7
Samba AD V 4.3.11-Ubuntu (Frage zu Best-Practice)
Hallo Zusammen,
Background Info:
ich bin ein recht "frischer" Administrator und beschäftige mich seit Kurzem mit dem Thema Single Sign-on.
Dies ist meine erste Frage hier im Forum, deshalb bitte ich um Verzeihung, falls ich irgendwelche Richtlinien verletze.
In meiner Firma gibt es viele externe Applikationen, die es ermöglichen die Authentifizierung über ein LDAP Backend (z.B. Jira, Confluence) durchzuführen.
Um nun nicht für jeden neuen Mitarbeiter einen eigenen applikationsbezogenen Account anlegen zu müssen, haben wir uns überlegt einen Samba Server als Active Directory Domain Controller aufzusetzen.
Soweit ich weiß, verwendet Samba seit Version 4.0 ein LDAP backend, welches mir ermöglicht, auch ohne OpenLdap an andere Anwendungen anzuknüpfen.
Zum Netzwerk:
- Wir verwendenden Linux, Mac und Windows Clients und möchten keinen Windows Server aufsetzen.
- Bis jetzt habe ich einen funktionierenden Samba Server auf einer Ubuntu 16.04.2 LTS Distribution aufgesetzt.
- Windows Clients können sich darauf anmelden und er kann auch schon über Admin Clients verwaltet werden.
Die eigentliche Frage:
Mein Ziel ist es, durch die Erstellung eines Benutzers auf dem Samba Server, diesen auf sämtliche externen Anwendungen zu replizieren.
Ist Samba nun die Beste Lösung für diese Situation oder gibt es bessere?
Welche Anforderungen muss ich bei der Samba Installation beachten, um mein Ziel zu erreichen?
Schon mal vielen Dank für eure Hilfe.
Beste Grüße,
Bele
Background Info:
ich bin ein recht "frischer" Administrator und beschäftige mich seit Kurzem mit dem Thema Single Sign-on.
Dies ist meine erste Frage hier im Forum, deshalb bitte ich um Verzeihung, falls ich irgendwelche Richtlinien verletze.
In meiner Firma gibt es viele externe Applikationen, die es ermöglichen die Authentifizierung über ein LDAP Backend (z.B. Jira, Confluence) durchzuführen.
Um nun nicht für jeden neuen Mitarbeiter einen eigenen applikationsbezogenen Account anlegen zu müssen, haben wir uns überlegt einen Samba Server als Active Directory Domain Controller aufzusetzen.
Soweit ich weiß, verwendet Samba seit Version 4.0 ein LDAP backend, welches mir ermöglicht, auch ohne OpenLdap an andere Anwendungen anzuknüpfen.
Zum Netzwerk:
- Wir verwendenden Linux, Mac und Windows Clients und möchten keinen Windows Server aufsetzen.
- Bis jetzt habe ich einen funktionierenden Samba Server auf einer Ubuntu 16.04.2 LTS Distribution aufgesetzt.
- Windows Clients können sich darauf anmelden und er kann auch schon über Admin Clients verwaltet werden.
Die eigentliche Frage:
Mein Ziel ist es, durch die Erstellung eines Benutzers auf dem Samba Server, diesen auf sämtliche externen Anwendungen zu replizieren.
Ist Samba nun die Beste Lösung für diese Situation oder gibt es bessere?
Welche Anforderungen muss ich bei der Samba Installation beachten, um mein Ziel zu erreichen?
Schon mal vielen Dank für eure Hilfe.
Beste Grüße,
Bele
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 332704
Url: https://administrator.de/contentid/332704
Ausgedruckt am: 23.11.2024 um 14:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Das AD ist zwar im Prinzip ein LDAP aber hat dennoch seine eigenheiten.
Wenn man LDAP/AD einsetzt, dann fragen die Anwendungen zur Auflösung von Benutzern den LDAP Server/Domaincontroller und zwar immer! Die Benutzer sind nur auf dem LDAP Server und sonst nirgends.
Wenn der LDAP Server down ist, dann klapt auch die Autentifizierung nicht usw.
Viele Anwendungen lassen sich ins AD einbinden, aber man muss sich jedesmal mit Benutzername und Passwort anmelden.
In den meisten Fällen greifen die Anwendugnen auf das AD genauso wie auf einen openLDAP Server zu, wenn es Abweichungen gibt, gibt es eigentlich auch immer eine Anleitung dafür.
Wenn die Anwendung das nicht unterstützt, dann geht das nicht.
