Roscoe 10 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Hallo zusammen, hier im Forum und generell im Netz konnte ich dazu nichts finden deswegen dachte ich mir frage ich hier mal nach. Und zwar möchte ich eine Berechtigungsstruktur inkl. Gruppenmitgliedschaften von openldap ins AD migrieren / exportieren / importieren und wollte man anfragen wer sowas schon gemacht hat und auf was man achten sollte bzw. welche Stolpersteine auf einen zukommen. Aktuell bin ich dran den Export der User/Gruppen aus der openldap-db zu bekommen und evtl. kann jemand sagen wie man anschließend am besten weitermacht. Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Moin, was ist denn das Ziel des Ganzen? Was willst du erreichen? Was sind die Anforderungen? Gruß, Nils Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 29. Juni 2015 Melden Teilen Geschrieben 29. Juni 2015 Ich befürchte da gibt es keine fertige Lösung die man "mal eben" implementieren kann. Da sind viele Vorarbeiten und Testen notwendig. Wir haben einen Import von Daten von Novell E-Directory zum AD. Daher gebe ich mal ein paar allgemeine Tipps. Rein für die Nutzermigration musst du dir halt überlegen welche Daten du unbedingt brauchst. Bei uns wurde aus 50 Attributen dann letztlich nur 6 die wir wirklich brauchen, das spart dann Arbeit. Weiter solltest du dir überlegen wie du das mit den Passwörtern machst. Bedenke auch, das es vermutlich für das AD zu neuen SIDs kommt und du dann "irgendwie" Berechtigungen auf Verzeichnisse ggf. neu vergeben musst. Wir konnten das damals geschickt lösen da die Verzeichnisse auf einem Fileserver eine eindeutige Nutzer-ID hatten und wir dann per Script das wieder neu vergeben konnten. Zitieren Link zu diesem Kommentar
Roscoe 10 Geschrieben 29. Juni 2015 Autor Melden Teilen Geschrieben 29. Juni 2015 Aktuell wird die Filestruktur auf Linux-Ebene mit Berechtigungen versehen. Wir möchten das Ganze auf eine Samba-Ebene hieven und die Berechtigungsgruppen die im openldap angelegt sind und in denen unsere User aufgeführt sind, ins AD portieren. Die Berechtigungsgruppen die importiert werden sollen können 1:1 angelegt/gesynct werden. Anschließend soll die Filestruktur analog zur Berechtigungsvergabe im openldap bzw. Filebene berechtigt werden. Dass es leider keinen offiziellen "Weg" dafür gibt ist mir klar, nur ein paar Schupser in die richtige Richtung würden schon helfen :-) Gruß Zitieren Link zu diesem Kommentar
Ralli64 13 Geschrieben 30. Juni 2015 Melden Teilen Geschrieben 30. Juni 2015 Hallo, Vielleicht hilft Dir als Zwischenschritt dieses Teil. Die UCS Core Edition ist frei. https://www.univention.com/products/ucs/functions/ Gruss Ralf Zitieren Link zu diesem Kommentar
Roscoe 10 Geschrieben 30. Juni 2015 Autor Melden Teilen Geschrieben 30. Juni 2015 wenn ich ehrlich bin hilft mir das nicht weiter. Also den Export ins ldif-Format habe ich nun geschafft und kann mir die Daten ansehen. Hat fürs importieren in ne bestimmte OU jemand was scriptseitiges? Zitieren Link zu diesem Kommentar
NilsK 2.958 Geschrieben 30. Juni 2015 Melden Teilen Geschrieben 30. Juni 2015 Moin, das ist nicht unlösbar, aber auch nicht trivial. Die User und Gruppen wird man über Ex- und Importe sicher hinbekommen. Je nach Menge eignet sich statt eines klassichen Skripts vielleicht auch sowas: [Excel: Admins unbekannter Liebling | faq-o-matic.net]http://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/ Viel spannender sind dann die Berechtigungen. Da Windows-Berechtigungen völlig anders funktionieren als POSIX-Berechtigungen, sollte man sich vorab genau überlegen, wie man was abbilden will. Und man sollte schauen, wie komplex die vorhandenen Strukturen sind. Vielleicht kann man die Grundstruktur auf dem Windows-Dateiserver mit einer einfachen Logik aufbauen und dann bei Bedarf anpassen. Warum Samba, wenn ihr ohnehin die Windows-Umgebung für das AD schon lizenzieren müsst? Gruß, Nils Zitieren Link zu diesem Kommentar
