9
Windows 2008 Server Domaincontroller (DC) mit externem LDAP
Zugriff eines Domaincontrollers unter Windows 2008 Server auf einen Unix LDAP Server
Hallo alle zusammen,
ich habe hier eine relativ ungewöhnliche Anfrage. Die Szenerie ist wie folgt:
Das Rechenzentrum hier am Campus betreibt einen LDAP Server um Benutzerinformationen zentral für alle Dienste (Webmail, Onlinefestplatte, etc.) zu verwalten. D.h. jeder auf dem Campus hat nur eine User/Passwort-Kombination für alle Dienste. Auch eine Benutzeranmeldung mit dem Novell Client wird damit auf allen Windows Clients realisiert. Feintuning a la Gruppenrichtlinie oder Loginscripte funktioniert (mit unseren beschränkten Adminrechten) dort aber nicht, wir sind an die Vorgaben des Rechenzentrums gebunden.
Nun ist es so, dass an unserem Institut jetzt testweise ein Windows 2008 Server läuft um verschiedene Verwaltungsaufgaben für die Clients zu übernehmen (Inventarisierung, Softwareinstallation, Remoteverwaltung...). Nun soll auch ein Domaincontroller dazukommen, der Benutzer und Zugriffsrechte verwaltet und es ermöglich Gruppenrichtlinien zentral abzulegen anstatt wie bisher händisch an allen 20 XP-Clients abzugleichen.
Nun wäre es schön wenn sich alle Mitarbeiter mit ihrem "Campuspasswort" an unserer Instituts-Domain anmelden könnten. Knackpunkt ist jetzt: Wie bekomme ich es hin, dass sich unser Windows Server mit dem campusweiten LDAP abgleicht bzw. dort die Logindaten für die Domain überprüft? Die generelle Vorgehensweise ist mir unklar.
Für Hinweise oder Ideen wäre ich dankbar.
Beste Grüße
Daniel
Hallo alle zusammen,
ich habe hier eine relativ ungewöhnliche Anfrage. Die Szenerie ist wie folgt:
Das Rechenzentrum hier am Campus betreibt einen LDAP Server um Benutzerinformationen zentral für alle Dienste (Webmail, Onlinefestplatte, etc.) zu verwalten. D.h. jeder auf dem Campus hat nur eine User/Passwort-Kombination für alle Dienste. Auch eine Benutzeranmeldung mit dem Novell Client wird damit auf allen Windows Clients realisiert. Feintuning a la Gruppenrichtlinie oder Loginscripte funktioniert (mit unseren beschränkten Adminrechten) dort aber nicht, wir sind an die Vorgaben des Rechenzentrums gebunden.
Nun ist es so, dass an unserem Institut jetzt testweise ein Windows 2008 Server läuft um verschiedene Verwaltungsaufgaben für die Clients zu übernehmen (Inventarisierung, Softwareinstallation, Remoteverwaltung...). Nun soll auch ein Domaincontroller dazukommen, der Benutzer und Zugriffsrechte verwaltet und es ermöglich Gruppenrichtlinien zentral abzulegen anstatt wie bisher händisch an allen 20 XP-Clients abzugleichen.
Nun wäre es schön wenn sich alle Mitarbeiter mit ihrem "Campuspasswort" an unserer Instituts-Domain anmelden könnten. Knackpunkt ist jetzt: Wie bekomme ich es hin, dass sich unser Windows Server mit dem campusweiten LDAP abgleicht bzw. dort die Logindaten für die Domain überprüft? Die generelle Vorgehensweise ist mir unklar.
Für Hinweise oder Ideen wäre ich dankbar.
Beste Grüße
Daniel
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 99045
Url: https://administrator.de/contentid/99045
Ausgedruckt am: 22.11.2024 um 18:11 Uhr
9 Kommentare
Neuester Kommentar
Ja, eine Synchronisierung ist realisierbar. Dazu brauchst du allerdings den MIIS (Microsoft Identy Integration Server) MIIS FAQ. Die Planung sollte dabei aber sehr gut durchdacht sein, da das LDAP mit dem du synchronisieren möchtest, einige Anforderungen erfüllen muss.
