Se que este no es el lugar mas adecuado para preguntar esto, pero es que llevo ya dos meses con el tema y aún no he logrado nada, el caso es que tengo que migrar los datos del active directory a openldap, incluyendo las contraseñas de los usuarios, para autenticar moodle contra openldap, ya se que podría autenticar moodle directamente con el active directory, pero mi jefe quiere que se repliquen los datos del AD a openldap y de ahí autenticar moodle, bueno y quería saber si alguien tiene idea del tema.
Un saludo y muchas gracias.
Me temo que migrar las contraseñas va a ser muy complicado (sino imposible). Hasta donde yo sé, cqon el sistema de gestión de contraseñas por defecto de AD no se puede saber cual es la contraseña (se guarda con un sistema de cifrado irreversible) y además no es posible leer el valor de la contraseña (ni siquiera por el administrador, sólo el usuario SYSTEM que yo sepa), sólo moficarlo.
Creo que no es posible recuperarlo ni aunque que actives el uso de contraseñas con cifrado reversible (una opción que deberás activar para cada usuario, o activarla de forma 'masiva' a través de directivas de grupo).
El resto de datos que quieres los puedes exportar con la herramienta 'ldifde' que viene de serie con AD (que los genera en formato LDIF, con lo que te sirven para importarlos con ldapadd en OpenLDAP).
Pero el tema de las contraseñas me temo que tiene muy mala pinta...
Si la razón para no autenticar contra AD directamente es cuestión de carga en el servidor, siempre puedes montar un servidor extra con AD LDS (Lightweight Directory services) y lanzar las consultas a este, o montar un OpenLDAP en modo proxy inverso (con el módulo proxy, o el módulo meta) y cachar las respuestas temporalmente.
Saludos. Iñaki.
Muchísimas gracias por la información, ya me temía lo de las contraseñas, pero podrías indicarme algo más sobre "montar un OpenLDAP en modo proxy inverso (con el módulo proxy, o el módulo meta) y cachar las respuestas temporalmente."
Un saludo y muchas gracias.
Un saludo y muchas gracias.
Echa una ojeada a:
- http://www.openldap.org/faq/data/cache/532.html
- http://www.openldap.org/doc/admin24/overlays.html#The%20Proxy%20Cache%20Engine
- http://www.openldap.org/doc/admin24/security.html#Pass-Through%20authentication
Por supuesto conviene leer las páginas del manual de slapd.conf, slapd-ldap y slapo-proxy para los detalles finos.
Saludos. Iñaki.
Se que Moodle incorpora la autenticación con LDAP, pero podría autenticar contra dos LDAP, es decir, una con Active directory y otra con OpenLDAP.
Me temo que sólo se puede especificar una configuración para LDAP (sin modificar el código), y en ese caso es necesario que todos los servidores que indiques en la configuración tenga el mismo esquema de directorio, los mismos datos, etc.
Saludos. Iñaki.