contraseña por
parte
de un usuario, pues, que el PassSync la capture y se la mande al 389DS
(esto
es debido a que la función de Hash de los passwords en Wincows no es
igual a
la de Linux y, dicho sea de paso, el password no se guarda en la entrada
del
usuario en el AD), hay varios modos de forzar a los usuarios a que
cambien
sus pass, uno de ellos (el que más me gusta) es por las políticas de
cambio
de pass.
Una vez obtenidos todos los datos de los usuarios, entonces es que
montar en
tu Linux el smbldap-tools. Claro, entre un amigo y yo lo modificamos
(sin
saber ni K de phyton ni perl) para que convirtiera las entradas ntUser obtenidas del AD en entradas posixAccount y sambaSAMAccount para que nos pudieran servir para los usuarios (se imaginas casi 1000 usuarios
pasando
por el sistema para poner contraseñas, un verdadero dolor de cabeza).
Esto fue lo que hicimos por allá por el año 2007 para resolver el
problema
de la migración, claro, de eso ya casi no me acuerdo nada porque me desentendí de eso. XD Ya saben, cuando uno se pone viejo la memoria
falla.
XD Sí sé que tengo esos papeles con los apuntes tirados en algún rincón
de
mi casa llenándose de polvo.
:)
Hola , es cierto que el Directorio Activo es una de las mejores cosas que tiene M$, sus funcionalidades no podrán ser reemplazadas al 100% como suele ser el manejo de politicas entre otras cosas en linux.
Tienes razón, la cosa es montar varios elementos en Linux para poder medio acercarse al AD, el mismo es la unión de varias cosas:
- LDAP - SMB - Kerberos - Objetos de Políticas de Grupo
En Linux se pueden hacer perfectamente las dos o tres primeras cosas, para la parte de las GPO ya la historia es diferente.
Es probable que para futuras versiones del Directory Server vayan incorporando estas y otras funcionalidades. como bien menciono Arturo con Samba se puede implementar la carga de scripts al inicio entre otras.
Sí.
Hector buen trabajo el que realizastes,esos apuntes merecen ser desempolvados.. :-)
Oh, menudo trabajo ese. XDDD
Me pregunto si se mantiene la misma filosofia de restablecer la contraseña para cada usuario asi como con las maquinas , como saben cada maquina que se encuentre agregada al dominio tiene una cuenta en el Directorio Activo.
Como te dije, con el Acuerdo de Sincronización establecido y funcionando (para las nuevas entradas del AD) y el PassSync capturando los passwords resuelves el problema. Ahora bien, los datos de las PCs obtenidos no te servirán, así que tendrás que asumir la inclusión de las mismas, aunque no sé si se puede modificar el script de las smbldap-tools para convertir las entradas de PCs en entradas sambaSAMAccount (el nombre de usuario con el $ como sufijo).
Tendré que crear dichas cuentas en el nuevo DS sacando cada maquina del dominio y volviendolas a entrar?
Como te dije antes, sí. ;)
Asi como actualizar los registros DNS para que apunten al nuevo controlador de dominio?
Sí, tienes que tener establecido la IP para el dominio para que las PCs no se pierdan.
Recuerden que tambien debo migrar el DNS desde M$ para linux, pero este lo hare nuevo por completo.
Bueno, puedes usar el archivo que genera el DNS del Wincows, te adelanto que genera un archivo un poco churroso (desorganizado), con unos cuantos cambios el BIND se lo traga bien.
Slds Michel
--
Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
...
Jorge García garsan@gmail.com escribió:
El 27 de julio de 2010 12:23, Victor Padro vpadro@gmail.com escribió:
2010/7/27 Alejandro Marin Maturano amarin@impi.gob.mx:
Oigan bueno veo que para este si hay mucha gente que sabe y por lo
mismo
me gustaria preguntar sobre este mismo tema como hago para migrar un servidor con centos 5.5 con ldap + Samba que autentica usuarios, de
un
servidor que se me esta quedando obsoleto en cuanto a Harware se
refiere.
saludos
El 27/07/10 12:09, Victor Padro escribió:
Realmente hay que ver que tantas politicas/servicios utilizas en ese dominio porque si nada mas lo usas para el DNS, DHCP, y authentificacion de usuarios, no creo que sea necesario crear un dominio, si no con un servidor en CentOS con los servicios de LDAP, DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin embargo como se que tienen limitado su acceso a internet te hago llegar un pdf que te ayudara muchisimo.
Saludos.
Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria hacer un laboratorio antes y hacer las pruebas correspondientes antes de tirar el Servidor y levantar el nuevo.
Saludos.
El "problema" es la gestión de políticas (GPO), hasta la fecha no he encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
Sí, Nitrobit Group Policy, lo malo es que tienes que entrenar el bolsillo. XDD
Está muy bueno para establecer las GPO en Wincows. Ah, te sirve también en un AD. El tipo no cree.
XD
--
Este mensaje le ha llegado mediante el servicio de correo electronico que ofrece Infomed para respaldar el cumplimiento de las misiones del Sistema Nacional de Salud. La persona que envia este correo asume el compromiso de usar el servicio a tales fines y cumplir con las regulaciones establecidas
Infomed: http://www.sld.cu/
-
Alejandro Marin Maturano -
Arturo Limón -
Héctor Suárez Planas -
Jorge García -
michel@casa.co.cu -
Monica BM -
Victor Padro