FAQ:Arktur4/LDAPundADS

Aus Delixs
Zur Navigation springen Zur Suche springen

LDAP und ADS

Frage:

Ich habe mal gehört, dass Windows-LDAP nicht ganz kompatibel wäre, und es deshalb problematisch ist, wenn im Zusammenspiel Arktur, Win-Server der Win-Server LDAP führt.

Kann man dazu etwas Konkretes sagen?

Antwort:

Das ist im Prinzip richtig: ADS beruht auf einem aufgebohrten LDAP-Protokoll. Allerdings verwendet Microsoft eigene Schema-Daten, die zum offiziellen Standard nicht wirklich kompatibel sind.

Hintergrund: Alle Objekte und Attribute erhalten eine interne Nummer. Diese Nummern vergibt offiziell die IANA, die auch für IP-Adressen zuständig ist. Microsoft hat eigene Nummern vergeben und diese nicht mit der IANA abgestimmt.

Was bedeutet das konkret: Normale Tools (z.B. PHP-Scripte) können zu einem ADS-Server mit LDAP V2-Protokoll Kontakt aufnehmen und die Anfragen normal stellen, wie sie auch Arktur beantworten könnte. Die M$-eigenen Tools können nur mit einem ADS-Server umgehen, nicht mit einem normalen LDAP.

Für Arktur bedeutet das zweierlei:

 1. Ein direkter Kontakt zum ADS-Server per LDAP bringt nichts, weil die
 Attribute nicht stimmen. Alle Posix/Linux-Attribute fehlen, erst die kosten-
 pflichtigen Erweiterungen für Unix-Systeme ergänzen diese.
 2. Eine Authentifizierung ist über das Windows-Protokoll möglich, entweder
 per winbind oder per ntlm-auth

In der Praxis empfiehlt sich eine Art Mittelweg: Der Windows-Server wird "trusted" in eine Domäne eingebunden. Das ist folgendermaßen zu verstehen: Der Windows 2000-Server hat eine Domäne "Sonne", in der die Nutzer eingetragen sind. Nun soll Arktur dazu kommen und diese Nutzer mit übernehmen. Später soll vielleicht der Windows-Server verschwinden.

 Arktur bekommt die Domäne "Schule".

Die Arbeitsstationen werden in die neue Domäne "Schule" normal eingebunden. Nur wie soll sich ein Nutzer, der in der Domäne "Sonne" ist, nun anmelden? Dazu muss Arktur vermitteln. Er hängt den Server der Domäne "Sonne" als "trusted" in seine Domäne ein (dazu dient ein net-Befehl, bitte nachschlagen). Arktur führt eine ID-MAP, die alle Objekte von Sonne auf eine eigene ID in "Schule" mappt. Windows erkennt Objekte anhand ihrer SID. Dieses Mapping wird im LDAP geführt - ist also nachvollziehbar. Zudem muss der winbind-Daemon die Authentifizierung übernehmen. Der kann wenn gewünscht den Datenverkehr mitschneiden, so dass:

 Jeder Nutzer, der sich über diesen Weg angemeldet hat, einen Eintrag 
 im LDAP bekommt mit Nutzername und Passwort
 
 Für diesen Nutzer ein Homeverzeichnis erstellt wird und das Profil beim
 zurückschreiben statt auf dem Windows-Server nun auf dem Linux-Server
 liegt.

Diesen Weg gehen viele Firmen zur "sanften Migration".

Ich hoffe das reicht als Erklärung.

-- aus einer Mail von ReiKla.

Anm. d. Red.:

Unter LDAP im Administratorhandbuch finden Sie eine LDAP-Kurzanleitung.



zurück | Hauptseite