Jump to content
Sign in to follow this  
Hellmachine

AD mit OpenLDAP abgleichen; Single Logon - bitte angehängtes Konzept beachten

Recommended Posts

Hallo, hier mal was für Denker und Halbgötter.

 

Ich arbeite gerade an einem Projekt, bei dem ich wirklich an meine Grenzen und die meiner Kollegen stoße.

Anbei eine kleine Grafik der Soll-Umgebung.

Es ist eine gewachsene Umgebung, die so nicht angetastet werden sollte...jedoch muß es funktionieren...das sind die Vorgaben.

 

Zu der Zeichnung.

Dezentraler Bereich:

Es gibt im dezentralen Bereich mehrere Single Domains. Man wählte diese Struktur aufgrund diverser Komplikationen mit dem Sub-Domain-Modell.

Die Verwaltung der Benutzer in den Domains erfolgt über ein Web-Frontend. Es greift ins AD ein und verändert die ensprechenden Benutzer und Benutzerattribute. Die Änderungen werden über ein XML-Script dem zentralen Bereich übergeben.

Lokale Anmelungen erfolgen derzeit über Vorname.Nachname (1. Anmeldung)

 

Zentraler Bereich:

Im zentralen Bereich wird das XML-Script in eine MySQL-Datenbank eingepflegt. Es werden enstprechende Benutzer in der Datenbank angelegt. Diese Datenbank wird für die Webbased-Applications verwendet (z.B. Logon bei Webmail, Authentifizierung an Datenbanken - 2. Anmeldung). Der Anmeldename generiert sich aus Vorname, Nachname und zugehöriger Domäne...also Vorname.Nachname@DomäneX.de. Da jedem Benutzer jedoch zusätzlich Homelaufwerke bei der Anmeldung gemappt werden, benötigt jeder Benutzer eine UniqueID, da Windows keine Verzeichnisse im Stile von "Vorname.Nachname@DomäneX.de" anlegen kann. So wird ein Alias generiert, dem eine U-Kennung (z.Bsp. U00000000) zugewiesen wird. Unter Windows kann nun ein Homelaufwerk U00000000 generiert und gemappt werden.

Diese MySQL-Datenbank generiert einen OpenLDAP. In diesem ist es jedoch nur möglich, die U-Kennung als BenutzerID anzugeben, da keine Zusammengesetzten Anmeldenamen im Stile "Vorname.Nachname@DomäneX.de" generiert werden können. Alles nach dem @wird bei der Anmeldung als Domäne interpretiert. Da es in der Zentralen Umgebung jedoch die Domäne1 bzw. Domäne2 nicht gibt, ist eine Anmeldung unmöglich.

Gewünscht ist jedoch genau diese Anmeldung im Stile "Vorname.Nachname@DomäneX.de".

Als nächster Schritt ist eine eigenständige Windows2000-Domain geplant. Das AD des Domain Controllers soll sich mit dem LDAP abgleichen. Jedoch nur in der Rolle eines BDCs, es sollen keine Änderungen im LDAP vorgenommen werden können. (sollte es jedoch daran scheitern, so kann man das auch noch in Kauf nehmen).

In dieser Domain existiert eine Citrix-Server Farm, die alle TerminalVerbindungen über den DC authentifiziert.

 

Dezentraler Bereich:

Die Anmeldung der Citrix-Client soll wiederum im Stile "Vorname.Nachname@DomäneX.de" stattfinden. Gegen die U-Kennung als SingleLogOn gab es Proteste, so daß diese Lösung nicht in Betracht gezogen werden kann.

 

Derzeit wird die Anmeldung über die U-Kennung an den Citrix-Servern zwar praktiziert, jedoch erntet diese Vorgehensweise böse Blicke und böse Worte.

Auch die eigene Domain, in der die Citrix-Server beheimatet sind, ist derzeit eine NT4-Domäne, die einen Samba 3.0 als PDC hat. Jedoch soll die Authentifizierung auf eine reine W2K-Umgebung umgestellt werden, die den Samba Server jedoch als "Benutzerpool" benutzt.

Soweit die Ist-Situation.

 

Hier nun die beiden Probleme:

1. Wie generiere ich auf Basis eine OpenLDAP (läuft auf einem Linux Samba Server) ein AD in einem W2K DC?

 

2. Wie schaffe ich es, eine Anmeldung im Stile "

Vorname.Nachname@Domäne1.de" sowohl für die lokale Anmeldung, die Webbased-Applications-Anmeldung als auch die Citrix-Anmeldung zu generieren?

post-8883-13567388932607_thumb.jpg

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...