Windows Server 2022 External Connector für Owncloud AD Anbindung

[sheppard81 0]

Wir benötigen für eine Variable Zahl an externen Partnern Accounts um auf einen Owncloud (Linux) zugreifen zu können.
Diese Accounts sollen in unserem Active Directory verwaltet werden und der Owncloud Server prüft diese per LDAP Abfrage.

Muss ich für jeden Linux Server eine External Connector Lizenz kaufen, auch wenn dieser nur eine LDAP Abfrage an den AD Server macht?
Oder reicht eine, da ja nur auf den AD Server zugegriffen wird? 

Die meisten Beispiel drehen sich immer um Windows Server, ich hoffe jemand weiß hier mehr

Viele Grüße :)
 

[NilsK 3.046]

Moin, 

 

Der zu lizenzierende Dienst läuft ja auf dem Windows Server, also bräuchtest du einen Connector. 

 

Wäre es nicht evtl. schlauer und effizienter, die User in einem Verzeichnis zu verwalten, das auch unter Linux läuft? 

 

Gruß, Nils

bearbeitet 12. April 2024 von NilsK
Fipptehler

[sheppard81 0]

Vielen Dank für deine Antwort.

In diesem Fall haben wir bereits unsere internen Benutzer im AD die ebenfalls Zugriff u.a. auf den Owncloud Server benötigen.
Für den Fall das ein Dienst nur einen LDAP Server abfragen kann und um nicht 2 Verzeichnisse zu pflegen, ist die Überlegung alles zusammenzuführen.

Man könnte natürlich auch einen Proxy einsetzen (IAM), z.B. Keycloak und 2 Verzeichnisse nutzen. So gesehen greift dann auch nur noch dieser eine
auf den Windows AD zu. 

Ich habe zwar bisher noch nicht mit Keycloak gearbeitet, habe aber gutes darüber gehört...

Viele  Grüße

[NorbertFe 2.283]

Wollte ich grad sagen, Owncloud kann SAML Authentifizierung und da würde ich eher an ein zweites ggf. sogar Cloud IDP gehen, in dem die Konten der Kunden hinterlegt sind. Du willst doch nicht potentizell allen externen Partner Zugriffsrechte über einen AD Account geben. Sowas will man wirklich nicht.

[sheppard81 0]

Zitat

Du willst doch nicht potentizell allen externen Partner Zugriffsrechte über einen AD Account geben. Sowas will man wirklich nicht.

Wo würdest du hier ein Problem sehen?
Diese Accounts kommen in eine eigene OU und haben keinerlei Rechte.
Letztendlich soll das ganze verwaltbar und kostengünstig bleiben, ein eigenes Forest oder Cloud IDP würde für ca. 50-100 Accounts zu viel werden.

Da ich so ein Konstrukt aber auch noch nie gebaut habe, fehlt mir hier vielleicht auch nur die Erfahrung an Alternativen.

[NorbertFe 2.283]

vor 7 Minuten schrieb sheppard81:

Diese Accounts kommen in eine eigene OU und haben keinerlei Rechte.

 

Schonmal gesehen, wieviel ein Standard Nutzer im AD "keinerlei" Rechte hat? ;) Ich würds jedenfalls nicht tun. Ich würde keinem externen einen Account in meinem internen System geben (und schon gar nicht, in dieser Anzahl).

[NilsK 3.046]

Moin,

 

vor 43 Minuten schrieb sheppard81:

Letztendlich soll das ganze verwaltbar und kostengünstig bleiben

 

du hast dir angesehen, was allein die External Connector License kostet?

 

Ansonsten das, was Norbert sagt.

 

Gruß, Nils

 

[sheppard81 0]

Eine Lizenz würde uns 2.500€ kosten. Das ist vermutlich ungefähr der Preis den

man für 1-2 Jahre Okta oder ähnliches bezahlen würde (bei ca. 2€ pro User Pro Monat geschätzt).

Vielen Dank für die Anregungen, ich werde mich da noch weiter reinlesen und vielleicht einfach mal einen Keycloak
Server installieren.

[NilsK 3.046]

Moin, 

 

Aber du brauchst doch kein Okta, um für 50-100 User OwnCloud bereitzustellen.

 

Gruß, Nils

 

[sheppard81 0]

Das war nur als Beispiel für eine Cloud IDP Alternative.

Als lokale Alternative könnte ich die 50-100 User wohl auch einfach direkt in Keycloak eintragen ohne ein weiteres Verzeichnis (Samba, FreeIPA usw.).

[NorbertFe 2.283]

vor 44 Minuten schrieb sheppard81:

Als lokale Alternative könnte ich die 50-100 User wohl auch einfach direkt in Keycloak eintragen ohne ein weiteres Verzeichnis

 

Das wär sicherlich preiswerter als Okta oder eine Windows External Connector license. ;)