Hi,

wie haben bei uns in der Firma folgendes Szenario:

- Windows 2000 ADS Domain
- Mehrere Unixrechner (5xSolaris) die derzeit über NIS die User verwalten
- Mehrere Linuxrechner mit lokalen Benutzern und auch über NIS
- UNIX/LINUX Homedirectorys werden über nfs eingehängt

Mein Ziel ist eine zentrale Benutzerverwaltung mit Anbindung an Active
Directory, Nice to have wäre wenn man auch noch zusätzlich die Windows Homes
ebenfalls unter Unix sichtbar machen kann/könnte .

Hier mal so das wie es evtl. geht/gehen könnte?

- alle Rechner werden auf Samba3 migriert da hier Kerberos mit ADS funzt/soll
- Windowshomedirectory können zumind auf Linux per samba gemappt werden
- kann man gemappte shares per nfs exportieren?
- wie kann ich dann sagen wo die Homedirectorys liegen ?

Oder was auch gehen würde: ich baue mir eine eigene Unix LDAP Domäne auf
und probier die irgendwie gesynct zubekommen .. blos wie?

Ich weiß sind noch nicht viele Daten .. bin aber erst am Anfang des Projektes.

Ganz am Ende will ich ein Single Sign On erreichen .

Wäre super wenn mir jemand weiterhelfen kann.

Gruß

troubadix

Original geschrieben von troubadix
Hi,
- alle Rechner werden auf Samba3 migriert da hier Kerberos mit ADS funzt/soll
- Windowshomedirectory können zumind auf Linux per samba gemappt werden
- kann man gemappte shares per nfs exportieren?
- wie kann ich dann sagen wo die Homedirectorys liegen ?

Oder was auch gehen würde: ich baue mir eine eigene Unix LDAP Domäne auf
und probier die irgendwie gesynct zubekommen .. blos wie?
troubadix

Das AD ist bereits eine "LDAP Domäne". Du kannst samba gegen den AD authtenifizieren lassen und mit pam_mount (libpam_mount bei debian) die Homeverzeichnisse mounten. Die müssen natürlich nicht auf dem samba server, sonern können auf irgendeinem smb-server (auch MS) liegen. Für die unix-Anmeldung wir pam_ldap mit dem AD wohl nicht gehen, aber vielleicht pam_smb (oder pam_ntlm?). Ich persönlich würde eher von einem Mischbetrieb nfs/smbfs abraten, jedenfalls würde ich einen samba-server nicht gleichzeitig zum nfs-server machen.

mamue

Hi,

zuerst mal danke für die Antworten. Ich denke mit Samba 3 sollte auch eine Authentifizierung gegen ADS mittels Kerberos gehen. Hab bisher nur englischprachige anleitungen gefunden .. aber da mein Englisch nicht das beste ist :(

Also muß ich wohl zuerst Kerberos einstellen und dann Samba über Kerberos authentifizieren bzw. Unix Logins.

Gruß

troubadix

Original geschrieben von mamue
Das AD ist bereits eine "LDAP Domäne". Du kannst samba gegen den AD authtenifizieren lassen und mit pam_mount (libpam_mount bei debian) die Homeverzeichnisse mounten. Die müssen natürlich nicht auf dem samba server, sonern können auf irgendeinem smb-server (auch MS) liegen. Für die unix-Anmeldung wir pam_ldap mit dem AD wohl nicht gehen, aber vielleicht pam_smb (oder pam_ntlm?). Ich persönlich würde eher von einem Mischbetrieb nfs/smbfs abraten, jedenfalls würde ich einen samba-server nicht gleichzeitig zum nfs-server machen.

mamue

Hi Mamue,

kannst Du mir bitte mal erklären oder links geben wie ich samba gegen ads authentifizieren kann?

Gruß

troubadix

Garnicht. Da hast du wieder das Kerberos Problem, da die Authentifizierung mit Kerberos gesichert ist.

Wenn Du kerberos am laufen hast, authentifizierst Du natürlich gegen den KS und nicht gegen das AD.
Ansonsten muß ich Dich an der Stelle auf die samba3-howto collection verweisen, in der diese Möglichkeiten recht übersichtlich aufgelistet werden.

mamue

Ich persönlich würde eher von einem Mischbetrieb nfs/smbfs abraten, jedenfalls würde ich einen samba-server nicht gleichzeitig zum nfs-server machen.

@mamue:
Warum eigentlich nicht??!? :confused:
Da liegen die Userdaten doch normalerweise sowieso rum.

Wenn es möglich ist, steige auf Novell eDirectory um,.

Das läuft sowohl unter Windows, als auch unter Linux und diversen Unixen(AIX,Tru64,Solaris,HP-UP)

eDirectory kann auch via DirXML mit ADS gesynct werden.

Original geschrieben von bom
Wenn es möglich ist, steige auf Novell eDirectory um,.

Das läuft sowohl unter Windows, als auch unter Linux und diversen Unixen(AIX,Tru64,Solaris,HP-UP)

eDirectory kann auch via DirXML mit ADS gesynct werden.

.. das überlege ich mir auch gerade .. was mich abhält ist:

- Lizenzkosten = uklar
- evtl. wieder von Hersteller abhängig

troubadix

Original geschrieben von aheinhold
@mamue:
Warum eigentlich nicht??!? (NFS und samba gleichzeitig)
Da liegen die Userdaten doch normalerweise sowieso rum.