Bitte beziehe dazu auch einen Mitarbeiter, der sich mit der bestehenden LDAP-Struktur auskennt, ein.
Bitte beziehe dazu auch einen Mitarbeiter, der sich mit der bestehenden LDAP-Struktur auskennt, ein.
Danke für deine Antwort,
Ich glaube MIIS ist ein sehr guter Anhaltspunkt, allerdings bin ich bei der Preisrecherche fast vom Stuhl gefallen. 11.000$ sind dann doch ein wenig heftig. Das sprengt unser (knappes) Budget bei weitem, zumal noch andere Dinge auf unserer Wunschliste stehen.
Ich habe jetzt Kontakt zu unserer Netzadministration aufgenommen und angefragt was denen dazu einfällt. Vielleicht gibt es noch eine "Hintertür" über eine Novell eDirectory Schnittstelle mit der man MIIS umschiffen kann.
Vielen Dank
Daniel
Ich glaube MIIS ist ein sehr guter Anhaltspunkt, allerdings bin ich bei der Preisrecherche fast vom Stuhl gefallen. 11.000$ sind dann doch ein wenig heftig. Das sprengt unser (knappes) Budget bei weitem, zumal noch andere Dinge auf unserer Wunschliste stehen.
Ich habe jetzt Kontakt zu unserer Netzadministration aufgenommen und angefragt was denen dazu einfällt. Vielleicht gibt es noch eine "Hintertür" über eine Novell eDirectory Schnittstelle mit der man MIIS umschiffen kann.
Vielen Dank
Daniel
Ja, der Preis von dem "Ding" ist extrem. Aber er ist ja auch für sehr große Umgebungen ausgelegt, ich denke mal es ist günstiger 5000 Studenten und 1000 Mitarbeiter im MIIS zu pflegen, als in 20 verschiedenen Datenbanken die entsprechenden User anzulegen. Das betrifft nicht nur euer Windows-Labor.
Es gibt da noch den Identity Lifecycle-Manager für Server2008. Kann ich aber jetzt nicht genau sagen was der tut. Ab besten selbst einmal anschauen.
http://www.microsoft.com/windowsserver2008/en/us/ida-identity-lifecycle ...
Alternativ könntet ihr etwas basteln, das aus dem eDirectory eine LDIF oder CSV exportiert und die Benutzer im AD anlegt. Sobald ein User im AD eDirectory deaktiviert wurde, muss ein dsmod-query auf das AD losgelassen werden. Sollte, wenn ihr genug Zeit habt so etwas zu basteln, auch nicht das Problem sein.
Es gibt da noch den Identity Lifecycle-Manager für Server2008. Kann ich aber jetzt nicht genau sagen was der tut. Ab besten selbst einmal anschauen.
http://www.microsoft.com/windowsserver2008/en/us/ida-identity-lifecycle ...
Alternativ könntet ihr etwas basteln, das aus dem eDirectory eine LDIF oder CSV exportiert und die Benutzer im AD anlegt. Sobald ein User im AD eDirectory deaktiviert wurde, muss ein dsmod-query auf das AD losgelassen werden. Sollte, wenn ihr genug Zeit habt so etwas zu basteln, auch nicht das Problem sein.
Zeit haben wir genug. Wichtig ist nur, DASS es klappt *g* Es geht im Prinzip nur so um 40-50 Kennungen mit Passwort. Die Passwörter altern allerdings und müssen alle 12 Monate geändert werden. Irgendwie ist das bei Debian alles ein wenig einfacher, aber leider hat Samba (noch) kein Active Directory.
