cargu 10 Geschrieben 27. Mai 2009 Melden Teilen Geschrieben 27. Mai 2009 Hallo, angenommen man möchte ein php-basiertes Webforum betreiben, zu dem die Benutzer einer Domäne (W2k Active Directory) mit ihren von den Arbeitsplätzen her bekannten Domänenzugangsdaten Zugang haben sollen, weil sich vermutlich niemand freiwillig mehrere Zugangsdaten merkt und die dann eh alle auf gewissen gelben Klebenotizen stehen, womit man sich die Sache mit den Kennwörtern auch fast schon wieder sparen könnte.... Die Benutzerauthentifizierung würde über LDAP ablaufen, technisch wäre das also kein so großes Problem vermute ich. MS Produkte (IIS, ASP o. ä.) kämen für die Webanwendung nicht zum Einsatz, es würde lediglich von einer php-Anwendung (LAMP-Umgebung) via LDAP auf das AD einer Windowsumgebung zugegriffen. Wie verhält es sich dabei mit den CALs? Wenn bislang (fast?) nur Geräte-CALs für den "Indoor-Betrieb" vorhanden wären, bräuchte man dann für jeden Benutzer, der online auf das Forum zugreift, noch mal zusätzlich Benutzer-CALs oder gar für jeden PC im Internet *hust* eine Geräte-CAL, da man ja prinzipiell von jedem internetfähigen Gerät darauf zugreifen könnte? Oder muss man in dem Fall eine irgendwie geartete "External Connector" Lizenz oder sowas in die Richtung kaufen, wie man das für einen öffentlichen IIS braucht, der in dem Fall aber gar nicht benutzt werden soll? Für solche Szenarien gibt es so genannte „external Connector“ Lizenzen. Auf Server die über eine external Connector Lizenz verfügen, dürfen beliebig viele Zugriffe erfolgen. Diese Zugriffe dürfen allerdings nicht durch die eigenen Angestellten, Vertragspartner oder Erfüllungsgehilfen des Lizenznehmers erfolgen. Das passt nämlich auch nicht wirklich... Oder wäre es eine Möglichkeit, irgendwie die Passworthashs der Benutzer per regelmäßig ausgeführtem Task aus dem AD zu exportieren und in eine normale SQL-Datenbank auf dem Linuxserver zu überführen, sodass man bei Zugriff von außen gar keine direkten Zugriffe auf die Windows-Infrastruktur hätte und somit vielleicht auch keine Zugriffslizenzen bräuchte?? Es geht ja nur um die Kombination von Username+Passwort - keine Exchange-Daten, Dateien vom Fileserver o.ä. Hat jemand eine Idee, wie man da am besten vorgehen könnte und wie man sowas lizenztechnisch günstig aufbauen kann? Danke auf jeden Fall schon für alle Tipps! Gruß, cargu Zitieren Link zu diesem Kommentar
lizenzdoc 198 Geschrieben 27. Mai 2009 Melden Teilen Geschrieben 27. Mai 2009 Hi :) da ich technisch nicht so drauf bin, aber dafür lizenztechnisch :) gebe ich Dir mal folgende Hilfe bei den CALs > Ein Device benötigt nur 1 WIN-CAL innerhalb des Unternehmens-Netzwerkes, um alle dortigen WIN-SVR erlaubterweise zu nutzen / erreichen. CALs müssen immer der höchsten Server-Edition (z.B. 2008) entsprechen die genutzt wird. Ich kann mit meiner Device-CAL somit auch den Server in unserer Firmenzweigstelle in USA legal nutzen. Dies gilt ebenso in der USER-CAL-Lizensierung nur da ist diese Personen bezogen, nicht Device bezogen. Grüße aus München Zitieren Link zu diesem Kommentar
cargu 10 Geschrieben 27. Mai 2009 Autor Melden Teilen Geschrieben 27. Mai 2009 Hallo und danke für deine Antwort! Wenn also die Workstations "in-house" mit Device-CALs versorgt sind, kann man also von denen aus auch auf solche anderen Dienste des Servers zugreifen, ohne weitere Lizenzen zu brauchen. OK. Wie sieht es aber aus, wenn Leute von zu Hause oder unterwegs auf das Webportal/Forum zugreifen? Es ginge nicht um einen VPN-Zugang o.ä., sondern nur die gemeinsame Nutzung der Kennwörter für mehrere Anwendungen (Windows-Domäne plus Webanwendung). Die Anzahl der zugreifenden Endgeräte wäre dabei ja nicht vorhersehbar und vermutlich auch immens groß. Damit man auch von außerhalb über das Internet die Kennwörter benutzen darf, braucht man dann also noch zusätzlich zu den per Device-CAL lizensierten Arbeitsplätzen innerhalb auch noch User-CALs, damit unabhängig von bestimmten PCs die Zugangsdaten verwendet werden können? Wenn es so wäre, dass zusätzlich zur bereits lizensierten Umgebung noch mal 1000 User-CALs gekauft werden müssten, würde sich die Sache bestimmt nicht lohnen. Daher hatte ich schon die Idee überlegt, dass man ja theoretisch die Benutzernamen und PW-Hashs irgendwie exportieren (gibt ja ein paar Forenbeiträge dazu) und dann in einer gängigen Datenbank (z.B. MySQL) für die Benutzung im Webforum speichern könnte, sodass keinerlei Zugriffe von außerhalb auf die Windowsinfrastruktur stattfänden, sondern nur auf diese Datenbank. Wäre damit das Lizenzproblem vermieden (Und: Gibt es überhaupt ein Lizenzproblem, wenn man bei externem Zugriff via LDAP das Passwort bei der Anmeldung am Webforum abfragt?) oder ist das lizenztechnisch "gehopst wie gesprungen"? Zitieren Link zu diesem Kommentar
lizenzdoc 198 Geschrieben 28. Mai 2009 Melden Teilen Geschrieben 28. Mai 2009 moin :) Sitzt ein User an seinem PC und wechselt das Device nie, dann ist es egal ob User- oder Device-Cal, da ja 1:1 und bis dato immer der selbe Preis da ist. Vergleiche es mit IP-Adressen-Lizensierung. Anders sieht es aus, wenn neben DeskTop ein zusätzliches Notebook, PDA, Handy, Home-PC, Internet-Cafe-PC hinzu kommen kann, dann ist die Device-CAL ein kleines Spars***wein. Wenn es sich so abbildet, sollte man aus Kostengründen solche User mit der User-CAL ausstatten, im Ernstfall muss man dann auch eine größere Anschaffung mal tätigen. Waren die CALs mit SA ausgestattet und ist der Volumenvertrag noch aktiv, sollte man beim Verlängern oder neu-zeichnen des vertrages die SA umswitchen und nun in User-CAL-SA verlängern, das sieht MS so vor und geht immer nur wenn die SA verlängert wird. Ist auch wiederum der selbe Preise, wie Device-SA. Immer beachten, der der den Server hält, ist für die richtige ausreichende Lizensierung verantwortlich. WIN-CALs werden immer schon benötigt, wenn einfaache Grunddienste verwendet werden. Autentifizierung gehört immer dazu! Grüße Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.