DaiSou 0 Geschrieben 15. Juli 2016 Melden Teilen Geschrieben 15. Juli 2016 Juten Moin :) Ich stell mich mal kurz vor: Ich bin IT-Consultant/Administrator/Projektmanager, ITIL-Mensch und inzwischen ein wenig Windows-Admin, knappe 31,5 Lenzen jung, komme aus der Linux-Schiene (Seit 18 Jahren Linux), hab div. Zertifizierungen im Virtualiserungs / Hardware / Netzwerk / Security-Bereich, und ein Nerd vorm Herrn (ihr müsstet mal zu mir nach Hause kommen, hier ist mehr Technik als bei so manchem Mittelstand :D) Ich bin zu Windows gekommen wie die Jungfrau zum Kind ;) Viele Dinge funktionieren hervorragend die ich einrichte (AD + Exchange ist inzwischen ein Klacks ;)) aber bei so 1-2-3 Dingen happerts noch ein wenig .. einfach weil mir noch viel Grundwissen fehlt (passende Zertifizierung ist geplant) ... daher nerv ich euch nun damit ;) Folgende Ausgangssituation: Wir sind / waren ein Solaris Systemhaus, in den letzten 3-4-5 Jahren ist Microsoft immer Stärker in den Fokus gerutscht und wir betreiben neben einer fast komplett, historisch gewachsenen, Linux-Homogenen-Umgebung nun auch 2-3 Dienste die Microsoft-Basierend sind. Zur Zeit müssen wir, wenn neue Nutzter kommen bzw welche gehen, diese an 2 Systemen anlegen / löschen: - LDAP: Basierend für alle wichtigen Dienste (Mail, Intranet, Telefonanlage, und einige mehr) - AD: Basierend für die Kollegen die als Administrator halt so manchmal ein Windows brauchen ;) Nun ist es ja relativ einfach ein LDAP an ein AD anzubinden, bzw Linux-Clients an die AD zu kriegen, aber, ist das auch anders herum möglich? Ich hätte gerne nur eine Anlaufstelle zum Ändern von Userdaten, und eben nicht zwei ;) Dabei ist es mir egal ob es das LDAP ist oder der DC. Wobei mir LDAP lieber wäre. Die schon vorhandenen Dienste auf AD-Anmeldung umzubiegen birgt viel Potential das danach nichts mehr in der Firma geht, dann wird mich Scheff nicht mehr mögen ;) Daher stellt sich mir die Frage, die Kollegen konnten es leider auch nicht aus dem Stegreif beantworten, ist es andersherum möglich? Ggf. über ein Umweg mit Samba4? Zur Zeit nutzten wir den Win-AD-Kram nur für 2-3 Terminal-/VNP-Server und demnächst für die neue Telefonanlage. Daher würde ich da viel weniger kaputt machen wenn das nicht auf Anhieb klappt ;) Aber wenn man danach googelt findet man eben nur LDAP an AD anbinden und nicht AD an LDAP anbinden. Was ich mir vorstellen könnte: LDAP liefert die User <-> Samba4 Server synct sich mit dem LDAP-Server und stellt gleichzeitig den ersten AD zur Verfügung (lt. Google soll er das inzwischen sehr passable machen) <-> Windows 2008R2 (z.B.) ist ein zweiter AD in der Domain neben dem Samba4-Server. Oder bietet Windows diese Möglichkeit generell nicht? Vielen dank und liebe Grüße Zitieren Link zu diesem Kommentar
Doso 77 Geschrieben 15. Juli 2016 Melden Teilen Geschrieben 15. Juli 2016 Wir erhalten in unser AD Benutzerdaten per LDAP aus einem Novell Directory Service eingespielt. Die machen das mit DirXML. Im Microsoft Umfeld gibt es die Active Directory Federation Services und den Microsoft Identity Manager in dieser Richtung, jedoch habe ich beide noch nie verwendet. Evtl. ist auch ein Trust der Domänen möglich? Zitieren Link zu diesem Kommentar
magheinz 110 Geschrieben 16. Juli 2016 Melden Teilen Geschrieben 16. Juli 2016 Da LDAP ja nur ein Zugriffsprotokoll ist sollte die Datenbank dahinter egal sein. Ich würde also schauen was im AD-Schema fehlt und dann Notfalls das Schema erweitern. Es ist problemlos möglich openLDAP als Proxy dann dazwischen zu schalten, das machen wir auch. Mein Ziel wäre es alles im AD zu haben(das sage ich als jemand der eigentlich Linuxadmin ist...) Zwei getrennte Dircetorys zu syncen etc würde ich mir ersparen. Samba als DC funktioniert, ich würde das aber nicht mischen: Entweder samba oder Windows. Zitieren Link zu diesem Kommentar
DocData 85 Geschrieben 18. Juli 2016 Melden Teilen Geschrieben 18. Juli 2016 (bearbeitet) Stichwort "Meta Directory". Entweder mal Estos MetaDirectory ansehen, DirXML wurde ja schon genannt. Oder selber bauen. Magheinz hat bereits openLDAP genannt. Damit geht das auch. Ist nur etwas Handarbeit, aber nichts was im technisch-wissenschaftlichen Universitätskomplex nicht bereits x Mal gebaut wurde. bearbeitet 18. Juli 2016 von DocData Zitieren Link zu diesem Kommentar
daabm 1.348 Geschrieben 19. Juli 2016 Melden Teilen Geschrieben 19. Juli 2016 Hm - willst Du jetzt zwei Verzeichnisdienste koppeln, oder willst Du eine Windows-Infrastruktur in ein *nix-LDAP einbinden? Zweiteres geht natürlich auch, ist aber relativ mühsam - ist das gleiche wie mit Linux-Client/User an AD... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.