PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Single-Sign-On unter Linux mit Active Directory und LDAP



Djadja
22.10.02, 19:24
Hier passts glaub besser rein

Single-Sign-On unter Linux mit Active Directory und LDAP

Hy hab mal ne frage.
Wir betreiben Unix Systeme und Linux RedHat und einen W2k Active Directory Server im "native mode". Ist es möglich mit welcher Samba Version auch immer Benutzer gegen die Active Directory zu verifizieren?
So dass ich alle benutzer sowohl die linux als auch die Windows von der ADS pflegen kann

Diese Punke will ich erreichen
- Zentrale Administration (Userdaten sollen nur an einer Stelle gepflegt werden)
- Einfache Benutzbarkeit aus Benutzersicht (Daten sollen konsistent und nicht doppelt gehalten werden, d.h. nur ein Passwort für sämtliche Dienste)
- Sicherheit (Passwörter sollen nicht für Angreifer lesbar sein)

z.B.
Das Szenario sieht folgendermaßen aus:
In ein bestehendes Netzwerk, das ausschließlich aus Windows 2000/XP-Rechnern besteht, sollen Linux-Rechner integriert werden, wobei die bestehenden Useraccounts mit möglichst wenig Einschränkungen auch dort genutzt werden können, d.h. es soll z.B. das Windows-Passwort zur Anmeldung benutzt werden.

Es soll jedoch auch möglich sein, nicht auf Windows-spezifische Prozesse zurückgreifen zu müssen, d.h. das Passwort soll z.B. auch mittels passwd änderbar sein.

Die zentrale Benutzerverwaltung erfolgt Windows-seitig bereits im Active Directory auf einem zentralen Server.

mamue
24.10.02, 15:17
ADS implementiert LDAP. D.h. dass unix mit den üblichen Methoden den ADS nutzen können sollte.
Allerdings weiss ich nicht, wie die Passwörter im ADS abgelegt sind.
Ich glaube, es gibt ein pam-modul, dass den ADS nutzt.
ADS erweitert allerdings auch den LDAP standard und damit wird die Pflege des ADS von unix aus ziemlich schwierig.
Mann kan AFAIK den ADS gegen den NDS (novell auch ohne deren Netware) eresetzen. Diesen kann man auch von der unix seite aus verwalten.
Der NDS ist ebenfalls eine LDAP implementierung, eine recht effiziente und performante.
Ich würd ja eher den ADS nach unix migrieren (OpenLDAP), oder wird damit noch jede Menge anderes Zeugs gemacht?

mamue

P.S.: Bitte mich nicht auf meinen Angaben festnageln, die sind recht vage aus dem zusammengesetzt, was ich mal gelesen zu haben glaube.