[CentOS-es] Migración del Directorio Activo

michel en casa.co.cu michel en casa.co.cu
Mie Jul 28 19:07:07 EDT 2010 

Héctor Suárez Planas <bolodia en medired.scu.sld.cu> escribió:

> Saludos, hermanos.
>
>> -----Mensaje original-----
>> De: centos-es-bounces en centos.org [mailto:centos-es-bounces en centos.org] En
>> nombre de michel en casa.co.cu
>> Enviado el: martes, 27 de julio de 2010 09:39 p.m.
>> Para: centos-es en centos.org
>> Asunto: Re: [CentOS-es] Migración del Directorio Activo
>>
>> Jorge García <garsan en gmail.com> escribió:
>>
>> > El 27 de julio de 2010 12:23, Victor Padro <vpadro en gmail.com> escribió:
>> >
>> >> 2010/7/27 Alejandro Marin Maturano <amarin en impi.gob.mx>:
>> >> > Oigan bueno veo que para este si hay mucha gente que sabe y por lo
>> mismo
>> >> > me gustaria preguntar sobre este mismo tema como hago para migrar un
>> >> > servidor con centos 5.5 con ldap + Samba que autentica usuarios, de
>> un
>> >> > servidor que se me esta quedando obsoleto en cuanto a Harware se
>> refiere.
>> >> >
>> >> > saludos
>> >> >
>> >> >
>> >> >
>> >> > El 27/07/10 12:09, Victor Padro escribió:
>> >> >> Realmente hay que ver que tantas politicas/servicios utilizas en ese
>> >> >> dominio porque si nada mas lo usas para el DNS, DHCP, y
>> >> >> authentificacion de usuarios, no creo que sea necesario crear un
>> >> >> dominio, si no con un servidor en CentOS con los servicios de LDAP,
>> >> >> DNS, DHCP y Samba tienes para reemplazar a Windows Server 2K3, sin
>> >> >> embargo como se que tienen limitado su acceso a internet te hago
>> >> >> llegar un pdf que te ayudara muchisimo.
>> >> >>
>> >> >>
>> >> >> Saludos.
>> >> >
>> >>
>> >> Con smbldap-tools podrias hacer la migracion, sin embargo recomendaria
>> >> hacer un laboratorio antes y hacer las pruebas correspondientes antes
>> >> de tirar el Servidor y levantar el nuevo.
>> >>
>> >>
>> >> Saludos.
>> >>
>> >>
>> >
>> > El "problema" es la gestión de políticas (GPO), hasta la fecha no he
>> > encontrado nada que sustituya esa parte.¿Alguien sabe de alguna opción?
>> >
>>
>> Quiero agradecer a todos aquellos que respondieron rapidamente mi
>> correo a la lista.
>>
>> Mis intenciones no son de migrar de la noche a la mañana , montare un
>> lab para ir haciendo pruebas, no hay presion en la migración, pero de
>> que hay que migrarlo eso ya esta planificado desde hace mucho y ahora
>> es tiempo de hacerlo , asi que manos a la obra!
>>
>> He podido ver que existe un proyecto que ya me mencionaron en un
>> correo, Directory Server el mismo esta disponible en el repositorio de
>> CentOS , en la seccion de Extras. me pregunto si alguien quizas lo
>> tenga implementado y funcionando desde algun tiempo, que pueda darme
>> sus referencias y opiniones.
>>
>> http://wiki.centos.org/HowTos/DirectoryServerSetup
>>
>> Creo que el mayor problema es la migracion o manejo de las politicas.
>>
>> Que pueden decirme al respecto?
>>
>> Slds
>> Michel
>
> Michel y demás hermanos, migrar un AD no es sencillo si se desea migrar a
> los usuarios sin tener que pasar a re-establecer su contraseña (yo he pasado
> por eso y es bastante pesado). Yo tengo poca experiencia en estos temas, lo
> que puedo aportar es lo siguiente:
>
> Monta un Fedora (ahora 389) Directory Server (los paquetes están en el Repo
> de EPEL y Alcance Libre), el proceso de instalación es sencillo. Luego de
> que tengas todo OK, entonces procede a crear el certificado para asegurar
> tus conexiones LDAP (por el puerto 686) y especifícale en el servidor que
> solamente acepte conexiones seguras, en el lado del cliente ejecutas openssl
> con algunas opciones y apuntando al puerto 686 del servidor LDAP para
> extraerle el certificado al mismo para que el cliente se conecte sin
> problemas, claro está que tendrías que configurar el cliente LDAP después.
>
> Luego asegúrate que tu W2K3 tenga su Entidad Emisora de Certificados y su AD
> tenga su certificado. Si todo está OK, entonces tiene que obtener ambos
> certificados (en el Wincows es un .pki y en el Linux es un .p12 si la
> memoria no me falla) para añadirlos a ambos servidores. Con esto hecho
> tienes que establecer un Acuerdo de Sincronización en el 389DS para así
> poder sincronizar el 389 con los usuarios del AD.
>
> Si todo lo anterior es exitoso, tienes que montar en en Windows el PassSync
> y configurarlo para que en cuanto haya algún cambio de contraseña por parte
> de un usuario, pues, que el PassSync la capture y se la mande al 389DS (esto
> es debido a que la función de Hash de los passwords en Wincows no es igual a
> la de Linux y, dicho sea de paso, el password no se guarda en la entrada del
> usuario en el AD), hay varios modos de forzar a los usuarios a que cambien
> sus pass, uno de ellos (el que más me gusta) es por las políticas de cambio
> de pass.
>
> Una vez obtenidos todos los datos de los usuarios, entonces es que montar en
> tu Linux el smbldap-tools. Claro, entre un amigo y yo lo modificamos (sin
> saber ni K de phyton ni perl) para que convirtiera las entradas ntUser
> obtenidas del AD en entradas posixAccount y sambaSAMAccount para que nos
> pudieran servir para los usuarios (se imaginas casi 1000 usuarios pasando
> por el sistema para poner contraseñas, un verdadero dolor de cabeza).
>
> Esto fue lo que hicimos por allá por el año 2007 para resolver el problema
> de la migración, claro, de eso ya casi no me acuerdo nada porque me
> desentendí de eso. XD Ya saben, cuando uno se pone viejo la memoria falla.
> XD Sí sé que tengo esos papeles con los apuntes tirados en algún rincón de
> mi casa llenándose de polvo.
>
> :)
>


Hola , es cierto que el Directorio Activo es una de las mejores cosas  
que tiene M$, sus funcionalidades no podrán ser reemplazadas al 100%  
como suele ser el manejo de politicas entre otras cosas en linux.

Es probable que para futuras versiones del Directory Server vayan  
incorporando estas y otras funcionalidades. como bien menciono Arturo  
con Samba se puede implementar la carga de scripts al inicio entre  
otras.

Hector buen trabajo el que realizastes,esos apuntes merecen ser  
desempolvados.. :-)

Me pregunto si se mantiene la misma filosofia de restablecer la  
contraseña para cada usuario asi como con las maquinas , como saben  
cada maquina que se encuentre agregada al dominio tiene una cuenta en  
el Directorio Activo.

Tendré que crear dichas cuentas en el nuevo DS sacando cada maquina  
del dominio y volviendolas a entrar?

Asi como actualizar los registros DNS para que apunten al nuevo  
controlador de dominio?

Recuerden que tambien debo migrar el DNS desde M$ para linux, pero  
este lo hare nuevo por completo.

Slds
Michel


----------------------------------------------
Webmail, servicio de correo electronico
Casa de las Americas - La Habana, Cuba.

Más información sobre la lista de distribución CentOS-es