Score:0

การจำลองแบบ Active Directory/LDAP Windows/Ubuntu

ธง cn

ฉันกำลังพยายามตั้งค่าการจำลองแบบระหว่าง Windows AD และ OpenLDAP บน Ubuntu

การเข้าถึงเซิร์ฟเวอร์ Windows AD ดูเหมือนว่าจะทำงานได้ดี OpenLDAP บน Ubuntu ก็ดูเหมือนจะใช้งานได้เช่นกัน แต่ฉันติดขัดในการตั้งค่าการจำลองแบบระหว่างทั้งสอง - ฉันยังใหม่กับ AD/LDAP และอาจมีแนวคิดบางอย่างที่ฉันขาดหายไป .

ฉันสามารถแสดงรายชื่อผู้ใช้บนโฆษณาระยะไกล (Windows) ได้:

ldapsearch -x -h 192.168.1.200 -D 'CN=LDAP OpenVPN,CN=ผู้ใช้,DC=DOMAIN,DC=NET' -w 'xxx' -b "DC=DOMAIN,DC=NET" cn

ฉันตั้งค่าการจำลองโดยใช้การกำหนดค่าต่อไปนี้:

dn: cn=โมดูล{0},cn=config
ประเภทการเปลี่ยนแปลง: แก้ไข
เพิ่ม: olcModuleLoad
olcModuleLoad: syncrepl

dn: olcDatabase={1}mdb,cn=config
ประเภทการเปลี่ยนแปลง: แก้ไข
เพิ่ม: olcSyncRepl
olcSyncRepl: กำจัด = 001
  ผู้ให้บริการ=ldap://192.168.1.200:389/
  type=refreshAndPersist
  ลองใหม่ = "30 5 300 3"
  ช่วงเวลา=00:00:05:00
  searchbase="CN=ผู้ใช้,DC=DOMAIN,DC=NET"
  วิธีผูก = ง่าย
  binddn="CN=LDAP OpenVPN,CN=ผู้ใช้,DC=DOMAIN,DC=NET"
  ข้อมูลรับรอง = "xxx"

เพิ่ม: olcUpdateRef
olcUpdateRef: ldap://192.168.1.200

และนำไปใช้โดยใช้:

sudo ldapadd -Y ภายนอก -H ldapi:/// -f syncrepl.ldif
$ sudo ldapadd -Y ภายนอก -H ldapi:/// -f syncrepl.ldif
เริ่มการรับรองความถูกต้อง SASL/EXTERNAL แล้ว
ชื่อผู้ใช้ SASL: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
SASL SSF: 0
การแก้ไขรายการ "cn=module{0},cn=config"

การแก้ไขรายการ "olcDatabase={1}mdb,cn=config"

อย่างไรก็ตาม การจำลองแบบดูเหมือนจะล้มเหลวโดยมีข้อผิดพลาดต่อไปนี้:

[16-02-2022 22:00:20] การแก้ไขข้อบกพร่องของโปรแกรมlap_client_connect: URI=ldap://192.168.1.200:389/ DN="cn=admin,dc=domain,dc=net" ldap_sasl_bind_s ล้มเหลว (49)
[16-02-2022 22:00:20] ดีบักตบ do_syncrepl: กำจัด = 001 rc 49
[16-02-2022 22:00:21] การแก้ไขข้อบกพร่องของโปรแกรมlap_client_connect: URI=ldap://192.168.1.200:389/ DN="cn=openvpnldap,dc=domain,dc=net" ldap_sasl_bind_s ล้มเหลว (49)
[16-02-2022 22:00:21] ดีบักตบ do_syncrepl: กำจัด = 001 rc 49
[16-02-2022 22:00:22] สแลปดีบัก do_syncrep2: rid=001 LDAP_RES_SEARCH_RESULT (12) ส่วนขยายที่สำคัญไม่พร้อมใช้งาน
[16-02-2022 22:00:22] สแลปดีบัก do_syncrep2: rid=001 (12) ส่วนขยายที่สำคัญไม่พร้อมใช้งาน
[16-02-2022 22:00:22] ดีบักตบ do_syncrepl: กำจัด = 001 rc -2 ออก
[16-02-2022 22:00:22] สแลปดีบัก do_syncrep2: rid=001 LDAP_RES_SEARCH_RESULT (12) ส่วนขยายที่สำคัญไม่พร้อมใช้งาน
[16-02-2022 22:00:22] สแลปดีบัก do_syncrep2: rid=001 (12) ส่วนขยายที่สำคัญไม่พร้อมใช้งาน
[16-02-2022 22:00:22] ดีบักตบ do_syncrepl: กำจัด = 001 rc -2 ออก

เพื่อให้แนวคิดเกี่ยวกับสิ่งที่ฉันพยายามบรรลุ:

  • เรามีเครือข่ายภายในองค์กร (192.168.1.0/24) ที่มี Active Directory ที่ทำงานบน Windows
  • เรามีเครือข่าย Google Cloud VPC (10.0.0.0/8) ซึ่งมีทรัพยากรบางอย่างทำงานอยู่
  • เรามีอุโมงค์ IPSec ที่ทำงานระหว่างเครือข่ายภายในองค์กรและเครือข่าย GCPมีการตั้งค่าเส้นทางอย่างถูกต้องและทุกอย่างทำงานได้อย่างมีเสน่ห์
  • เราต้องการเข้าถึง LDAP (192.168.1.200) ภายในองค์กรของเราจาก VM ภายในเครือข่าย Google Cloud VPC - ประเด็นคือเพื่อให้ผู้ใช้จาก AD นี้เข้าสู่ระบบเซิร์ฟเวอร์ OpenVPN ที่อยู่บน VM นี้
  • เราต้องการให้การรับรองความถูกต้องทำงานต่อไปหากเราสูญเสียการเข้าถึงเครือข่ายในสถานที่ของเรา เพื่อให้บรรลุเป้าหมายนี้ แนวคิดคือการเรียกใช้ "พร็อกซี/แคช" OpenLDAP บน VM เดียวกัน

ขอบคุณมาก!

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา