Windows 2008 Server Domaincontroller (DC) mit externem LDAP
Zugriff eines Domaincontrollers unter Windows 2008 Server auf einen Unix LDAP Server
Hallo alle zusammen,
ich habe hier eine relativ ungewöhnliche Anfrage. Die Szenerie ist wie folgt:
Das Rechenzentrum hier am Campus betreibt einen LDAP Server um Benutzerinformationen zentral für alle Dienste (Webmail, Onlinefestplatte, etc.) zu verwalten. D.h. jeder auf dem Campus hat nur eine User/Passwort-Kombination für alle Dienste. Auch eine Benutzeranmeldung mit dem Novell Client wird damit auf allen Windows Clients realisiert. Feintuning a la Gruppenrichtlinie oder Loginscripte funktioniert (mit unseren beschränkten Adminrechten) dort aber nicht, wir sind an die Vorgaben des Rechenzentrums gebunden.
Nun ist es so, dass an unserem Institut jetzt testweise ein Windows 2008 Server läuft um verschiedene Verwaltungsaufgaben für die Clients zu übernehmen (Inventarisierung, Softwareinstallation, Remoteverwaltung...). Nun soll auch ein Domaincontroller dazukommen, der Benutzer und Zugriffsrechte verwaltet und es ermöglich Gruppenrichtlinien zentral abzulegen anstatt wie bisher händisch an allen 20 XP-Clients abzugleichen.
Nun wäre es schön wenn sich alle Mitarbeiter mit ihrem "Campuspasswort" an unserer Instituts-Domain anmelden könnten. Knackpunkt ist jetzt: Wie bekomme ich es hin, dass sich unser Windows Server mit dem campusweiten LDAP abgleicht bzw. dort die Logindaten für die Domain überprüft? Die generelle Vorgehensweise ist mir unklar.
Für Hinweise oder Ideen wäre ich dankbar.
Beste Grüße
Daniel
Hallo alle zusammen,
ich habe hier eine relativ ungewöhnliche Anfrage. Die Szenerie ist wie folgt:
Das Rechenzentrum hier am Campus betreibt einen LDAP Server um Benutzerinformationen zentral für alle Dienste (Webmail, Onlinefestplatte, etc.) zu verwalten. D.h. jeder auf dem Campus hat nur eine User/Passwort-Kombination für alle Dienste. Auch eine Benutzeranmeldung mit dem Novell Client wird damit auf allen Windows Clients realisiert. Feintuning a la Gruppenrichtlinie oder Loginscripte funktioniert (mit unseren beschränkten Adminrechten) dort aber nicht, wir sind an die Vorgaben des Rechenzentrums gebunden.
Nun ist es so, dass an unserem Institut jetzt testweise ein Windows 2008 Server läuft um verschiedene Verwaltungsaufgaben für die Clients zu übernehmen (Inventarisierung, Softwareinstallation, Remoteverwaltung...). Nun soll auch ein Domaincontroller dazukommen, der Benutzer und Zugriffsrechte verwaltet und es ermöglich Gruppenrichtlinien zentral abzulegen anstatt wie bisher händisch an allen 20 XP-Clients abzugleichen.
Nun wäre es schön wenn sich alle Mitarbeiter mit ihrem "Campuspasswort" an unserer Instituts-Domain anmelden könnten. Knackpunkt ist jetzt: Wie bekomme ich es hin, dass sich unser Windows Server mit dem campusweiten LDAP abgleicht bzw. dort die Logindaten für die Domain überprüft? Die generelle Vorgehensweise ist mir unklar.
Für Hinweise oder Ideen wäre ich dankbar.
Beste Grüße
Daniel
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 99045
Url: https://administrator.de/forum/windows-2008-server-domaincontroller-dc-mit-externem-ldap-99045.html
Ausgedruckt am: 23.12.2024 um 03:12 Uhr
9 Kommentare
Neuester Kommentar
Ja, eine Synchronisierung ist realisierbar. Dazu brauchst du allerdings den MIIS (Microsoft Identy Integration Server) MIIS FAQ. Die Planung sollte dabei aber sehr gut durchdacht sein, da das LDAP mit dem du synchronisieren möchtest, einige Anforderungen erfüllen muss.
Bitte beziehe dazu auch einen Mitarbeiter, der sich mit der bestehenden LDAP-Struktur auskennt, ein.
Bitte beziehe dazu auch einen Mitarbeiter, der sich mit der bestehenden LDAP-Struktur auskennt, ein.
