Почтовый сервер c авторизацией в AD

[opt1k]

хотелось бы подробнее обсудить тему перехода с Win2003 AD на бесплатную альтернативу: как решаются вопросы с раздачей прав и GPO?

ну что вы в самом деле. С нуля ставить samba+ldap - еще куда ни шло. Переводить домен с windows на опенсорс - дороже, чем просто купить.

Samba PDC - аналог NT контроллера, этап, который Windows server прошел 10-15 лет назад. И как ни стараться доказать обратное, не будет полноценной замены.

по ссылке выше сходите и почитайте что я написал, самба может быть заменой АД.
По поводу миграции с уже работающего АД на самбу - тут дело случая, каждый сам для себя решает может он купить АД или нет.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[BlackJaguar]

опять понеслось. Samba в одиночку может и аналог, а samba+openldap+kerberos ничем не уступает.
А что там переводить-то, по сути? Поднял контроллер, выгрузил из ad в .diff, закинул в openldap. полчаса делов.

Т.е. Вы хотите сказать, что самба+openldap "поймут" все те расширения, о которых даже и не знают.
Я имею в виду, что в данный момент имеет Win2k3 в родном win2003 режиме домена. И опенлдап без проблем будет с этим работать?

[princeps]

насчёт без проблем не знаю, но у меня он diff из ad похавал. Т.е. если просто юзеров\пароли перенести с деревом ou - то без проблем. А если ещё что-то - хз

[BlackJaguar]

насчёт без проблем не знаю, но у меня он diff из ad похавал. Т.е. если просто юзеров\пароли перенести с деревом ou - то без проблем. А если ещё что-то - хз

тогда еще вопросик: как вы юзерские ящики заводите в openldap? или Вы их там не храните?

[princeps]

конечно храним, а смысл тогда всего этого? поле mail, например. Или, что лично я считаю более правильным - брать локальную часть из логина пользователя, а домен хранить отдельно.

[BlackJaguar]

угу. с этим разобрались.
еще вопрос: сделали diff - загрузили эти данные в openldap
он грузит туда и схему тоже?
я просто думаю, как правильнее настроить синхронизацию, потому как с Ваших слов получается, что AD и OpenLDAP фунциклируют отдельно, т.е. апдейты тоже руками. Поправьте, если неправ

[princeps]

он грузит туда и схему тоже?

если честно, не знаю, я так глубоко не копал. Посмотри .diff-файл - он текстовый, там всё понятно написано.
А ты, если не секрет, что такое страшное мутишь там? имхо, если уже есть AD, то делать второй каталог и между ними синхронизацию - как-то бессмысленно в большинстве случаев.