NorbertFe 2.064 Geschrieben 30. Juni 2015 Melden Teilen Geschrieben 30. Juni 2015 Warum Samba, wenn ihr ohnehin die Windows-Umgebung für das AD schon lizenzieren müsst? Jehova! ;) Bye Norbert Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 30. Juni 2015 Melden Teilen Geschrieben 30. Juni 2015 Ich hab das letztes jahr mit edirectory->ad durch. ich hab auch ldifs für user erzeugt, dann diese entsprechend angepasst wo nötig. dann die novell-fileberechtigungen analysiert und kurz geko... . Danach habe ich ein neues Berechtigungskonzept unter einbeziehung von DFS entwickelt, lokale+globale gruppen als ldif erzeugt. Nach der Analyse von oben ein weiteres ldif erzeugt um die user den gruppen hinzuzufügen und als drittes ldif ein Standardpasswort gesetzt. Danach musste ich nur noch die ldifs in der richtigen Reihenfolge ins AD importieren. Einziger Nachteil bei diesem Vorgehen: es entstehen sehr viele globale Gruppen... Ach ja, wir haben dabei auch den Umzug vom novellfileserver auf eine netapp gemacht wodurch ich eh die Rechte neu setzen musste. Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Magheint d.h. eure Nutzer mussten dann alle ein neues Passwort setzen? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Zu LDIF-Import schau Dir mal https://www.faq-o-matic.net/2004/12/31/ldifde-exe-zur-ad-bearbeitung/ an. Mittlerweilegibt es aber auch Möglichkeiten via dsadd.exe oder Powershell. Die Berechtigungen würde ich bei der Gelegenheit gleich auf ein Gruppenkonzept mit Resourcen- und Usergruppen setzen. Zum Einarbeiten: https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/ Have fun! Daniel Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 1. Juli 2015 Melden Teilen Geschrieben 1. Juli 2015 Magheinz d.h. eure Nutzer mussten dann alle ein neues Passwort setzen? Ja, so konnten wir eine anständige Passwortrichtlinie durchsetzen. Im novell hatten manche ein dreistelliges Passwort, im groupwise ein anderes. Jetzt haben alle ein ordenliches AD-Passwort was ich mich auch traue für SSO zu verwenden. Logischerweise wurde per LDIF jeder user noch auf "bei nächster Anmeldung Passwort neu setzen" gesetzt. Ingesamt kamen mehr als drei LDIFs raus, ich müsste aber nachsehen wieviele genau. Ich würde das aber nur gegen Schmerzensgeld noch mal machen. Alleine die Dateiberechtigungskonzepte unter Novell sind grausam(zumindest für Leute die von anständigen Betriebssystemen kommen und wissen was ein Baum ist) Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 9. Juli 2015 Melden Teilen Geschrieben 9. Juli 2015 Hallo Roscoe, interessant. Wir haben möglicherweise eine ähnliche Anforderung.Bei uns wird dieser Schritt aber aller Vorraussicht nach über ein IDM gemacht werden. Entscheindend ist auch die benötigten Attribute vorher abzuklären, daß Ganze wird sich auf das Wesentliche reduzieren. :) Wir haben auch Linux (Samba) Server in AD (Likewise Open / PowerBroker Open) Tatsächlich kann Samba viel ist aber im Detail doch kein Windows und es hinkt halt doch. Bspw. haben wier auch NetAPP Maschinen als Member in AD. Deren Umsetzung ist allerdings wackelig. Würde für den Umzug natives Windows bevorzugen. Was man dann hinterher macht ist dann wieder Geschmacksache. VG Andi Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.