Jump to content

AD mit OpenLDAP abgleichen; Single Logon - bitte angehängtes Konzept beachten


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo, hier mal was für Denker und Halbgötter.

 

Ich arbeite gerade an einem Projekt, bei dem ich wirklich an meine Grenzen und die meiner Kollegen stoße.

Anbei eine kleine Grafik der Soll-Umgebung.

Es ist eine gewachsene Umgebung, die so nicht angetastet werden sollte...jedoch muß es funktionieren...das sind die Vorgaben.

 

Zu der Zeichnung.

Dezentraler Bereich:

Es gibt im dezentralen Bereich mehrere Single Domains. Man wählte diese Struktur aufgrund diverser Komplikationen mit dem Sub-Domain-Modell.

Die Verwaltung der Benutzer in den Domains erfolgt über ein Web-Frontend. Es greift ins AD ein und verändert die ensprechenden Benutzer und Benutzerattribute. Die Änderungen werden über ein XML-Script dem zentralen Bereich übergeben.

Lokale Anmelungen erfolgen derzeit über Vorname.Nachname (1. Anmeldung)

 

Zentraler Bereich:

Im zentralen Bereich wird das XML-Script in eine MySQL-Datenbank eingepflegt. Es werden enstprechende Benutzer in der Datenbank angelegt. Diese Datenbank wird für die Webbased-Applications verwendet (z.B. Logon bei Webmail, Authentifizierung an Datenbanken - 2. Anmeldung). Der Anmeldename generiert sich aus Vorname, Nachname und zugehöriger Domäne...also Vorname.Nachname@DomäneX.de. Da jedem Benutzer jedoch zusätzlich Homelaufwerke bei der Anmeldung gemappt werden, benötigt jeder Benutzer eine UniqueID, da Windows keine Verzeichnisse im Stile von "Vorname.Nachname@DomäneX.de" anlegen kann. So wird ein Alias generiert, dem eine U-Kennung (z.Bsp. U00000000) zugewiesen wird. Unter Windows kann nun ein Homelaufwerk U00000000 generiert und gemappt werden.

Diese MySQL-Datenbank generiert einen OpenLDAP. In diesem ist es jedoch nur möglich, die U-Kennung als BenutzerID anzugeben, da keine Zusammengesetzten Anmeldenamen im Stile "Vorname.Nachname@DomäneX.de" generiert werden können. Alles nach dem @wird bei der Anmeldung als Domäne interpretiert. Da es in der Zentralen Umgebung jedoch die Domäne1 bzw. Domäne2 nicht gibt, ist eine Anmeldung unmöglich.

Gewünscht ist jedoch genau diese Anmeldung im Stile "Vorname.Nachname@DomäneX.de".

Als nächster Schritt ist eine eigenständige Windows2000-Domain geplant. Das AD des Domain Controllers soll sich mit dem LDAP abgleichen. Jedoch nur in der Rolle eines BDCs, es sollen keine Änderungen im LDAP vorgenommen werden können. (sollte es jedoch daran scheitern, so kann man das auch noch in Kauf nehmen).

In dieser Domain existiert eine Citrix-Server Farm, die alle TerminalVerbindungen über den DC authentifiziert.

 

Dezentraler Bereich:

Die Anmeldung der Citrix-Client soll wiederum im Stile "Vorname.Nachname@DomäneX.de" stattfinden. Gegen die U-Kennung als SingleLogOn gab es Proteste, so daß diese Lösung nicht in Betracht gezogen werden kann.

 

Derzeit wird die Anmeldung über die U-Kennung an den Citrix-Servern zwar praktiziert, jedoch erntet diese Vorgehensweise böse Blicke und böse Worte.

Auch die eigene Domain, in der die Citrix-Server beheimatet sind, ist derzeit eine NT4-Domäne, die einen Samba 3.0 als PDC hat. Jedoch soll die Authentifizierung auf eine reine W2K-Umgebung umgestellt werden, die den Samba Server jedoch als "Benutzerpool" benutzt.

Soweit die Ist-Situation.

 

Hier nun die beiden Probleme:

1. Wie generiere ich auf Basis eine OpenLDAP (läuft auf einem Linux Samba Server) ein AD in einem W2K DC?

 

2. Wie schaffe ich es, eine Anmeldung im Stile "

Vorname.Nachname@Domäne1.de" sowohl für die lokale Anmeldung, die Webbased-Applications-Anmeldung als auch die Citrix-Anmeldung zu generieren?

post-8883-13567388932607_thumb.jpg

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...