Jump to content
Sign in to follow this  
StefanWe

Active Directory nur zur Authentifizierung

Recommended Posts

Hallo,

wir haben einen EA Vertrag mit 850 qualifizierten Desktops, insgesamt aber 1800 Mitarbeiter. Rest sind gewerbliche Mitarbeiter welche nicht am PC arbeiten.

 

Nun möchten wir gerne eine neue Webseite, ein Mitarbeiter Info Portal einführen und jedem Mitarbeiter Zugriff über sein Handy und personalisiertem Zugriff ermöglichen.

 

Um es einfach zu halten, würden wir gerne alle Mitarbeiter im Active Directory aufnehmen. Die Authentifizierung findet über ADFS (SAML2) statt.

 

Die Anwendung basiert auf Typo 3 und läuft auf einem Linux System. Keine sonstigen Zugriffe auf Windows Server. Ausschließlich die Authentifizierung.

 

Müssen nun für die Differenz der Benutzer Lizenzen angeschafft werden, wenn ja, welche ?

Share this post


Link to post

Hi,
eigentlich einfach... der EA ist scheinbar via "850 qualifizierten Desktops" im CPS definiert.

Liest sich i.M. auch so, dass da im DT(Desktops) die CORE-CAL-Suite als Device-CAL drin ist...
Da ein Handy nicht als DT gezählt wird, muss also auch nicht mehr als 850 DT bemeldet/bezahlt werden...
Die WIN-CAL würde ich dann via einem an dem EA gekoppelten MPSA kaufen (Ob SA nötig ist, ist Geschmacksache).

 

Ist die CORE-CAL-Suite im EA aber als USER-CAL selektiert, könnte MS auf die gierige Idee kommen,
die USER-CORE-CAL auf die dann relevante MA-Anzahl erhöhen zu wollen ...

Etwas schwierig, da ich das CPS nicht betrachten kann.

 

VG + Guten Rutsch,

Franz

Share this post


Link to post

Hi,
 

heikel!
Die Authentifizierung alleinig benötigt in der Lizenzierung die WIN-CAL, da ja "Interaktion" mit dem WIN-SVR.
Da es die WIN-CAL nicht einzelnd im EA gibt, sondern nur als Bestandteil der CORE-CAL-Suite,
darf somit MS die Erhöhung dieser auf 1.800 fordern.
Leider hat man das "Vorhaben" wohl nicht am EA-Start gewußt, oder?

Wenn doch, hätte ich das anders beraten ...
CORE-CAL nicht im EA sondern via MPSA lizenzieren für die, die es benötigen...
dann fürs Vorhaben (gewerbliche Mitarbeiter) nur die WIN-CAL via MPSA auf 950 nachkaufen,

ev. sogar ohne SA (dann Kauf sogar als ROK-/OEM-CALs!) ... wäre alles möglich gewesen, wenn man das Wissen hat ...

 

Ev. Lösung... Euer Vorhaben auf nach das Ende des EA (3-Jahre-Laufzeit) verschieben,
dann aber den EA im CSP neu definieren!


Zeiten und der Bedarf ändern sich im Laufe der Zeit eines Vertrages ....
Deswegen "begleite" ich meine Kunde über viele Jahre mit meiner Beratung...
Normalerweise trifft mein Spruch so gut wie immer zu:
"Ich koste nichts, der Kunde zahlt mich immer aus dem Ersparten..."

VG, Franz
 

Share this post


Link to post
vor 8 Stunden schrieb Nobbyaushb:

User-CAL, das das AUTH gegen das AD läuft

Dann nen Linux DC auf Samba aufsetzen und Authentifizierung gegen den Linux Server laufen lassen.
Easy Probem behoben :D

Share this post


Link to post
vor 7 Stunden schrieb falkebo:

Dann nen Linux DC auf Samba aufsetzen und Authentifizierung gegen den Linux Server laufen lassen.
Easy Probem behoben :D

Interessanter Ansatz. 
aber zieht das? Im Endeffekt hängt ja doch das ad da hinter 

Share this post


Link to post

Hi,
Lizenzpflicht besteht weiterhin,
solange bei der Authentifizierung irgendwie mit dem WIN-SVR und dem dort "Authentifizierung-Ding"(sorry bin kein Technik-Fachmann)
interagiert wird. ...Nennt sich in den Produktbestimmungen bei MS "multiplexing" !
(Schalte den WIN-SVR aus, wenn`s dann immer noch funktioniert, keine CAL, ansonsten > WIN-CAL...)


VG, Franz

Edited by lizenzdoc
  • Like 1

Share this post


Link to post

Hi @lizenzdoc,

 

mal unabhängig von dem Beitrag hier, finde ich es echt top das du immer wieder Hilfe zu Lizenzfragen gibst.
Ich hab von der Lizenzierung z.B. nur sehr oberflächlich Know-How, könnte mittlerweile nen eigener Studiengang sein...

 

vor 9 Stunden schrieb lizenzdoc:

solange bei der Authentifizierung irgendwie mit dem WIN-SVR und dem dort "Authentifizierung-Ding"(sorry bin kein Technik-Fachmann)
interagiert wird. ...Nennt sich in den Produktbestimmungen bei MS "multiplexing" !

Das wäre hier nicht der Fall.
Du könntest alle DCs abschalten, die Authentifizierung samt DNS Abfragen kann vom Linux Server erledigt werden.
Seit Samba 4 kann ein Linux DC (fast) vollständig die kompletten ADDS funktionalitäten abdecken. Größere Umgebungen mit mehreren Gesamtstrukturen und Domänen würde ich damit vielleicht nicht realisieren, aber ansonsten auf jeden Fall eine brauchbare Lösung.
 

Könnte für deine Anforderungen vielleicht wirklich Sinn machen diese Option zu evaluieren @StefanWe.
Vielleicht hat noch wer anders Erfahrung mit mixed environments?

Edited by falkebo

Share this post


Link to post

Hi,
@Falkebo : Danke! Mir macht MS-Lizenzierung "Spass" ;) !

wenn die "gewerbliche Mitarbeiter" nie einen WIN-SVR nutzen (mit diesem interagieren, auch keinen Applikationsserver der auf WIn-SVR läuft), dann keine WIN-CAL

und man wäre fein raus.

VG, Franz

Share this post


Link to post

Moin,

 

in solchen Fällen kann es tatsächlich ein Ausweg zu sein, die Authentifizierung über ein separates System zu steuern. Obacht aber, dann darf natürlich auch die SAML-Komponente nicht auf einem Windows-Server laufen ...

 

Und: Eine der eingangs genannten Anforderungen war Einfachheit. In dem jetzt diskutierten Konstrukt hätte man aber mindestens zwei Authentisierungsquellen. Einfach wird das dann nicht mehr sein. Und da kommt dann eine Kostenbetrachtung ins Spiel, zumindest rate ich entschieden dazu.

 

Gruß, Nils

 

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...