Gruß
Chonta
Soweit ich weiß, verwendet Samba seit Version 4.0 ein LDAP backend...
Das ist nicht irgend ein LDAP sondern das ist im Prinzip MS-Active-Directory.Das AD ist zwar im Prinzip ein LDAP aber hat dennoch seine eigenheiten.
Mein Ziel ist es, durch die Erstellung eines Benutzers auf dem Samba Server, diesen auf sämtliche externen Anwendungen zu replizieren.
Dann hast Du LDAP/AD nicht verstanden oder drückst Dich nicht richtig aus.Wenn man LDAP/AD einsetzt, dann fragen die Anwendungen zur Auflösung von Benutzern den LDAP Server/Domaincontroller und zwar immer! Die Benutzer sind nur auf dem LDAP Server und sonst nirgends.
Wenn der LDAP Server down ist, dann klapt auch die Autentifizierung nicht usw.
Welche Anforderungen muss ich bei der Samba Installation beachten, um mein Ziel zu erreichen?
Die Frage ist, ob die Anwendungen die Du verwendest sich auch in das AD integrieren lassen und in diesem Zusammenhang auch SSO beherschen.Viele Anwendungen lassen sich ins AD einbinden, aber man muss sich jedesmal mit Benutzername und Passwort anmelden.
Ist Samba nun die Beste Lösung für diese Situation oder gibt es bessere?
Kommt auf die Anwendungen an die Du verwenden willst/musst.Bis jetzt habe ich einen funktionierenden Samba Server auf einer Ubuntu 16.04.2 LTS Distribution aufgesetzt.
Also ist der Server schon ein Domaincontroller, richtig?Thema Single Sign-on.
Musst Du schauen unter welchen Umständen Deine Anwendungen das unterstützen.In den meisten Fällen greifen die Anwendugnen auf das AD genauso wie auf einen openLDAP Server zu, wenn es Abweichungen gibt, gibt es eigentlich auch immer eine Anleitung dafür.
Wenn die Anwendung das nicht unterstützt, dann geht das nicht.
Gruß
Chonta
Zitat von @Belephor:
Mein Ziel ist es, durch die Erstellung eines Benutzers auf dem Samba Server, diesen auf sämtliche externen Anwendungen zu replizieren.
Ist Samba nun die Beste Lösung für diese Situation oder gibt es bessere?
Welche Anforderungen muss ich bei der Samba Installation beachten, um mein Ziel zu erreichen?
Mein Ziel ist es, durch die Erstellung eines Benutzers auf dem Samba Server, diesen auf sämtliche externen Anwendungen zu replizieren.
Ist Samba nun die Beste Lösung für diese Situation oder gibt es bessere?
Welche Anforderungen muss ich bei der Samba Installation beachten, um mein Ziel zu erreichen?
Moin ,,,
Im wesentlich brauchst du eine Verzeichnis das die Nutzerdaten enthält. Ob das nun ein LDAP oder AD Verzeichnis ist, eine SQL-Datenbank oder auch irgendeine andere Form ist erstmal unerheblich. Wichtiger ist das die Anwendung auf einen Authentifizierungsdienst zugreifen kann der diese Daten abfragen kann.
Also sofern die Anwendung diese Möglichkeiten bietet (dürfte in der Regel der Fall sein) kannst das auch mit dem in Samba integrierten LDAP tun.
Dieser ist allerdings weniger flexibel was die Erweiterung angeht. Es kann sein das Anwendungen eigene Schemen benötigen. Diese lassen sich dann besser in eine unabhängige LDAP-Umgebung einbinden.
VG
Ashnod
Das ist nicht irgend ein LDAP sondern das ist im Prinzip MS-Active-Directory.
Das AD ist zwar im Prinzip ein LDAP aber hat dennoch seine eigenheiten.
Das AD ist zwar im Prinzip ein LDAP aber hat dennoch seine eigenheiten.
Da ich noch nicht so tief in die Thematik eingestiegen bin, sind genau diese Eigenheiten etwas verwirrend für mich.
Dann hast Du LDAP/AD nicht verstanden oder drückst Dich nicht richtig aus.
Wenn man LDAP/AD einsetzt, dann fragen die Anwendungen zur Auflösung von Benutzern den LDAP Server/Domaincontroller und zwar immer! Die > > Benutzer sind nur auf dem LDAP Server und sonst nirgends.
