Проверял синхронизацию пользователей, паролей и групп между тестовым доменом AD и RHDS 8 при помощи службы Red Hat Password Sync. На обоих серверах необходимо получить сертификаты и включить LDAPS. На контроллере домена AD устанавливается служба Password Sync, а со стороны RHDS - Windows Sync Agreement, примерно так же, как настраивается репликация между двумя серверами каталогов RHDS. Настройка и отладка достаточно трудоемка. Для пользователя синхронизируется порядка четырех десятков атрибутов, из которых большая часть одинакова в схемах обоих серверов каталогов. Для гетерогенной среды, где сохраняется AD, и необходимо осуществлять аутентификацию как Linux, так и Windows систем, особых преимуществ Password Sync по сравнению с единственным каталогом AD + Services for Unix мне в голову не приходит. Если же отказываться от AD совсем, то проще использовать IPA, который изначально “заточен” под аутентификацию. В случае использования Kerberos, смысла в Password Sync еще меньше.
Posts for: #LDAP
Новое имя проекта Fedora Directory Server - “389”
Анонсирована смена имени проекта Fedora Directory Server на “Проект 389”. В первую очередь смысл ребрендинга в том, чтобы подчеркнуть, что FDS - это не “Сервер каталогов для дистрибутива Fedora”. FDS работает на множестве различных дистрибутивов Linux, например, debian, gentoo, ubuntu и других, а также под управлением различных операционных систем, например, Solaris или HP/UX 11.
После ряда иттераций, разработчики остановились на самом лаконичном имени - числе 389. Почему именно число 389? Думаю, это станет очевидным, если набрать команду grep ldap /etc/services :)
Новая версия FDS 1.2.0
Вчера вышла новая версия Fedora Directory Server 1.2.0. Из нового:
- Улучшения в механизме репликации серверов (startTLS, SASL, Kerberos)
- 64-битные счетчики
- возможность отключить анонимные подключения к каталогу
- новые скрипты: remove-ds.pl для удаления экземпляра каталога и remove-ds-admin.pl - некий “hard reset”, для того чтобы привести систему в состояние сразу после “yum install fedora-ds”
- Новая консоль и Windows Password Sync для синхронизации с Microsoft AD
- Расширение ACI (новые динамические фильтры)
- Исправлено более 200 ошибок, найденных с прошлого релиза
- Новая схема, которая изначально включает расширения для autofs, samba и множества других приложений

Курс по корпоративным сервисам каталогов и аутентификации
Через две недели буду читать в Инвенте курс RH423 Red Hat Enterprise Directory Services and Authentication. Сколько раз он проводился в России можно пересчитать по пальцам на одной руке :) Что касается меня, то это будет первый опыт чтения курсов из линейки RHCA, хотя инженерные курсы я начал читать в 2005 году. По сравнению с предыдущей версией курса, которая основывалась на RHDS 7.x, материал новой обновлен до RHDS 8.0. Кроме того, добавлен принципиально новый модуль по продукту Red Hat Enterprise IPA - решению с открытым исходным кодом для управления доступом и учетными данными. Обновленная программа курса доступна на данной страничке.
Red Hat Enterprise IPA
Сегодня компания Red Hat анонсировала новый продукт под названием Red Hat Enterprise IPA, являющийся решением с открытым исходным кодом для управления доступом и учетными данными. Red Hat Enterprise IPA осуществляет централизованную аутентификацию, управление политиками доступа и аудита для компьютеров, пользователей и сервисов в Unix и Linux-окружениях. В состав решения входят ряд служб, в том числе: LDAP, Kerberos и RADIUS. Помимо этого существуют средства для интеграции с другими сервисами каталогов, включая Active Directory и утилиты для миграции с NIS. Для упрощения работы с Red Hat Enterprise IPA в состав решения входит консоль управления с web-интерфейсом.