Hola a tod@s,
bueno en mi oficina estoy por empezar una migracion de Windows Server 2003 a Linux.
Mi idea es poner 1 Servidor Linux (Ubuntu 9.04)
El primer servicio sera el de Active Directory a OpenLDAP, estuve leyendo algunos articulos y no se lo ve dificil, pero queria saber los que hicieron esto, como les fue? que experiencias buenas o malas tuvieron, que errores o problemas iniciales se pueden esperar? y finalmente saber si existe una herramienta para migrar los datos de usuarios de AD en Win2003 a OpenLDAP sin la necesidad de crear todos y cada uno de ellos, ademas asi no se pierde informacion de los usuarios como ser el desktop y cosas asi.
bueno en mi oficina estoy por empezar una migracion de Windows Server 2003 a Linux.
Mi idea es poner 1 Servidor Linux (Ubuntu 9.04)
El primer servicio sera el de Active Directory a OpenLDAP, estuve leyendo algunos articulos y no se lo ve dificil, pero queria saber los que hicieron esto, como les fue? que experiencias buenas o malas tuvieron, que errores o problemas iniciales se pueden esperar? y finalmente saber si existe una herramienta para migrar los datos de usuarios de AD en Win2003 a OpenLDAP sin la necesidad de crear todos y cada uno de ellos, ademas asi no se pierde informacion de los usuarios como ser el desktop y cosas asi.
Respuesta
Puedes ver Ebox como solución para esto, facilita la administración de usuarios y puede funcionar tambien como PDC, hay que jugar un poco con las confirguraciones para autenticar sobre windows.
Otra respuesta
Lo primero que tienes que tener en cuenta es entender claramente que rol
juega tu Windows Active Directory en la red y que es exactamente. Lo
único de parecido que tiene Windows Active Directory con OpenLDAP es que
almacena los datos en una base de datos jerárquica LDAP.
Pero Windows Active Directory es mucho más que almacenar los datos.
Muchas cosas de Windows están integradas en el Active Directory, más
allá de autenticación de usuarios, hay políticas de seguridad, DNS,
configuraciones de servicios, configuraciones de usuarios, controles de
acceso a aplicaciones, etc.
juega tu Windows Active Directory en la red y que es exactamente. Lo
único de parecido que tiene Windows Active Directory con OpenLDAP es que
almacena los datos en una base de datos jerárquica LDAP.
Pero Windows Active Directory es mucho más que almacenar los datos.
Muchas cosas de Windows están integradas en el Active Directory, más
allá de autenticación de usuarios, hay políticas de seguridad, DNS,
configuraciones de servicios, configuraciones de usuarios, controles de
acceso a aplicaciones, etc.
Sacar la información debiera resolverse con un simple script que saque
los datos de Windows Active Directory y los ponga de una forma
entendible para OpenLDAP (léase formato LDIF). Lo que no vas a poder
migrar son las contraseñas, porque Windows usa esquemas particulares.
los datos de Windows Active Directory y los ponga de una forma
entendible para OpenLDAP (léase formato LDIF). Lo que no vas a poder
migrar son las contraseñas, porque Windows usa esquemas particulares.
Sigue la pregunta
Despues mi idea es la de crear 2 servicios nuevos, el primero es el de servicio de Archivos (que va de la mano al OpenLDAP) alguna sugerencia?? alguien ya lo hizo, como le fue?
Respuesta a la continuación de la pregunta
Ebox tambien lo soporta
Otra respuesta a la continuación de la pregunta
Si tu entorno está muy integrado con Windows Active Directory (usas
políticas de grupos, usas otros productos Microsoft) quizá la migración
no va ser posible. O va ser muy, dolorosa.
En cualquier migración hay que entender bien como es que está
relacionado todo. Hay que hacer una cuidadosa planificación.
Mi consejo general es tener las cosas en paralelo, el viejo sistema y el
nuevo.
Y otra respuesta más a la continuación de la pregunta
Analiza si realmente necesitas OpenLDAP, en mi experiencia si va ser
sólo para guardar información de unos cuentos usuarios y autenticat sólo
clientes Windows, pienso que OpenLDAP es sobrecarga, recuerda que "lo
simple es bello". Si vas a tener otras aplicaciones y que pueden usar
LDAP para autenticarse entonces puede justificarse.
Recuerda utilizar Samba con ACL para mejor control de los permisos de
archivos.
Simplemente repetir que Samba no es un reemplazo/alternativa de Windows
Active Directory, lo era para Windows NT 4 como PDC o file server.
Y continua la pregunta
y el tercer servicio debe ser el de backup, igual, alguna sugerencia? ya lo hicieron? como les fue?.
Respuesta a la continuacion de la pregunta
Que tipo de backup?, hasta ahora un script shell con tar y cron me funciona perfecto.
