PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : SUsE LDAP an WinServer ActiveDirectory anbinden



crazychris
07.10.09, 14:20
Hallo,

wie schon im Thementitel beschrieben habe ich einen LDAP-Server der auf openSUsE 11.1 aufgesetzt ist und auch prinzipiell funktioniert. Er hat auch eine Samba-Freigabe auf ein angelegtes Verzeichniss, ob das wichtig ist oder nicht weiß ich nicht.

Jetzt zu meinem Projekt.
Ich möchte diesen LDAP an ein bereits existierendes AD welches auf einem WindowsServer 2003 läuft, anbinden.
Ein User der sich am LDAP anmeldet soll auf AD abprüfen ob er existiert und sich dann nach überprüfung einloggen dürfen. Ich will quasi die existierenden AD Usereinträge nutzen um ein am LDAP einloggenden User freizugeben.

Ist verwirrend, aber ich brauche eben die existierenden Usereinträge vom AD für meinen LDAP-Userlogin. Am besten auch die existierenden AD-Usergruppen.

Kann mir dazu hier jemand Hilfestellung geben wie ich das verwirklichen kann ???


Viele Grüße
Chris

Henning14
08.10.09, 12:45
Du weisst, daß LDAP und Active Directory fast das selbe sind? Es sind beide x.500-Kompatible Datenbänke, die Directory Services bereitstellen.

Das Novell E-Directory (formerly NDS) ist auch ein x.500 -kompatibler Dienst, den man zum Bleistift via ldapsearch abfragen kann.

man ldapsearch
Kannst Du nicht das ADS direkt abfragen, statt einen zweites Directory Service (openldap) aufzubauen, bzw zu pflegen, der obendrein die Daten der Microsoft Datenbank ADS nur spiegeln soll und obendrein auch noch irgendwie ständig aktuell gehalten werden muß?

Aber wenn Du Dir aus irgendwelchen Gründen zwingend einen eigenen Directory Tree mittels ldapd aufbauen musst, würde ich erstmal über ldapsearch das ADS auslesen und dann in Deine Datenbank importieren.

Wenn Du mal nach "ldapsearch ADS auslesen" googelst, wirst Du ein Stückchen schlauer ;-)

Ob openldap von Haus aus die Möglichkeit bietet, sich mit einem Teil oder einer kompletten ADS zu syncronisieren, weiss isch leider net :(

Ideal wäre es doch, wenn die Linuxdienste sich via LDAP direkt im ADS anmelden könnten, denn das ich doch eure "primäre" Userdatenbank, oder missverstehe ich Dich da ?
Die openldap Datenbank, die ja schon läuft ist doch eher aus dem Grund aufgebaut worden, weil ihr das ADS nicht nutzen konntet, nicht weil es spassig war, eine zweite Datenbank aufzubauen. Daten doppelt zu pflegen ist ja normalerweise nicht die Richtung, wo man hinwill. Das macht man nur, wenn man es muss.

Am Besten ihr migriert von ADS zu E-Directory *lach*. Novell hat schließlich eine bessere Linuxintegration :D. Aber ich werde dogmatisch, und das soll man doch net sein ;-)

goodluck

crazychris
08.10.09, 13:28
Danke für deinen Hinweis. Ja ich weiß ist etwas verwirrend bei uns hier, aber vielleicht hilft es ja wenn ich die Situation nochmal kurz schildere.
AD läuft ansich gut und wird auch von allen PC-Usern genutzt. Jetzt ist es aber so das wir eine recht gemischte Systemumgebung haben, manche PC-User müssen sich noch auf einem UNIX-Server mit Sambafreigaben verbinden.
Jetzt wäre es natürlich ideal wenn sie sich nicht neu anmelden müssten sondern sich mit ihrem Windows-Account verbinden könnten.
Die Software die unter UNIX läuft unterstützt aber keinen AD Zugriff sondern nur LDAP. Drum unsere Überlegung einen Linuxserver mit LDAP aufzusetzen und hierüber das AD abzuchecken und den User für den "Sambazugriff" freizugeben.
Aber dazu müsste ich ja das AD und deren Gruppen abfragen können.

Also es soll möglichst nur der WIN-AD-Account genutzt werden um sich mit der Samba-Freigabe zu verbinden.

Muß ich da in der ldap.conf noch Änderungen vornehmen?

# RFC 2307 (AD) mappings
#nss_map_objectclass posixAccount user
#nss_map_objectclass shadowAccount user
#nss_map_attribute uid sAMAccountName
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup group
#nss_map_attribute uniqueMember member
#pam_login_attribute sAMAccountName
#pam_filter objectclass=User
#pam_password ad

# configure --enable-authpassword is no longer supported
# AuthPassword mappings
#nss_map_attribute userPassword authPassword

# AIX SecureWay mappings
#nss_map_objectclass posixAccount aixAccount
#nss_base_passwd ou=aixaccount,?one
#nss_map_attribute uid userName
#nss_map_attribute gidNumber gid
#nss_map_attribute uidNumber uid
#nss_map_attribute userPassword passwordChar
#nss_map_objectclass posixGroup aixAccessGroup
#nss_base_group ou=aixgroup,?one
#nss_map_attribute cn groupName
#nss_map_attribute uniqueMember member
#pam_login_attribute userName
#pam_filter objectclass=aixAccount
#pam_password clear

# For pre-RFC2307bis automount schema
#nss_map_objectclass automountMap nisMap
#nss_map_attribute automountMapName nisMapName
#nss_map_objectclass automount nisObject
#nss_map_attribute automountKey cn
#nss_map_attribute automountInformation nisMapEntry


So, Verwirrung komplett. :)

Gruß
Chris

MiGo
08.10.09, 16:47
Die Software die unter UNIX läuft unterstützt aber keinen AD Zugriff sondern nur LDAP.
Du kannst auch auf ein AD exakt wie auf ein LDAP-Verzeichnis zugreifen (einziger Unterschied ist, dass man das AD nicht anonym abfragen kann). Der Applikation ist das im Prinzip völlig egal - LDAP ist LDAP, egal ob nun die Ergebnisse von einem OpenLDAP oder einem AD zurückgeliefert werden.


Also es soll möglichst nur der WIN-AD-Account genutzt werden um sich mit der Samba-Freigabe zu verbinden.
Samba selbst kann auch ohne Umweg über LDAP gegen ein ActiveDirectory authentifizieren; Stickwort "winbind" (Teil des Samba-Projektes).

Henning14
09.10.09, 09:31
Samba selbst kann auch ohne Umweg über LDAP gegen ein ActiveDirectory authentifizieren

Das ist ja geil. Damit müsste das Problem von Chris doch behebbar sein.


Aber dazu müsste ich ja das AD und deren Gruppen abfragen können.
Du müsstest via ldapsearch doch auch das AD abfragen können??? Die Daten dann mittels perl/awk "durchsieben" und ins ldap importieren ..... vielleicht gibt es auch ein Format, um das direkt zu importieren, ohne was filtern zu müssen?