Ja, der Preis von dem "Ding" ist extrem. Aber er ist ja auch für sehr große Umgebungen ausgelegt, ich denke mal es ist günstiger 5000 Studenten und 1000 Mitarbeiter im MIIS zu pflegen, als in 20 verschiedenen Datenbanken die entsprechenden User anzulegen. Das betrifft nicht nur euer Windows-Labor.
Es gibt da noch den Identity Lifecycle-Manager für Server2008. Kann ich aber jetzt nicht genau sagen was der tut. Ab besten selbst einmal anschauen.
http://www.microsoft.com/windowsserver2008/en/us/ida-identity-lifecycle ...
Alternativ könntet ihr etwas basteln, das aus dem eDirectory eine LDIF oder CSV exportiert und die Benutzer im AD anlegt. Sobald ein User im AD eDirectory deaktiviert wurde, muss ein dsmod-query auf das AD losgelassen werden. Sollte, wenn ihr genug Zeit habt so etwas zu basteln, auch nicht das Problem sein.
Es gibt da noch den Identity Lifecycle-Manager für Server2008. Kann ich aber jetzt nicht genau sagen was der tut. Ab besten selbst einmal anschauen.
http://www.microsoft.com/windowsserver2008/en/us/ida-identity-lifecycle ...
Alternativ könntet ihr etwas basteln, das aus dem eDirectory eine LDIF oder CSV exportiert und die Benutzer im AD anlegt. Sobald ein User im AD eDirectory deaktiviert wurde, muss ein dsmod-query auf das AD losgelassen werden. Sollte, wenn ihr genug Zeit habt so etwas zu basteln, auch nicht das Problem sein.
Nagut, das ablaufdatu des Account bzw. denn Kennwortes kannst du an das AD übergeben. Allerdings hast du ein Problen, wenn du die Kennwörter nicht umkehrbar speicherst, wird eine Änderung von einem Windows-PC nicht das eDirectory Kennwort aktualisieren. Automatisch schon garnicht. Du musst etwas basteln, das prüft ob im AD das Kennwort geändert wurde, und wenn, dieses synchronisiert. Eventuell währe es ja besser, die Anmeldung mit dem Novell Client weiterhin zu fahren und nur Computerkonten in das AD aufzunehmen. Ohne größere Bastelarbeit oder MIIS wüsste ich sonst ned wie man so etwas automatisieren sollte.
Vieleicht eine Webbasierende Lösung? Ein selbst aufgesetzter Server mit Datenbank auf dem alle Nutzer ihre Kennwörter änern sollen. Wenn es dort geändert wurde, führt der Server in beiden Verzeichnissen eine Aktualisierung durch. Quasi den MIIS nachbauen. Falls jemand nach 365 Tagen das PW ned geändert hat, kann dieser Dienst ja auch die Konten deaktivieren.
Nur so ein Einfall...
Vieleicht eine Webbasierende Lösung? Ein selbst aufgesetzter Server mit Datenbank auf dem alle Nutzer ihre Kennwörter änern sollen. Wenn es dort geändert wurde, führt der Server in beiden Verzeichnissen eine Aktualisierung durch. Quasi den MIIS nachbauen. Falls jemand nach 365 Tagen das PW ned geändert hat, kann dieser Dienst ja auch die Konten deaktivieren.
Nur so ein Einfall...
Hi,
ganz so einfach wird es nicht. Denn wenn im RZ z.B. x.500 betrieben wird, wird es auch unzählige OU's geben und vllt. auch noch mit "Standort"e. Somit ist der Import über CSV, dsmod-query schwierig. Es kommt auch eben drauf an, welchen Zugriff du auf einen LDAP bekommen wirst bzw hast. Denn bei sowas wird sehr viel Wert auf Datenschutz gelegt.
Meine Idee geht dahin, dass du den Server 2008 in den Domain-Forest als Sub-DC laufen aufnimmst. Somit ist der Server im LDAP intergriert und hast auf alle Benutzer Zugriff. Somit sollten eigentlich Usernamen und Passwörter aus dem LDAP kommen.
Gruss,
Dani
ganz so einfach wird es nicht. Denn wenn im RZ z.B. x.500 betrieben wird, wird es auch unzählige OU's geben und vllt. auch noch mit "Standort"e. Somit ist der Import über CSV, dsmod-query schwierig. Es kommt auch eben drauf an, welchen Zugriff du auf einen LDAP bekommen wirst bzw hast. Denn bei sowas wird sehr viel Wert auf Datenschutz gelegt.
Meine Idee geht dahin, dass du den Server 2008 in den Domain-Forest als Sub-DC laufen aufnimmst. Somit ist der Server im LDAP intergriert und hast auf alle Benutzer Zugriff. Somit sollten eigentlich Usernamen und Passwörter aus dem LDAP kommen.
Gruss,
Dani