Doppelte Userhaltung
UNIX Clients an Windows PDC
Active Directory Vorteile: Aufrechterhaltung der Windows Konfiguration Nachteile: Kein veröffentlichtes Protokoll zur Anmeldung Abweichung von Standards
RFC 2256 Sun ONE Directory Server 5.1 Windows 2000 Active Directory organizationalperson ( 2.5.6.7 NAME 'organizationalperson' SUP person STRUCTURAL MAY ( destinationindicator $ facsimiletelephonenumber $ internationalisdnnumber $ l ou $ physicaldeliveryofficename $ postaladdress $ postalcode $ postofficebox $ preferreddeliverymethod $ registeredaddress $ st $ street $ telephonenumber $ teletexterminalidentifier $ telexnumber $ title $ x121address $ ) ) objectclass organizationalperson oid 2.5.6.7 SUP person MAY destinationindicator$ facsimiletelephonenumber$ internationalisdnnumber$ l$ ou$ physicaldeliveryofficename$ postaladdress$ postalcode$ postofficebox$ preferreddeliverymethod$ registeredaddress$ st$ street$ teletexterminalidentifier$ telexnumber$ title$ x121address Organizational-Person Ldap-Display-Name OrganizationalPerson... Subclass Of Person Top... May-Contain Address... Department Destination-Indicator Division E-mail-Addresses Employee-ID Facsimile-Telephone-Number Generation-Qualifier Given-Name Initials International-ISDN-Number Locality-Name Logo... Organization-Name Organizational-Unit-Name Other-Mailbox... Phone-Pager-Primary Physical-Delivery-Office-Name Picture Postal-Address Postal-Code Post-Office-Box Preferred-Delivery-Method Registered-Address State-Or-Province-Name Street-Address Teletex-Terminal-Identifier Telex-Number Telex-Primary Text-Country Title User-Comment X121-Address
Winbind Vorteile: Aufrechterhaltung der Windows Konfiguration Nachteile: UNIX Clients müssen angepasst werden (PAM, NSSwitch)
Windows Clients an UNIX Server
LDAP Hierarchische Datenstruktur Verteilbarer Zugriff Beliebige Daten Stark Akzeptiertes Protokoll
LDAP Anbindung pgina SAMBA PDC
Vorteile: pgina direktes LDAP kein weiterer Server nötig Nachteile: keine Domänenstruktur / weitere zentralen Dienste Client muß angepasst werden
Samba Vorteile: Windows Domänenstruktur möglich LDAP Anbindung möglich Nachteile: Samba hinkt aktuellen Windows Versionen stets hinterher
How To
Spezielle Konfigurationen LDAP Server Sun ONE Directory Server oder OpenLDAP Schemaerweiterungen für Samba: Objektklasse SambaAccount inkl. Attribute wie ntpassword... Anlegen Spezieller User
Samba PDC LDAP Unterstützung stabil ab 2.2.4 Angabe der LDAP Funktionalität zur Kompilationszeit
Windows Client Keine zusätzliche Software, für den Client ist sein PDB transparent Kein direkter Zugriff auf LDAP Server lediglich Aufnahme in Samba Domain
Usereintrag dn: uid=jmcclain,ou=people, dc=nakatomo,dc=com objectclass: top objectclass: person objectclass: posixaccount objectclass: shadowaccount objectclass: organizationalperson objectclass: inetorgperson objectclass: sambaaccount cn: John McClain sn: McClain uidnumber: 920 gidnumber: 10 Description: Die Hard Hero homedirectory: /home/jmcclain loginshell: /bin/csh gecos: John McClain mail: jmcclain@nakatomo.com rid: 2840 userpassword: {crypt}k9tuoumf9sn1y lmpassword: 1C9229027A4A8AF809752A3293831D17 ntpassword: AEF28D238453E7E31A9C3F3741D3EABA
Passwortabgleich Es existieren immer noch zwei Passwörter: UNIX und NT Änderung darf nur von bekannten Stellen erfolgen
Passwortabgleich Passwortwechsel auf Windows: [Strg][Alt][Entf] Abfangen in Samba, UNIX Passwort wird ebenfalls geändert (Aufruf passwd) Passwortwechsel auf UNIX: % passwd Samba PAM library im PAM Stack ändert auch NT Passwort
Migration und Ausfallsicherheit
Migration bestehender Systeme Windows PDC Auslesen der NT Paßwörter via pwdump: <uid> <rid> <lmpassword> <ntpassword> LDIF File (z.b. mcclaine.ldif):... objectclass: sambaaccount rid: <rid> lmpassword: <lmpassword> ntpassword: <ntpassword>... % ldapadd -D cn=directory Manager -f mcclaine.ldif
Ausfallsicherheit LDAP Server Replikation Clients binden sich an Master und Slave Samba Server bindet sich an Master und Slave
Ausfallsicherheit Samba Server BDC Funktionalität über Samba nur eingeschränkt möglich Aufsetzen eines weiteren Samba PDC, welcher sich an LDAP Server bindet.
Ausfallsicherheit
Danke für Ihre Aufmerksamkeit Marco Staub marco.staub@kippdata.de