FreeSource : DmitriyKruglikov/Raznoe/AD2LDAP

Как «перелить» много пользователей из MS AD в openLDAP

В ходе миграции администраторы сетей сталкиваются с необходимостью
перенести базу пользователей из AD на какой-либо другой сервер LDAP.

Для получения ldif-файла в наборе инструментов MS Windows имеется утилита

ldifde, которая на удивление хорошо работает.
Для начала получаем полный ldif и смотрим, какие поля нам нужны на самом деле.
Добавляем перечень нужных параметрв к ключу -l “cn,givenName,objectclass”.
И забираем полученный ldif на сервер.

Как поднять openLDAP, например, написано уже не мало, и я предполагаю, что это вы уже сделали.
Далее, берем скрипт и правим его на свое усмотрение:

#!/bin/sh

base="dc=your_base,dc=com,dc=ua"
bindpw="suprpuperparolllllll"
config="/etc/openldap/slapd-hdb-breg.com.ua.conf"
domain="@yur_domain.com.ua"
uidNumber=501
gidNumber=513
uid=""
FName=""
Sname=""
mailAddress=""
CN=""
displayName=""
givenName=""
sn=""
descr=""
mobile=""

do_add_user()
{
echo "New UID: $uidNumber"

#/usr/sbin/slapadd -b "$base" -f "$config"
cat << EOF | ldapadd -xcD cn=admin,"$base" -w $bindpw  -h localhost

dn: uid=$uid,ou=People,$base
objectClass: top
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: person
objectClass: shadowAccount
objectClass: posixAccount
objectClass: inetLocalMailRecipient
uidNumber: $uidNumber
gidNumber: $gidNumber
loginShell: /sbin/nologin
homeDirectory: /dev/null
gecos: $FName
ou: Consalting
preferredLanguage: Russian (KOI8-R)
mailRoutingAddress: $mailAddress
mailLocalAddress: $mailAddress
cn: $CN
displayName: $displayName
givenName: $givenName
sn: $Sname
uid: $uid
mobile: $mobile
mail: $Sname.$givenName$domain
mail: $givenName.$Sname$domain
o: BREG
destinationIndicator: Jabber User
userPassword: {SSHA}06xliLR2x58Gf
l: Kiev
description: AutoConverted

dn: ou=personal,uid=$uid,ou=People,$base
objectClass: organizationalUnit
objectClass: top
ou: personal
EOF
}

#############
cat $1 |
    while read param value; do
    if [ $param  ]; then
        case $param in
                name:) FName="$value" ;;
                cn:) CN="$value" ;;
                displayName:) displayName="$value" ;;
                givenName:) givenName="$value" ;;
                mail:)
                    mailAddress="$value"
                    uid=`echo "$value"| sed 's/@.*//g'`
                    ;;
                name:) givenName="$value" ;;
                sn:) Sname="$value" ;;
                telephoneNumber:) mobile="$value" ;; 
                *)
                ;;
        esac
        else
                echo "Adding $FName"
                let uidNumber=$uidNumber+1
                echo "New UID: $uidNumber"
               do_add_user
                echo "Done."
        fi
        done

И все ...

Все пользователи получат UID, начиная с 501 и далее, войдут в группу 513 (Domain Users для Samba)
Пароль всем будет установлен {SSHA}06xliLR2x58Gf, но я сам не знаю, какому значению соответствует этот хеш.
По этому нужно будет изменить пароли всем пользователям.

Я знаю, что есть немало инструментов такого плана, но мне они не подошли по тем или иным причинам.