Laut samba doku ist ein performanter NFS server (auf performance getunt) meist ein langsamer smb server. Die Parameter, die das eine günstig beeinflussen, beeinflussen das andere ungünstig, sagt die Doku.

mamue

Original geschrieben von troubadix
.. das überlege ich mir auch gerade .. was mich abhält ist:

- Lizenzkosten = uklar
- evtl. wieder von Hersteller abhängig

troubadix

Lizenzkosten für eDirectory: $2.00 pro User
Lizenzkosten für DirXML(für Anbindung an ADS): $6.00 pro User

Die Abhängigkeit hast Du leider dann, aber momentan hast Du sie auch.

Ach ja, ein Single Sign On wirst Du nur über ein Drittprodukt erreichen.
Aber was Du mit eDirectory erreichen kannst, ist ein Single Source Of Sign On.
Daher die komplette Auth. wird immer gegen das eDirectory gemacht. Ob es nun via eDirectory Login(Novell Client auf Windows, ncpfs auf Linux, mod_edirectory für'n Apache) oder via LDAP gemacht wird kannst Du Dir ja dann raussuchen.

Original geschrieben von bom
Lizenzkosten für eDirectory: $2.00 pro User
Lizenzkosten für DirXML(für Anbindung an ADS): $6.00 pro User

Die Abhängigkeit hast Du leider dann, aber momentan hast Du sie auch.

Ach ja, ein Single Sign On wirst Du nur über ein Drittprodukt erreichen.
Aber was Du mit eDirectory erreichen kannst, ist ein Single Source Of Sign On.
Daher die komplette Auth. wird immer gegen das eDirectory gemacht. Ob es nun via eDirectory Login(Novell Client auf Windows, ncpfs auf Linux, mod_edirectory für'n Apache) oder via LDAP gemacht wird kannst Du Dir ja dann raussuchen.

Sorry .. will ja net nerven aber:

- windows 2000 Domäne soll derzeit bestehen bleiben
- windows 2000 Domäne wird dann auf E-Directory gesynct mit Dirxml, inlc. Passwörter??
- user authentifiziert sich in windows .. wie ist das dann mit unix (solaris, Linux?)

==> zumindest hätte man nur eine Stelle um User anzulegen oder??

gruß

troubadix

Original geschrieben von troubadix
Sorry .. will ja net nerven aber:

- windows 2000 Domäne soll derzeit bestehen bleiben
- windows 2000 Domäne wird dann auf E-Directory gesynct mit Dirxml, inlc. Passwörter??
- user authentifiziert sich in windows .. wie ist das dann mit unix (solaris, Linux?)

==> zumindest hätte man nur eine Stelle um User anzulegen oder??


Wieso solltest Du nerven?

Also es kann alles so bestehen bleiben.
Du installierst einen Windowsserver(für DirXML für ADS braucht man eDirectory auf Windows) mit eDirectory drauf(muss kein Server sein, daher reicht ein Professional aus).
Auf diesem Server installierst Du dann den DirXML Treiber, der die Daten zwischen eDirectory und ADS synct. Was und bei welchem Event(user ändert sich, neuer User wird angelegt, wtc) dabei synchrinisiert wird, definierst Du mit einem XML-Transform Sheet.
Passwörter werden auch synchronisiert(http://www.novell.com/documentation/lg/pwdsync10/index.html?page=/documentation/lg/pwdsync10/passsync/data/aefgwui.html)

Damit die Unix/Linux User auch angelegt werden(also wenn Du in ADS bzw. eDir einen User anlegst, dass dann auch einer auf der Unix/Linux Kiste angelegt wird), musst Du IMHO noch einen anderen DirXML Treiber am laufen haben(DirXML für NIS).

Am besten redest Du mal mit einem von Novell, denn wie Du siehst, ist es nicht so simpel, was Du vorhast. Da werden Sie geholfen ;)

Hi,

ok das hab ich soweit verstanden.

Im Moment geht es darum, wie oben geschrieben, die User nur an einer Stelle zu pflegen.

Was mir auch noch in der Nase liegt sind die SFU3.0 von MS. Mit diesen kann man , so versteh ich das zumind, eine NIS Domäne anlegen die mit Usern vom ADS gefüllt ist. Des weitern kann man auch nfs shares unter Windows anlegen. Der Preis von 99$ erscheint auch geradewegs geschenkt ..

Hast Du damit schon Erfahrungen? Weil so wie ich das sehe würde das am schnellsten umzusetzen gehen.

Gruß

troubadix

Original geschrieben von troubadix
Was mir auch noch in der Nase liegt sind die SFU3.0 von MS. Mit diesen kann man , so versteh ich das zumind, eine NIS Domäne anlegen die mit Usern vom ADS gefüllt ist. Des weitern kann man auch nfs shares unter Windows anlegen. Der Preis von 99$ erscheint auch geradewegs geschenkt ..

Hast Du damit schon Erfahrungen? Weil so wie ich das sehe würde das am schnellsten umzusetzen gehen.


Nein, leider habe ich mit SFU keinerlei Erfahrungen. Wir haben keine Domäne, sondern nur eDirectory. Das syncen wir aber mit unseren Kollegen in anderen europäischen Ländern, die z.B. Netscape DS, ADS, OpenLDAP haben.

Original geschrieben von bom
Nein, leider habe ich mit SFU keinerlei Erfahrungen. Wir haben keine Domäne, sondern nur eDirectory. Das syncen wir aber mit unseren Kollegen in anderen europäischen Ländern, die z.B. Netscape DS, ADS, OpenLDAP haben.

Ok no problem .. ich habe mir mal 120Tage Trial runtergeladen und werde das dann mal testen. Wenn interesse besteht gebe ich kurz feedback.

troubadix