Nagut, das ablaufdatu des Account bzw. denn Kennwortes kannst du an das AD übergeben. Allerdings hast du ein Problen, wenn du die Kennwörter nicht umkehrbar speicherst, wird eine Änderung von einem Windows-PC nicht das eDirectory Kennwort aktualisieren. Automatisch schon garnicht. Du musst etwas basteln, das prüft ob im AD das Kennwort geändert wurde, und wenn, dieses synchronisiert. Eventuell währe es ja besser, die Anmeldung mit dem Novell Client weiterhin zu fahren und nur Computerkonten in das AD aufzunehmen. Ohne größere Bastelarbeit oder MIIS wüsste ich sonst ned wie man so etwas automatisieren sollte.
Vieleicht eine Webbasierende Lösung? Ein selbst aufgesetzter Server mit Datenbank auf dem alle Nutzer ihre Kennwörter änern sollen. Wenn es dort geändert wurde, führt der Server in beiden Verzeichnissen eine Aktualisierung durch. Quasi den MIIS nachbauen. Falls jemand nach 365 Tagen das PW ned geändert hat, kann dieser Dienst ja auch die Konten deaktivieren.
Nur so ein Einfall...
Vieleicht eine Webbasierende Lösung? Ein selbst aufgesetzter Server mit Datenbank auf dem alle Nutzer ihre Kennwörter änern sollen. Wenn es dort geändert wurde, führt der Server in beiden Verzeichnissen eine Aktualisierung durch. Quasi den MIIS nachbauen. Falls jemand nach 365 Tagen das PW ned geändert hat, kann dieser Dienst ja auch die Konten deaktivieren.
Nur so ein Einfall...
Hi nochmal,
das eDirectory ist für mich nicht beschreibbar (nur von den Admins in den heiligen Serverhallen) soweit ich das verstanden habe. Das ist aber kein Problem, denn die Benutzer sind ohnehin angehalten ihr Kennwort über eine bereitgestellte Weboberfläche des Rechenzentrums zu ändern. Muss man eben damit leben, dass Kennwörter nur in eine Richtung synchronisiert werden. Denke das tut keinem weh im Bedarfsfall die Weboberfläche aufzusuchen (zumal es auch über den Novell Client geht sofern er installiert ist).
Das mit den Computerkonten im AD ist gar nicht so verkehrt. Mal nachhören wie sich das mit den Novell Richtlinien verträgt bzw. ob man AD mit dem Novell Client mischen kann. Geht es überhaupt einen Computer in eine Domain und gleichzeitig in eine Novellgruppe(oder wie auch immer das dort heißt) zu integrieren?
Wie man hier sieht: Windows Server ist für mich Neuland. Bisher hatte ich dort nur flüchtig mit dem IIS zu tun. Derzeit ist Bücher wälzen und googlen angesagt.
das eDirectory ist für mich nicht beschreibbar (nur von den Admins in den heiligen Serverhallen) soweit ich das verstanden habe. Das ist aber kein Problem, denn die Benutzer sind ohnehin angehalten ihr Kennwort über eine bereitgestellte Weboberfläche des Rechenzentrums zu ändern. Muss man eben damit leben, dass Kennwörter nur in eine Richtung synchronisiert werden. Denke das tut keinem weh im Bedarfsfall die Weboberfläche aufzusuchen (zumal es auch über den Novell Client geht sofern er installiert ist).
Das mit den Computerkonten im AD ist gar nicht so verkehrt. Mal nachhören wie sich das mit den Novell Richtlinien verträgt bzw. ob man AD mit dem Novell Client mischen kann. Geht es überhaupt einen Computer in eine Domain und gleichzeitig in eine Novellgruppe(oder wie auch immer das dort heißt) zu integrieren?
Wie man hier sieht: Windows Server ist für mich Neuland. Bisher hatte ich dort nur flüchtig mit dem IIS zu tun. Derzeit ist Bücher wälzen und googlen angesagt.
Hi,
ganz so einfach wird es nicht. Denn wenn im RZ z.B. x.500 betrieben wird, wird es auch unzählige OU's geben und vllt. auch noch mit "Standort"e. Somit ist der Import über CSV, dsmod-query schwierig. Es kommt auch eben drauf an, welchen Zugriff du auf einen LDAP bekommen wirst bzw hast. Denn bei sowas wird sehr viel Wert auf Datenschutz gelegt.