Wenn man LDAP/AD einsetzt, dann fragen die Anwendungen zur Auflösung von Benutzern den LDAP Server/Domaincontroller und zwar immer! Die > > Benutzer sind nur auf dem LDAP Server und sonst nirgends.
Okay, da hatte ich wirklich etwas falsch Verstanden. Also greifen die externen Anwendungen auf den Samba Server zu und verifizieren dort den Benutzer?
Also ist der Server schon ein Domaincontroller, richtig?
Korrekt!
In den meisten Fällen greifen die Anwendugnen auf das AD genauso wie auf einen openLDAP Server zu, wenn es Abweichungen gibt, gibt es > eigentlich auch immer eine Anleitung dafür.
Im Beispiel Jira gibt es verschiedene Möglichkeiten, diese Anbindungen durchzuführen. Ich bin leider bei einer Anleitung explizit für ein Samba AD nicht fündig geworden. Eine Anleitung für die Anbindung an ein Windows AD ist allerdings vorhanden. Ich bin mir allerdings nicht sicher ob ich diese Anleitung auch für ein Samba AD funktioniert.
Danke für deine Antwort!
Im wesentlich brauchst du eine Verzeichnis das die Nutzerdaten enthält. Ob das nun ein LDAP oder AD Verzeichnis ist, eine SQL-Datenbank oder auch irgendeine andere Form ist erstmal unerheblich.
Okay, dann habe ich das soweit schon mal richtig verstanden.
Der Samba Server verfügt ja bereits über einige Schemata die ich im ADSI-Editor über den Microsoft Client einsehen/editieren kann.
Da es mir ausschließlich erstmal ums Single Sign-on geht, reicht es mir wenn ich die externe Applikation mit meinem Server verknüpfe.
Ich schätze ich muss mich noch ein wenig mit den Schemata auseinander setzen um die Anbindung hinzubiegen.
Danke auch dir für deine Antwort!
VG
Bele
Ich bin leider bei einer Anleitungen explizit für ein Samba AD nicht fündig geworden.
Samba AD = Windows AD (mehr oder weniger aber für deine zwecke irrelevant) Also wenn eine Anleitung für Windows AD da ist, dann sollte die auch für den SAMBA DC funktionieren.Also greifen die externen Anwendungen auf den Samba Server zu und verifizieren dort den Benutzer?
Im Prinzip ja, kommt aber auch immer auf die Anwenung an wie man das ganze umsetzt.Es gibt Anwendungen die können direkt mit AD über LDAP kommunizieren und es gibt Anwendugnen die können das nich, die können nur lokale Konten verwenden.
Da man Durch SAMBA und Winbind aber die AD Benutzer auch als loklale benutzer unter Linux verwenden kann, ist das kein Problem.
Die Linuxserver müssen halt richtig im AD über SAMBA und Windbin eingebunden werden.
Wenn das ID Mapping stimmt läuft alles rund und Du hast auf jedem linuxserver alle AD benutzer und AD Gruppen zur Verfügung, kannst Dich damit anmdelden, Dienste mit dem Konto verwenden etc.
Der Samba Server verfügt ja bereits über einige Schemata die ich im ADSI-Editor über den Microsoft Client
Mit eigene Schama war aber was anderes gemeint. Der SAMBA hat ein Schema, logo aber bestimmte Anwendungen brauchen halt zusätzliche Anpassungen (erweiterungen) des vorhandenen Schemas.Gruß
Chonta
Wenn das ID Mapping stimmt läuft alles rund und Du hast auf jedem linuxserver alle AD benutzer und AD Gruppen zur Verfügung, kannst Dich damit anmdelden, Dienste mit dem Konto verwenden etc.
Das sollte laut meinen Tests soweit alles passen.
Samba AD = Windows AD
Okay, das Hilft mir beim Verständnis schon mal weiter. Ich hatte das Samba AD und das Samba LDAP als zwei verschiedene Module betrachtet. Deshalb habe ich bisher versucht die externe Applikation mittles einer OpenLDAP Anleitung zu verknüpfen, was mir leider nicht wirklich gelungen ist.
Ich werde mal versuchen es als Windows AD zu sehen und berichten ob ich erfolgreich bin oder nicht.
Auf jeden Fall nochmal ein großes Dankeschön.
VG
Bele
Hi,
Wie ist der Status? Funktioniert es?
Gruß
Holli
Ich werde mal versuchen es als Windows AD zu sehen und berichten ob ich erfolgreich bin oder nicht.
Wie ist der Status? Funktioniert es?
Gruß
Holli
