Jump to content

Migration User/Gruppen von openldap ins AD


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

hier im Forum und generell im Netz konnte ich dazu nichts finden deswegen dachte ich mir frage ich hier mal nach.

 

Und zwar möchte ich eine Berechtigungsstruktur inkl. Gruppenmitgliedschaften von openldap ins AD migrieren / exportieren / importieren und wollte man anfragen wer sowas schon gemacht hat und auf was man achten sollte bzw. welche Stolpersteine auf einen zukommen.

 

Aktuell bin ich dran den Export der User/Gruppen aus der openldap-db zu bekommen und evtl. kann jemand sagen wie man anschließend am besten weitermacht.

 

Link zu diesem Kommentar

Ich befürchte da gibt es keine fertige Lösung die man "mal eben" implementieren kann. Da sind viele Vorarbeiten und Testen notwendig.

 

Wir haben einen Import von Daten von Novell E-Directory zum AD. Daher gebe ich mal ein paar allgemeine Tipps.

 

Rein für die Nutzermigration musst du dir halt überlegen welche Daten du unbedingt brauchst. Bei uns wurde aus 50 Attributen dann letztlich nur 6 die wir wirklich brauchen, das spart dann Arbeit. Weiter solltest du dir überlegen wie du das mit den Passwörtern machst. Bedenke auch, das es vermutlich für das AD zu neuen SIDs kommt und du dann "irgendwie" Berechtigungen auf Verzeichnisse ggf. neu vergeben musst. Wir konnten das damals geschickt lösen da die Verzeichnisse auf einem Fileserver eine eindeutige Nutzer-ID hatten und wir dann per Script das wieder neu vergeben konnten.

Link zu diesem Kommentar

Aktuell wird die Filestruktur auf Linux-Ebene mit Berechtigungen versehen.

 

Wir möchten das Ganze auf eine Samba-Ebene hieven und die Berechtigungsgruppen die im openldap angelegt sind und in denen unsere User aufgeführt sind, ins AD portieren.

 

Die Berechtigungsgruppen die importiert werden sollen können 1:1 angelegt/gesynct werden.

Anschließend soll die Filestruktur analog zur Berechtigungsvergabe im openldap bzw. Filebene berechtigt werden.

 

Dass es leider keinen offiziellen "Weg" dafür gibt ist mir klar, nur ein paar Schupser in die richtige Richtung würden schon helfen :-)

Gruß

Link zu diesem Kommentar

Moin,

 

das ist nicht unlösbar, aber auch nicht trivial. Die User und Gruppen wird man über Ex- und Importe sicher hinbekommen. Je nach Menge eignet sich statt eines klassichen Skripts vielleicht auch sowas:

 

[Excel: Admins unbekannter Liebling | faq-o-matic.net]
http://www.faq-o-matic.net/2008/01/19/excel-admins-unbekannter-liebling/

 

Viel spannender sind dann die Berechtigungen. Da Windows-Berechtigungen völlig anders funktionieren als POSIX-Berechtigungen, sollte man sich vorab genau überlegen, wie man was abbilden will. Und man sollte schauen, wie komplex die vorhandenen Strukturen sind. Vielleicht kann man die Grundstruktur auf dem Windows-Dateiserver mit einer einfachen Logik aufbauen und dann bei Bedarf anpassen.

 

Warum Samba, wenn ihr ohnehin die Windows-Umgebung für das AD schon lizenzieren müsst?

 

Gruß, Nils

Link zu diesem Kommentar

Ich hab das letztes jahr mit edirectory->ad durch.

ich hab auch ldifs für user erzeugt, dann diese entsprechend angepasst wo nötig. dann die novell-fileberechtigungen analysiert und kurz geko... . Danach habe ich ein neues Berechtigungskonzept unter einbeziehung von DFS entwickelt, lokale+globale gruppen als ldif erzeugt. Nach der Analyse von oben ein weiteres ldif erzeugt um die user den gruppen hinzuzufügen und als drittes ldif ein Standardpasswort gesetzt. Danach musste ich nur noch die ldifs in der richtigen Reihenfolge ins AD importieren. Einziger Nachteil bei diesem Vorgehen: es entstehen sehr viele globale Gruppen...

 

Ach ja, wir haben dabei auch den Umzug vom novellfileserver auf eine netapp gemacht wodurch ich eh die Rechte neu setzen musste.

Link zu diesem Kommentar

Zu LDIF-Import schau Dir mal https://www.faq-o-matic.net/2004/12/31/ldifde-exe-zur-ad-bearbeitung/ an. Mittlerweilegibt es aber auch Möglichkeiten via dsadd.exe oder Powershell.

 

Die Berechtigungen würde ich bei der Gelegenheit gleich auf ein Gruppenkonzept mit Resourcen- und Usergruppen setzen. Zum Einarbeiten: https://www.faq-o-matic.net/2011/03/07/windows-gruppen-richtig-nutzen/

 

Have fun!

Daniel

Link zu diesem Kommentar

Magheinz d.h. eure Nutzer mussten dann alle ein neues Passwort setzen?

Ja, so konnten wir eine anständige Passwortrichtlinie durchsetzen. Im novell hatten manche ein dreistelliges Passwort, im groupwise ein anderes. Jetzt haben alle ein ordenliches AD-Passwort was ich mich auch traue für SSO zu verwenden.

Logischerweise wurde per LDIF jeder user noch auf "bei nächster Anmeldung Passwort neu setzen" gesetzt.

 

Ingesamt kamen mehr als drei LDIFs raus, ich müsste aber nachsehen wieviele genau.

 

Ich würde das aber nur gegen Schmerzensgeld noch mal machen. Alleine die Dateiberechtigungskonzepte unter Novell sind grausam(zumindest für Leute die von anständigen Betriebssystemen kommen und wissen was ein Baum ist)

Link zu diesem Kommentar

Hallo Roscoe,

 

interessant. Wir haben möglicherweise eine ähnliche Anforderung.
Bei uns wird dieser Schritt aber aller Vorraussicht nach über ein IDM gemacht werden.

Entscheindend ist auch die benötigten Attribute vorher abzuklären, daß Ganze wird sich auf das Wesentliche reduzieren. :)

 

Wir haben auch Linux (Samba) Server in AD (Likewise Open / PowerBroker Open)

Tatsächlich kann Samba viel ist aber im Detail doch kein Windows und es hinkt halt doch.

Bspw. haben wier auch NetAPP Maschinen als Member in AD. Deren Umsetzung ist allerdings wackelig.

 

Würde für den Umzug natives Windows bevorzugen. Was man dann hinterher macht ist dann wieder Geschmacksache.

 

VG

Andi

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...