View previous topic :: View next topic |
Author |
Message |
Obi-Lan Apprentice
Joined: 21 Jan 2005 Posts: 230 Location: Riihimäki
|
Posted: Sat Mar 25, 2006 11:28 am Post subject: Active Directory ja OpenLDAP? |
|
|
Onko mahdollista toteuttaa Windows 2003 Serverin Active Directoryn ja vaikka Gentoon päällä pyörivän OpenLDAP välille synkroninen yhteys? Eli esim. tietyssä OU:ssa olevien käyttäjien synkronointi Active Directoryn ja OpenLDAP palvelimen välillä. Tai vaikka kaikkien OU:den ja niiden sisältämien käyttäjätilien synkronointi? Vai loppuuko OpenLDAP:sta ominaisuudet? Kannattaako ottaa suosiolla joku muu LDAP palvelu kokeiluun?
Tavoitteena siis lähinnä esim. mahdollistaa käyttäjätilien lisääminen kummasta tahansa palvelimesta, samban käyttöoikeuksien hallinnointi AD/OpenLDAP kautta, sähköpostipalvelimen (qmail, horde..) käyttöoikeuksien hallinta ynnä muuta sellaista pientä kivaa.
Löysin googlettamalla semmosen Windowsiin asennettavan plug-inin kuin AD4Unix, mutta tämäkin ilmeisesti vain lisää AD Schemaan unix-kirjautumiseen tarvittavat kentät. Vaan tarvitseeko tätä pakettia jos Linux/unix koneeseen kirjautuminen menee PAM:in ja OpenLDAP hakemiston kautta?
Löysin jo hyvän howton koskien aihetta OpenLDAP:in asentamisesta Gentoo linuxiin. |
|
Back to top |
|
|
PaveQ Apprentice
Joined: 11 Feb 2005 Posts: 225 Location: Finland
|
Posted: Sat Mar 25, 2006 7:56 pm Post subject: |
|
|
Miksi ihmeessä tarvitsisit active directoryn? Kyllä samba ja windows autentikaatio toimii openldapin kautta. Ei oikein järkevää pitää kahta palvelua. Käytännössä kaiken voi tehdä pelkästään openldapilla. |
|
Back to top |
|
|
Diezel l33t
Joined: 04 Feb 2003 Posts: 600 Location: Karjaa, Finland
|
Posted: Sat Mar 25, 2006 10:17 pm Post subject: |
|
|
PaveQ wrote: | Miksi ihmeessä tarvitsisit active directoryn? Kyllä samba ja windows autentikaatio toimii openldapin kautta. Ei oikein järkevää pitää kahta palvelua. Käytännössä kaiken voi tehdä pelkästään openldapilla. |
Paitsi se kaikkein tärkein, eli Group Policy. Tietääkseni siihenkin nykyään löytyy kolmannen osapuolen softa. En Windows ympäristössä vaihtaissi olemassa olevaa AD:ta OpenLDAP:iin. Jos uusi järjestelmä olisi kysessä niin ehkä.
GP:t helpottavat kummasti elämää jos on paljon erillaisia käyttäjiä ja asetuksia. _________________ A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473 |
|
Back to top |
|
|
Obi-Lan Apprentice
Joined: 21 Jan 2005 Posts: 230 Location: Riihimäki
|
Posted: Sun Mar 26, 2006 12:21 am Post subject: |
|
|
Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta. Ja olen huomannut, että kaikki suomalaiset softatalot tekevät ammattiohjelmistoja joista 90% toimii Windows/Windows Server tai MS SQL palvelin pohjalla, joten Windows Server (ja tätä kautta AD) on melko välttämätön suurimmassa osassa tapauksista.
