Я пытаюсь настроить репликацию между Windows AD и OpenLDAP в Ubuntu.
Доступ к серверу Windows AD, кажется, работает нормально, OpenLDAP в Ubuntu также работает, однако я застрял в настройке репликации между обоими - я новичок в AD/LDAP, и могут быть некоторые концепции, которые мне не хватает. .
Я могу перечислить пользователей в удаленной (Windows) AD:
ldapsearch -x -h 192.168.1.200 -D 'CN=LDAP OpenVPN,CN=Users,DC=ДОМЕН,DC=NET' -w 'xxx' -b "DC=ДОМЕН,DC=NET" cn
Я настраиваю репликацию, используя следующую конфигурацию:
DN: cn=модуль{0},cn=config
тип изменения: изменить
добавить: олкмодулелоад
olcModuleLoad: синкрепл
DN: olcDatabase={1}mdb,cn=config
тип изменения: изменить
добавить: olcSyncRepl
olcSyncRepl: rid=001
провайдер=ldap://192.168.1.200:389/
тип = обновить и сохранить
повтор = "30 5 300 3"
интервал=00:00:05:00
searchbase="CN=Пользователи,DC=ДОМЕН,DC=NET"
метод привязки = простой
binddn="CN=LDAP OpenVPN,CN=Users,DC=ДОМЕН,DC=NET"
учетные данные = "ххх"
добавить: olcUpdateRef
olcUpdateRef: ldap://192.168.1.200
И применяется с использованием:
sudo ldapadd -Y EXTERNAL -H ldapi:/// -f syncrepl.ldif
$ sudo ldapadd -Y ВНЕШНИЙ -H ldapi:/// -f syncrepl.ldif
SASL/ВНЕШНЯЯ аутентификация запущена
Имя пользователя SASL: gidNumber=0+uidNumber=0,cn=peercred,cn=external,cn=auth
САСЛ ССФ: 0
изменение записи "cn=module{0},cn=config"
изменение записи "olcDatabase={1}mdb,cn=config"
Однако репликация, похоже, завершается со следующей ошибкой:
[16-02-2022 22:00:20] slapd debug slap_client_connect: URI=ldap://192.168.1.200:389/ DN="cn=admin,dc=domain,dc=net" Ошибка ldap_sasl_bind_s (49)
[16-02-2022 22:00:20] slapd debug do_syncrepl: rid=001 rc 49 выход
[16-02-2022 22:00:21] slapd debug slap_client_connect: URI=ldap://192.168.1.200:389/ DN="cn=openvpnldap,dc=domain,dc=net" Ошибка ldap_sasl_bind_s (49)
[16-02-2022 22:00:21] slapd debug do_syncrepl: rid=001 rc 49 выход
[16-02-2022 22:00:22] slapd debug do_syncrep2: rid=001 LDAP_RES_SEARCH_RESULT (12) Критическое расширение недоступно
[16-02-2022 22:00:22] slapd debug do_syncrep2: rid=001 (12) Критическое расширение недоступно
[16-02-2022 22:00:22] slapd debug do_syncrepl: rid=001 rc -2 выход
[16-02-2022 22:00:22] slapd debug do_syncrep2: rid=001 LDAP_RES_SEARCH_RESULT (12) Критическое расширение недоступно
[16-02-2022 22:00:22] slapd debug do_syncrep2: rid=001 (12) Критическое расширение недоступно
[16-02-2022 22:00:22] slapd debug do_syncrepl: rid=001 rc -2 выход
Чтобы дать представление о том, чего я пытаюсь достичь:
- у нас есть локальная сеть (192.168.1.0/24) с работающей на ней Active Directory на базе Windows
- у нас есть сеть Google Cloud VPC (10.0.0.0/8) с некоторыми работающими в ней ресурсами
- у нас есть туннель IPSec, работающий между локальной сетью и сетью GCP.Маршруты настроены правильно и все работает как шарм
- мы хотели бы получить доступ к нашему локальному LDAP (192.168.1.200) с виртуальной машины в сети Google Cloud VPC — цель состоит в том, чтобы разрешить пользователям из этой рекламы входить на сервер OpenVPN, расположенный на этой виртуальной машине.
- мы хотим, чтобы аутентификация продолжала работать, если мы потеряем доступ к нашей локальной сети. Чтобы добиться этого, идея состояла в том, чтобы запустить «прокси/кэш» OpenLDAP на той же виртуальной машине.
Большое спасибо!
