Linux Client in Active Directory einbinden

[reeco]

Hallo zusammen!

Hat jemand von euch Erfahrung damit, einen Linux Client in eine Windows 2000 Serverlandschaft einzubinden (mit Hilfe von LDAP)?

Habt ihr irgend welche Links oder Artikel?

Gruß

Reeco

[DjaDja]

Ich hab mich mit dem Thema mal 4 Wochen lang beschäfftigt.

Es gibt 3 möglichkeiten die ich gefunden habe. Um dir genauere Infos zu geben muss ich jedoch erst wieder ins geschäft kommen und das dauert noch ne woche.

Erst mal vorab Linux kann normal nicht die ADS Benutzer lesen das sie in einem Anderen Format abgelegt sind wie es LInux kennt also sprich es gibt keine UserID und GroupID unter Windows diese Braucht jedoch Linux. darum musst du meist eine Schemaerweiterung durchführen

Aber zum Überblick:

1) Du benutzt Winbind unter Linux das is eine Samba erweiterung damit brauchst du nichts an der ADS zu änderen und unter Linux muss nur Winbind und Samba laufen keine LDAP und nix. Das is relativ einfach zu bewältigen gibt gute Anleitungen dazu bei Samba.org. Das ganze funst so dass sich der Winbind deamon eine Liste der User von der ADS rüberzieht was heist, dass er nicht direkt die ADS kontaktioert er hohlt nur in Bestimmten abständen die Komplette ADS rüber auf Linux seite.

Noch Fragenn wenn ja frag.

Winbind zieht die Benutzer Tabelle von Windows und wandelt die direkt in die UserIDS und GroupIDs um.

2)ES ist wohl die sicherste aber schwirigste Lösung du musst eine Komplette Schemaerweiterung durchführen unter der ADS damit der Linux rechnen die Windows ADS verstehen kann. Es muss also eine Art LDAP in die ADS eingebunden werden. Dazu kommt dass das ganze nur über Zertifikate von Windows seite her geht daher musst du unter Linux eine 128 Bit Verschlüsslung von Sun installieren.

Das ganze is verdammt sicher. Unter Linux musst du also die Verschlüsslung einrichten. Und unter Windows eine Komplette Schemaerweiterung. Die auch schnell schief gehen kann da man wirklich hart eingreift und das komplette Bild der ADS verändert.

3) muss kurz weg kommt gleich

Gruß

[reeco]

danke für die infos....

kannst du wenn du im geschäft bist mir die infos mailen?

[DjaDja]

mach ich

jetzt aber noch kurz zum dritten Punkt.

3) IS wieder eine Samba Version jedoch muss man auch hier eine Kleine Schemaerweiterung durchführen.

Unter Linux muss Samba laufen und du musst die pam.d und die "nfs" Module einbinden in Samba und konfigurieren das is der Kleinste Teil.

Bei dieser Samba version greift das Linux aber immer direkt auf die ADS zu und speichert nicht eine Kopie auf dem eigenen System.

Daher musst du unter Windios Perl installieren und eine Schemaerweiterung durchführen diese ist jedoch nicht ufwendig und es kann wenig schiefgehen da es ein fertiges Script ist das du einfach unter Perl ausführst das sich dann selbst in die ADS einpflegt.

Also zum Schluss noch mal.

Ich finde die 3 Möglichkeit am besten da der Client sich immer die Aktuellen daten von der ADS holt und da man wenig stolper fallen hat.

Die 2 Möglichkeit ist die Sicherste und wohl die professonelste Lösung jedoch für die ADS verdammt riskant und ein rießen aufwand is nur was für die Richtigen Sicherheitsfreaks.

Die 1 und wahrscheinlich einfachste Lösung ist das Winbind. Es muss nichts am Windows gemacht werden und die einstellungen unter Linux sind auch nicht soviele.

Jedoch der nachteil null Sicherheit und wenn sich Passwörter auf der ADS ändern kann sein dass man ca. 20 -30 Minuten warten muss bis sich der Linuxclient die änderungen der ADS gezogen hat. Da er nicht direkt drauf zugreift.

Such einfach mal nach dem Winbind is schnell zumachen und für kleine Sachen reichts aus für große jedoch nicht geeignet.

Die restlichen Infos kommen wenn ich wieder im Büro bin.

Gruß

Djadja:uli

[reeco]

Super danke erstmal für die menge Infos..... Hat ne menge gebracht ich schau mir mal die sachen genauer an.....

[Nifka]

Wenn es geht würde ich gerne die Anleitung auch haben.