Meine Idee geht dahin, dass du den Server 2008 in den Domain-Forest als Sub-DC laufen aufnimmst. Somit ist der Server im LDAP intergriert und hast auf alle Benutzer Zugriff. Somit sollten eigentlich Usernamen und Passwörter aus dem LDAP kommen.
Gruss,
Dani
ganz so einfach wird es nicht. Denn wenn im RZ z.B. x.500 betrieben wird, wird es auch unzählige OU's geben und vllt. auch noch mit "Standort"e. Somit ist der Import über CSV, dsmod-query schwierig. Es kommt auch eben drauf an, welchen Zugriff du auf einen LDAP bekommen wirst bzw hast. Denn bei sowas wird sehr viel Wert auf Datenschutz gelegt.
Meine Idee geht dahin, dass du den Server 2008 in den Domain-Forest als Sub-DC laufen aufnimmst. Somit ist der Server im LDAP intergriert und hast auf alle Benutzer Zugriff. Somit sollten eigentlich Usernamen und Passwörter aus dem LDAP kommen.
Gruss,
Dani
So... Ich bin dem Tipp von datasearch ein wenig tiefer gefolgt und habe Google angestrengt um ein wenig Schlauer zu werden. Bei den Stichworten "novell client" und "active directory" bin ich über folgenden Beitrag gestolpert:
http://articles.techrepublic.com.com/5100-10878_11-5031657.html
Dort wird beschrieben, dass es ein Tool von Novell für Windows Server gibt, das sich "Microsoft Directory Synchronization Services (MSDSS)" nennt und eine Synchronisation von AD nach eDirectory ermöglicht als auch in beide Richtungen. Das besagte Tool hängt sich ins AD des Windows Servers und kann einen Novell LDAP Server ansprechen mit dem es Objekte (auch Benutzer) abgleicht. Allemal sehr interessent.
Leider bezieht sich der Artikel auf Windows Server 2000 und Novell 5.0. Ob das auch in meinem Fall (Win Server 2008 und Novell 6.x) klappt bzw. das Programm weiterentwickelt wirde, ist offen. Ich höre mich mal um und werde berichten.
Daniel
http://articles.techrepublic.com.com/5100-10878_11-5031657.html
Dort wird beschrieben, dass es ein Tool von Novell für Windows Server gibt, das sich "Microsoft Directory Synchronization Services (MSDSS)" nennt und eine Synchronisation von AD nach eDirectory ermöglicht als auch in beide Richtungen. Das besagte Tool hängt sich ins AD des Windows Servers und kann einen Novell LDAP Server ansprechen mit dem es Objekte (auch Benutzer) abgleicht. Allemal sehr interessent.
Leider bezieht sich der Artikel auf Windows Server 2000 und Novell 5.0. Ob das auch in meinem Fall (Win Server 2008 und Novell 6.x) klappt bzw. das Programm weiterentwickelt wirde, ist offen. Ich höre mich mal um und werde berichten.
Daniel
Habe mich die Tage mit unserem Netzwerkexperten unterhalten und der meinte es würde zwar funktionieren, allerdings hat er mir geraten auf ein bereits (auf dem Campus) existierendes System auszuweichen. Der Zauberkandidat heißt übrigens Novell ZenWorks und kann so einiges wie mir demonstriert wurde.
Für alle, die es interessiert:
Wir verwenden einen Novell Open Enterprise Server mit der ZenWorks Desktop Management. Später soll noch das Asset Management dazukommen. Ganz witzig das System.
Link http://www.novell.com/de-de/products/zenworks/
Für alle, die es interessiert:
Wir verwenden einen Novell Open Enterprise Server mit der ZenWorks Desktop Management. Später soll noch das Asset Management dazukommen. Ganz witzig das System.
Link http://www.novell.com/de-de/products/zenworks/