P.S. El Hardware del Servidor sera un Servidor real, con RAID 1 soportado desde hardware 8 GB RAM y procesador QuadCore que soporta virtualizacion (que eso se hara despues) :P
Otra respuesta
Yo lo tengo funcionando desde hace ya bastante tiempo (un par de años)
y no me ha dado problemas, mas al contrario ha facilitado la migracion
de varios servicios a una sola fuente de autenticacion (SSO) via ldap.
Existe la forma de poner a samba como PDC teniendo como backend a
mysql o ldap, por detmas de prueba he probado haciendo uso de mysql
como backend, ya que en ese entonces tenia varios servicos
autenticando contra mysql, pero luego decidi migrar a ldap y lo tengo
como backend por defecto y como os repito con muy buenos resultados,
una ventaja a dicional es que casi cualquier servicio ahora tiene la
posibilidad de autenticar contra ldap.
Comentario del autor del problema
Lo primero que tienes que tener en cuenta es entender claramente que rol
juega tu Windows Active Directory en la red y que es exactamente. Lo
único de parecido que tiene Windows Active Directory con OpenLDAP es que
almacena los datos en una base de datos jerárquica LDAP.
Pero Windows Active Directory es mucho más que almacenar los datos.
Muchas cosas de Windows están integradas en el Active Directory, más
allá de autenticación de usuarios, hay políticas de seguridad, DNS,
configuraciones de servicios, configuraciones de usuarios, controles de
acceso a aplicaciones, etc.
Respuesta al comentario del autor del problema
Revisando el Windows Active Directory, sinceramente lo unico que hace es la autenticacion de usuarios por red, nada mas, incluso el sistema que se tiene en SQL Server usa su propio metodo de autenticacion, y lo mismo con FileMaker.
Despues, no hay politicas de seguridad, DNS, servicios, solo autenticacion de usuarios, con su configuracion de escritorio y listo, despues las aplicaciones estan instaladas a nivel local dentro de cada PC de usuario.
Incluso me parece que hay algo raro en este AD porque los ingenieros electronicos de la empresa tienen un software especial (circuit Maker 2000) que no funciona cuando hacen login por dominio (algunas otras aplicaciones tambien como el Corel Draw). Y ademas algunos dias ya estuvo dando fallas denegando el acceso a varios usuarios o borrando sus configuraciones de escritorio (era acceso randomico, pinche windows, todo en Random (rand) para ellos :P).
Estonces leyendo en el Internet, parece una buena opcion hacerlo con OpenLDAP.
Si tu entorno está muy integrado con Windows Active Directory (usas
políticas de grupos, usas otros productos Microsoft) quizá la migración
no va ser posible. O va ser muy, dolorosa.En cualquier migración hay que entender bien como es que está
relacionado todo. Hay que hacer una cuidadosa planificación.Mi consejo general es tener las cosas en paralelo, el viejo sistema y el
nuevo.Sacar la información debiera resolverse con un simple script que saque
los datos de Windows Active Directory y los ponga de una forma
entendible para OpenLDAP (léase formato LDIF). Lo que no vas a poder
migrar son las contraseñas, porque Windows usa esquemas particulares.Analiza si realmente necesitas OpenLDAP, en mi experiencia si va ser
sólo para guardar información de unos cuentos usuarios y autenticat sólo
clientes Windows, pienso que OpenLDAP es sobrecarga, recuerda que "lo
simple es bello".
Pregunta aclaratoria
Que otra alternativa mas simple hay?
Respuesta a esa pregunta aclaratoria
Si vas a tener otras aplicaciones y que pueden usar
LDAP para autenticarse entonces puede justificarse.Recuerda utilizar Samba con ACL para mejor control de los permisos de
archivos.Simplemente repetir que Samba no es un reemplazo/alternativa de Windows
Active Directory, lo era para Windows NT 4 como PDC o file server.Conoces zAmanda ? ...creo que una buena opción, si quieres incluir todo,
servidores, PC escritorio, portátiles.
Si es sólo en tus servidores, unos scripts hechos a medida deberían
resolverlo.
Otra respuesta
Por mi experiencia http://adf.ly/1eUNQK tiene la solución que buscas, y pronto se tendrán cursos de certificación en esta herramienta en Bolivia, si quieren mas datos contactar-me de manera personal.
Sobre documentación hay mucho pero lo que tienes que buscar es una herramienta que te ayude a migrar tus usuarios de Active D. a OpenLDAP.
En sus sitio de ebox hay documentacion fundamental y crear un PDC son 3 pasos que lo puedes hacer en 5 minutos
Y otro respuesta más
No ha llegado el día que nazca una solución más simple y cómoda que rsync.
http://adf.ly/1eUNSD