[MASOCH-L] Sincronização entre openldap e ms AD
Caio Zanolla
zanolla at gmail.com
Tue Mar 29 10:47:16 BRT 2016
Minha sugestão é parecida com a do douglas, mas sem Freenas. Samba4 puro.
Obs, mesmo fazendo lab a realidade pode ser diferente (ex: existencia de
instalacao do Exchange no dominio costumava impedir a sincronização do
schema pro samba4. Não sei como está isso hoje em dia)
Seguem uns checkpoints de quando precisei fazer isso.
Backup full do dominio utilizando ntbackup
Snapshot da maquina
Apagar os outros domain controllers e deixar só um
Disponibilizar uma vm limpa com windows 7
Instalar admintools nessa vm
https://wiki.samba.org/index.php/Samba_AD_DC_HOWTO#Viewing_Samba_4_Active_Directory_object_from_Windows
Ingressar Samba4 como DC no dominio
Conferir configuracao de DNS em ambos
Se necessário inserir os registros na mao.
Está em Classic Upgrade mas pode ser util -
https://wiki.samba.org/index.php/Samba4/samba-tool/domain/classicupgrade/HOWTO#Rebuild_Static_DNS_Records
Certificar que houve replicacao
WIN - repadmin /showrepl
LINUX - samba-tool drs showrepl
Copiar the sysvol share do win2k3 pro samba4
samba-tool ntacl sysvolreset na maquina samba4
Checar acesso dos usuarios ao sysvol do samba
transferir os roles pelo samba (linux ou windows)
pelo linux
samba-tool fsmo transfer
pelo w2k3
http://www.petri.co.il/understanding_fsmo_roles_in_ad.htm
http://www.youtube.com/watch?v=UNsB51HGIv8
http://www.petri.co.il/transferring_fsmo_roles.htm
http://www.petri.co.il/seizing_fsmo_roles.htm
http://support.microsoft.com/kb/324801
http://support.microsoft.com/kb/255504
Demover o Windows do papel de AD
Atencao, so se deve demover o server se os roles forem efetivamente
transferidos
http://www.mentby.com/Group/samba-technical/samba-4-fsmo-roles-change-research.html
Isso pode ser util para editar manualmente os registros no samba - ldbedit
-H /usr/local/samba/private/sam.ldb
http://technet.microsoft.com/en-us/library/cc740017%28v=ws.10%29.aspx
Demover domain controllers restante
Boa sorte!
Atenciosamente,
Caio Zanolla
2016-03-29 9:47 GMT-03:00 Samir Patrice <samir.patrice at gmail.com>:
> Valeu Douglas, vou fazer um lab como você indicou.
>
> Em 29 de março de 2016 09:42, Douglas Fischer <fischerdouglas at gmail.com>
> escreveu:
>
> > Para começar fácil...
> > For Dummies mesmo...
> >
> > Instale uma VM com o último FreeNAS e adicione o FreeNas ao domínio e
> > depois promova ele a controlador de domínio.
> > (Se não tiver experiência, faça isso em um ambiente de teste.
> > Existem grandes probabilidade de rolar caquinha com o seu domínio.)
> >
> > Depois de promovido e replicado, o LDAP tá alí prontinho para você
> começar.
> >
> >
> >
> > Em 29 de março de 2016 09:17, Samir Patrice <samir.patrice at gmail.com>
> > escreveu:
> >
> > > Oá Douglas.
> > > Sou meio novo nisso de LDAP, estou começando a ler mais a fundo agora.
> > > Sobre a sincronização, eu li em alguns livros mostrando a sincronização
> > > somente entre bases do openldap e não entre openldap e AD. Porem vou
> > > pesquisar mais pra ver como fazer essa sincronização nativamente.
> > >
> > > Um amigo de outra empresa me indicou o LSC (
> http://lsc-project.org/wiki/
> > )
> > > mas não entrou em detalhes como usar, por isso vim aqui na lista pra
> > saber
> > > se tinha outros similares. Eu ainda estou lendo a documentação desse
> LSC.
> > >
> > > Em 29 de março de 2016 09:01, Douglas Fischer <
> fischerdouglas at gmail.com>
> > > escreveu:
> > >
> > > > Não entendi...
> > > >
> > > > Se o schema for o mesmo, o suporte a sincronização é nativo.
> > > > Tens que deinifir a relação de confiança, mas não precisa de uma
> > > aplicação
> > > > para isso.
> > > >
> > > > Agora se quiser pegar somente alguns atributos, aí o buraco é mais
> > > > embaixo...
> > > > Vais ter que fazer pooling e resync.
> > > >
> > > > Uma ferramenta que é ESPETACULAR para sincronizar bases de usuários
> é o
> > > > Forefront Identity Manager(agora chama Microsoft Identity Manager).
> > > > Tendo os conectores montados, ele sincroniza(merge ou unidirecional)
> de
> > > > quase todo tipo de base que eu já ví...
> > > > Desde CSV, cobol, SQL, LDAP, etc...
> > > >
> > > >
> > > > Em 29 de março de 2016 08:55, Samir Patrice <samir.patrice at gmail.com
> >
> > > > escreveu:
> > > >
> > > > > Caros, poderiam me indicar uma aplicação para fazer o sincronismo
> > entre
> > > > > duas bases ldap sendo uma openldap e outra AD, porem somente alguns
> > > > > atributos como usuário e senha para ser atualizado.
> > > > >
> > > > > --
> > > > > Samir Patrice
> > > > > Analista de Rede
> > > > > __
> > > > > masoch-l list
> > > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > > >
> > > >
> > > >
> > > >
> > > > --
> > > > Douglas Fernando Fischer
> > > > Engº de Controle e Automação
> > > > __
> > > > masoch-l list
> > > > https://eng.registro.br/mailman/listinfo/masoch-l
> > > >
> > >
> > >
> > >
> > > --
> > > Samir Patrice
> > > Analista de Rede
> > > __
> > > masoch-l list
> > > https://eng.registro.br/mailman/listinfo/masoch-l
> > >
> >
> >
> >
> > --
> > Douglas Fernando Fischer
> > Engº de Controle e Automação
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
>
>
>
> --
> Samir Patrice
> Analista de Rede
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list