Bonjour tout le monde    
 
Je suis en stage et mon sujet actuel est de répliquer l'annuaire openLDAP d'un serveur linux avec celui de l'Active Directory de mon serveur windows 2003.
Je voulais savoir si quelqu'un a déjà mis en oeuvre cette réplication et si oui comment?
Je cherche depuis une semaine sur google et je ne trouve rien de vraiment exploitable, je suis vraiment perdu.
J'ai installé les SFU 3.5 (Services For Unix) sur mon serveur 2003 mais je ne sais pas si cela m'est vraiment utile pour la réplication.
Si vous pouviez m'éclaicir un peu je vous en serai trés reconnaissant.
merci pour vos réponses  

Bonjour,
Je cherche à faire la même chose... quelqu'un a t-il un retour à faire partager.
 
Merci ...

J'ai déjà vu ça mais avec des méta annuaire et les agents de synchro comme MIIS (enfin ILM maintenant) ou Critical Path.
 
Après pour du LDAP/AD il y a surement plus simple mais ça dépend jusqu'où vous voulez que se soit répliqué et les traitements à faire entre attributs

En fait je voudrai avoir un annuaire LDAP pour que les personnels s'authentifient sur toutes nos applications facilement mais je ne veux pas me séparer non plus d'AD car les GPO sont bien pratiques.
 
Je galère depuis quelques temps sur cette problématique qui n'est pas très bien documenté je trouve. Faut dire que c'est complexe apparemment.
 
Du coup ce que je pense faire maintenant c'est de changer le mot de passe sur les deux annuaires en même temps pour qu'il soit identique. J'ai donc mon AD accessible en LDAPS mais quand je veux modifier unicodePwd j'ai Error: Modify: Incapable d'exécuter. <53>

Et les applications peuvent pas s'auth directement sur l'AD ?
 
Pour la modification du mot de pass via ldaps c'est possible. De tête, pour faire un modify il faut avoir les droits de Reset du mdp donc les droits administrateurs. Pour "simuler" un utilisateur qui change son password il faut faire un delete et un add.

Je suis moi aussi sur ce probleme entre AD et openLDAP et je ne trouve pas d'outil open source gérant la réplication en connaissez vous un ?

J'ai un doute sur la faisabilité de la chose pour une raison majeur : Le mot de passe n'est pas récupérable en clair dans l'active directory... Je ne vois donc pas comment on pourrait le répliqué et surtout l'exploiter...
 
Je ne vois donc aucune solution a part l'utilisation du SSO windows par les applications. Les applis sont développé en interne ?

c'est quoi sso ?
mais effectivement à cause du password, j'vois pas non plus comment on peut faire....

single sign on

Bonjour,
Je travail également sur une réplication Openldap - Active Directory.
 
Par contre plutôt que de passer par de meta-annuaires je fais des exports ldif de mon LDAP pour les intégrer dans AD.
Ca se fait très bien sauf pour les mots de passe :S
 
En effet j'ai mis mon AD en ldap-ssl puis suivi cet doc:
http://support.microsoft.com/kb/263991/en-us
 
Le problème c'est que je ne sais pas comment transformer mon mot de passe d'Openldap en mot de passe AD codé en base64 unicode :S
 
J'ai essayé avec des encodeurs sur le net mais apparement il ne font d'unicode, pareil avec le module perl MIME::Base64 ...
 
Merci poru votre aide
 

Finalement j'ai crée un script CGI qui me permet de pousser le même mot de passe dans OpenLdap et AD.
Si quelqu'un le veut je peux lui fournir.

Salut Bagghera, je veux bien ton retour d'expérience car je souhaite faire la même chose. Synchroniser simplement le nom d'utilisateur et le mot de passe de chaque utilisateur LDAP afin de s'en servir dans l'AD pour l'ouverture de session sur le domaine.
 
Comment as-tu résolu le problème ?
 
Peux-tu m'envoyer le script et me dire comment çà fontionne ? je débute sous 2003 server et Active directory et ce n'est pas moi qui gère l'annuaire LDAP donc si tu pouvais m'indiquer la procédure ce serait formidable vraiment.
 
Merci beaucoup  

Regarde du coté de Fedora Directory Server, ca permet la synchro ldap et AD. Bien faire attention pour la gestion des mots de passe de ldap vers ad.

Fedora est un annuaire ldap si j'ai bien compris mais nous avons déjà un annuaire OpenLDAP. comment faire ?

N'y aurait-il pas une piste du côté de ce qu'on appelle un PAM (plugable Autentification Module) à installer sur le serveur OpenLDAP afin qu'il convertisse l'encodage du mot de passe du compte utilisateur afin que celui-ci soit compatible avec l'encodage utilisé par Active Directory ?
 
Je n'y connais vraiment rien en ryptographie, quelqu'un sait-il en quoi sont crypter les mot de passe d'OpenLDAP ainsi que ceux d'Active Directory ? et s'il existe un module qui puisse effectuer une conversion ?
 
Merci

 
nan pas de souci. FDS permet la synchro entre un openldap et un AD.

Merci hfrfc. Sachant que je très pressé pour la mise en place de ce système de synchronisation, pourrais-tu me faire gagner un peu de temps en me donnnant si possible un aperçu global de la procédure à suivre sur notre openldap et sur notre controleur de domaine 2003 pour mettre en place FDS ? J'essaierai dès que possible de lire de la doc.
 
Est-ce laborieux ? y a-t-il des contraintes particulières ? Les messages que je trouve sur le net parle de l'installation d'openldap sous Fedora ... Moi çà serait plutôt le contraire car nous avons déjà un serveur Redhat avec un Openldap en service qui gère bon nombre de comptes. L'ajout de Fedora comme un module permettant la synchronisation des comptes avec Active directory est-elle possible ?
 
merci beaucoup

http://directory.fedoraproject.org [...] pported.3F
 
Mon stagiare était parti sur du fedora. Pour ta question du RH demande sur les ml.  
 
Par contre met deja en place une maquette avant de partir tete baissée !

Un peu late, mais résoud pas mal de problèmes :
http://lsc-project.org/wiki/