Ideanani siis lähinnä on, että kun monessa paikassa on jo AD serveri ja jos nyt sattuu käymään niin, että joku haluaa esim. oman sähköpostipalvelimen niin sehän voi olla toki exchange tai sitten Linux palvelin joka on varustettu OpenLDAP palvelulla, qmaililla ja jollain www interfacella (ja linux on sen muutaman tonnin halvempi). Ja tietenkin niin, että käyttäjät voivat käyttää samoja tunnuksia sähköpostiin ja työasemilleen kirjautuessa, ja onhan se toki huomattavasti helpommin hallinnoitavissa. Tai sitten jos palvelimelta loppuu esim. tila niin voi lisätä samaan toimialueeseen yhden halvan linux/samba palvelimen, joka tulee saumattomasti käyttöön. Tai autentikointia johonkin ihan muuhun.
Ultimate taka-ajatus mulla on toki todennäköisesti opparin tekeminen aiheesta, kaikenlaista tietoo olen tässä jo koittanut keräillä, mutta mistään en ole löytänyt mitää käytännön tason toteutuksia tai oppaan tynkää. |
|
Back to top |
|
|
Diezel l33t
Joined: 04 Feb 2003 Posts: 600 Location: Karjaa, Finland
|
Posted: Sun Mar 26, 2006 9:00 am Post subject: |
|
|
Muistaakseni Joulu->Helmikuussa oli Linux Journal lehdessä 3 osan artikkeli Samba/LDAP/AD jne toteutuksesta. Jos saat ne kolme käsiisi niin sieltä löytyy ainakin tietoa. Lisäksi käyttivät Gentoota palvelimena.
Tuon ei pitäisi olla mitenkään suurempi ongelma koska yhteyksiä AD:hen on jo monella ohjelmalla, töissä käytämme esim. OpenVPN palvelinta joka autentikoi AD:ta vastaan. _________________ A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473 |
|
Back to top |
|
|
PaveQ Apprentice
Joined: 11 Feb 2005 Posts: 225 Location: Finland
|
Posted: Sun Mar 26, 2006 11:57 am Post subject: |
|
|
Diezel wrote: | PaveQ wrote: | Miksi ihmeessä tarvitsisit active directoryn? Kyllä samba ja windows autentikaatio toimii openldapin kautta. Ei oikein järkevää pitää kahta palvelua. Käytännössä kaiken voi tehdä pelkästään openldapilla. |
Paitsi se kaikkein tärkein, eli Group Policy. |
Mitä tuo on? Siis onhan ldapissa mahdollisuus tehdä vaikka mitä configuraatioita.. |
|
Back to top |
|
|
PaveQ Apprentice
Joined: 11 Feb 2005 Posts: 225 Location: Finland
|
Posted: Sun Mar 26, 2006 12:00 pm Post subject: |
|
|
Obi-Lan wrote: | Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta. |
Hmm, olen vissin jäänyt jälkeen windowssin kehityksestä kun ei ole mitään aavistusta mikä tuo on.
Kai linuxit osaa autentikoida active directoryn kautta joten miksei käyttää siis sitä jos se on jo asennettu? |
|
Back to top |
|
|
Diezel l33t
Joined: 04 Feb 2003 Posts: 600 Location: Karjaa, Finland
|
Posted: Sun Mar 26, 2006 12:13 pm Post subject: |
|
|
PaveQ wrote: | Obi-Lan wrote: | Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta. |
Hmm, olen vissin jäänyt jälkeen windowssin kehityksestä kun ei ole mitään aavistusta mikä tuo on.
Kai linuxit osaa autentikoida active directoryn kautta joten miksei käyttää siis sitä jos se on jo asennettu? |
Group Policy on olennainen osa AD:ta. Oli jo 2000 Server:issä mukana. Sillä voi tehdä erillaisia lukituskia, automatisoida asennuksia, ohjata kansioita jne jne.
