Get Geeky

OpenLDAP als Proxy zum Zugriff auf Active Directory einrichten

2008-08-28 17:19:00 by Saz

Ich hatte das Problem, dass es Applikationen gibt, welche zwar eine LDAP-Anbindung haben, allerdings nur einen LDAP-Server zulassen. Auf der Suche nach einer Lösung habe ich mir gedacht, dass ein Proxy eine mögliche Lösung wäre. Nach einiger Zeit googlen, habe ich auch herausgefunden, dass andere Leute das gleiche probiert haben und es mit OpenLDAP möglich ist. Hier meine slapd.conf. So funktioniert die Sache bei mir (zumindest konnte ich bis jetzt noch keine Probleme feststellen, eventuell müssen noch weitere Attribute gemapped werden).

# This is the main slapd configuration file. See slapd.conf(5) for more
# info on the configuration options.
#######################################################################
# Global Directives:
# Schema and objectClass definitions
include         /etc/ldap/schema/core.schema
include         /etc/ldap/schema/cosine.schema
include         /etc/ldap/schema/inetorgperson.schema
# Where the pid file is put. The init.d script
# will not stop the server if you change this.
pidfile         /var/run/slapd/slapd.pid
# List of arguments that were passed to the server
argsfile        /var/run/slapd/slapd.args
# Read slapd.conf(5) for possible values
loglevel        none
# Where the dynamically loaded modules are stored
modulepath      /usr/lib/ldap
moduleload      back_ldap
moduleload      rwm
database        ldap
suffix          "dc=example,dc=com"
rebind-as-user
uri             "ldap://adc-01.example.com ldap://adc-02.example.com"
protocol-version 3
overlay rwm  rwm-map attribute uid samaccountname

Das ganze ist bei mir unter Ubuntu Server am laufen. So habe ich jetzt auf den Servern, welche auf's Active Directory zugreifen OpenLDAP installiert und entsprechend konfiguriert. Sollte einer der AD-Server ausfallen, wird der nächste probiert. Ist dieser erreichbar, wird er automatisch an die erste Position gestellt, solange er erreichbar ist. Sind alle AD-Server weg... Naja. Kann sich jeder selbst ausmalen, was dann wohl passiert. Ach ja. Das funktioniert nicht nur für Active Directory sondern auch mit OpenLDAP-Servern zusammen (wer hätte es gedacht). Allerdings ist das Mapping dann nicht zwingend Notwendig.

Links: * Man-Page slapo-rwm * Man-Page slapd-ldap

Comments

Fork me on GitHub