Onhan LDAP:issa asetuksia, mutta keskitetysti et sillä voi ohjata esimerkiksi mitä ohjelmistoija asennetaan mihinkin koneeseen. GP:ssä voit esim pistää kannettavat eri luokkaan ja asentaa kaikkiin palomuurin, tai hallinnon koneet eri OU:hun ja asentaa niihin hallinnon käyttämää talousohjelmistoa. Käyttömahdollisuuksia on vaikka kuinka paljon.
Siitä syystä moni valitseekin yritykseen AD:n. Jos suurin osa työasemista ovat Windows pohjaisia. Meillä käytetään GP:n tuomia lisiä todella paljon, mutta kaikki palvelimet mitkä on mahdollista siirtää *NIX pohjalle siirtyvät sinne. _________________ A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473 |
|
Back to top |
|
|
PaveQ Apprentice
Joined: 11 Feb 2005 Posts: 225 Location: Finland
|
Posted: Sun Mar 26, 2006 1:30 pm Post subject: |
|
|
Diezel wrote: | PaveQ wrote: | Obi-Lan wrote: | Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta. |
Hmm, olen vissin jäänyt jälkeen windowssin kehityksestä kun ei ole mitään aavistusta mikä tuo on.
Kai linuxit osaa autentikoida active directoryn kautta joten miksei käyttää siis sitä jos se on jo asennettu? |
Group Policy on olennainen osa AD:ta. Oli jo 2000 Server:issä mukana. Sillä voi tehdä erillaisia lukituskia, automatisoida asennuksia, ohjata kansioita jne jne.
Onhan LDAP:issa asetuksia, mutta keskitetysti et sillä voi ohjata esimerkiksi mitä ohjelmistoija asennetaan mihinkin koneeseen. GP:ssä voit esim pistää kannettavat eri luokkaan ja asentaa kaikkiin palomuurin, tai hallinnon koneet eri OU:hun ja asentaa niihin hallinnon käyttämää talousohjelmistoa. Käyttömahdollisuuksia on vaikka kuinka paljon.
Siitä syystä moni valitseekin yritykseen AD:n. Jos suurin osa työasemista ovat Windows pohjaisia. Meillä käytetään GP:n tuomia lisiä todella paljon, mutta kaikki palvelimet mitkä on mahdollista siirtää *NIX pohjalle siirtyvät sinne. |
Eihän ldap ohjaa mitään, sehän on vain database? Eri asia on mitenkä siellä olevaa dataa tulkitaan. Kai ldappiin olisi mahdollista tehdä schema joka tallentaa juuri noita GP:tä. Vai onko AD enemmän kuin database? |
|
Back to top |
|
|
Diezel l33t
Joined: 04 Feb 2003 Posts: 600 Location: Karjaa, Finland
|
Posted: Sun Mar 26, 2006 1:35 pm Post subject: |
|
|
En usko, eli tietokantahan AD on, mutta sen käyttö mahdollistaa aika lailla eri vaihtoehtoja. Näiden asetusten tekoon löytyy kolman osapuolen softia mitä voi liittää Samba, OpenLDAP ympäristöön mutta ne eivät ole ilmaisia joten jos yritys on jo ostanut Win palvelimet ja licenssit siihen niin vaihto ei ole taloudellisesti kannatavaa. Eri asia jos siirytään esim. NT toimialueesta uudempaan. _________________ A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473 |
|
Back to top |
|
|
Obi-Lan Apprentice
Joined: 21 Jan 2005 Posts: 230 Location: Riihimäki
|
Posted: Mon Mar 27, 2006 3:30 pm Post subject: |
|
|
Kyl mä väittäsin että on AD aika pitkälle erikoistunut LDAP tietokanta. Siinä kun on ne tietokonetilit ja kaikki. Ilmeisesti Group Policy toimii näiden tietokonetilien kautta ja toki käyttäjätilien kanssa. Määrittelee koko joukon ominaisuuksia. Kyllä toi AD on melko eri vehje käyttää kun NT domaini ja mielestäni paljon joustavampi ja monipuolinen. |
|
Back to top |
|
|
|