Onko mahdollista toteuttaa Windows 2003 Serverin Active Directoryn ja vaikka Gentoon päällä pyörivän OpenLDAP välille synkroninen yhteys? Eli esim. tietyssä OU:ssa olevien käyttäjien synkronointi Active Directoryn ja OpenLDAP palvelimen välillä. Tai vaikka kaikkien OU:den ja niiden sisältämien käyttäjätilien synkronointi? Vai loppuuko OpenLDAP:sta ominaisuudet? Kannattaako ottaa suosiolla joku muu LDAP palvelu kokeiluun?
Tavoitteena siis lähinnä esim. mahdollistaa käyttäjätilien lisääminen kummasta tahansa palvelimesta, samban käyttöoikeuksien hallinnointi AD/OpenLDAP kautta, sähköpostipalvelimen (qmail, horde..) käyttöoikeuksien hallinta ynnä muuta sellaista pientä kivaa.
Löysin googlettamalla semmosen Windowsiin asennettavan plug-inin kuin AD4Unix, mutta tämäkin ilmeisesti vain lisää AD Schemaan unix-kirjautumiseen tarvittavat kentät. Vaan tarvitseeko tätä pakettia jos Linux/unix koneeseen kirjautuminen menee PAM:in ja OpenLDAP hakemiston kautta?
Löysin jo hyvän howton koskien aihetta OpenLDAP:in asentamisesta Gentoo linuxiin.
Active Directory ja OpenLDAP?
Moderator: Chiitoo
Message
Paitsi se kaikkein tärkein, eli Group Policy. Tietääkseni siihenkin nykyään löytyy kolmannen osapuolen softa. En Windows ympäristössä vaihtaissi olemassa olevaa AD:ta OpenLDAP:iin. Jos uusi järjestelmä olisi kysessä niin ehkä.PaveQ wrote:Miksi ihmeessä tarvitsisit active directoryn? Kyllä samba ja windows autentikaatio toimii openldapin kautta. Ei oikein järkevää pitää kahta palvelua. Käytännössä kaiken voi tehdä pelkästään openldapilla.
GP:t helpottavat kummasti elämää jos on paljon erillaisia käyttäjiä ja asetuksia.
A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473
my desk I have a work station..
Nixadmins.net
FLUG member 473
Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta. Ja olen huomannut, että kaikki suomalaiset softatalot tekevät ammattiohjelmistoja joista 90% toimii Windows/Windows Server tai MS SQL palvelin pohjalla, joten Windows Server (ja tätä kautta AD) on melko välttämätön suurimmassa osassa tapauksista.
Ideanani siis lähinnä on, että kun monessa paikassa on jo AD serveri ja jos nyt sattuu käymään niin, että joku haluaa esim. oman sähköpostipalvelimen niin sehän voi olla toki exchange tai sitten Linux palvelin joka on varustettu OpenLDAP palvelulla, qmaililla ja jollain www interfacella (ja linux on sen muutaman tonnin halvempi). Ja tietenkin niin, että käyttäjät voivat käyttää samoja tunnuksia sähköpostiin ja työasemilleen kirjautuessa, ja onhan se toki huomattavasti helpommin hallinnoitavissa. Tai sitten jos palvelimelta loppuu esim. tila niin voi lisätä samaan toimialueeseen yhden halvan linux/samba palvelimen, joka tulee saumattomasti käyttöön. Tai autentikointia johonkin ihan muuhun.
Ultimate taka-ajatus mulla on toki todennäköisesti opparin tekeminen aiheesta, kaikenlaista tietoo olen tässä jo koittanut keräillä, mutta mistään en ole löytänyt mitää käytännön tason toteutuksia tai oppaan tynkää.
Ideanani siis lähinnä on, että kun monessa paikassa on jo AD serveri ja jos nyt sattuu käymään niin, että joku haluaa esim. oman sähköpostipalvelimen niin sehän voi olla toki exchange tai sitten Linux palvelin joka on varustettu OpenLDAP palvelulla, qmaililla ja jollain www interfacella (ja linux on sen muutaman tonnin halvempi). Ja tietenkin niin, että käyttäjät voivat käyttää samoja tunnuksia sähköpostiin ja työasemilleen kirjautuessa, ja onhan se toki huomattavasti helpommin hallinnoitavissa. Tai sitten jos palvelimelta loppuu esim. tila niin voi lisätä samaan toimialueeseen yhden halvan linux/samba palvelimen, joka tulee saumattomasti käyttöön. Tai autentikointia johonkin ihan muuhun.
Ultimate taka-ajatus mulla on toki todennäköisesti opparin tekeminen aiheesta, kaikenlaista tietoo olen tässä jo koittanut keräillä, mutta mistään en ole löytänyt mitää käytännön tason toteutuksia tai oppaan tynkää.
Muistaakseni Joulu->Helmikuussa oli Linux Journal lehdessä 3 osan artikkeli Samba/LDAP/AD jne toteutuksesta. Jos saat ne kolme käsiisi niin sieltä löytyy ainakin tietoa. Lisäksi käyttivät Gentoota palvelimena.
Tuon ei pitäisi olla mitenkään suurempi ongelma koska yhteyksiä AD:hen on jo monella ohjelmalla, töissä käytämme esim. OpenVPN palvelinta joka autentikoi AD:ta vastaan.
Tuon ei pitäisi olla mitenkään suurempi ongelma koska yhteyksiä AD:hen on jo monella ohjelmalla, töissä käytämme esim. OpenVPN palvelinta joka autentikoi AD:ta vastaan.
A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473
my desk I have a work station..
Nixadmins.net
FLUG member 473
Mitä tuo on? Siis onhan ldapissa mahdollisuus tehdä vaikka mitä configuraatioita..Diezel wrote:Paitsi se kaikkein tärkein, eli Group Policy.PaveQ wrote:Miksi ihmeessä tarvitsisit active directoryn? Kyllä samba ja windows autentikaatio toimii openldapin kautta. Ei oikein järkevää pitää kahta palvelua. Käytännössä kaiken voi tehdä pelkästään openldapilla.
Hmm, olen vissin jäänyt jälkeen windowssin kehityksestä kun ei ole mitään aavistusta mikä tuo on.Obi-Lan wrote:Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta.
Kai linuxit osaa autentikoida active directoryn kautta joten miksei käyttää siis sitä jos se on jo asennettu?
Group Policy on olennainen osa AD:ta. Oli jo 2000 Server:issä mukana. Sillä voi tehdä erillaisia lukituskia, automatisoida asennuksia, ohjata kansioita jne jne.PaveQ wrote:Hmm, olen vissin jäänyt jälkeen windowssin kehityksestä kun ei ole mitään aavistusta mikä tuo on.Obi-Lan wrote:Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta.
Kai linuxit osaa autentikoida active directoryn kautta joten miksei käyttää siis sitä jos se on jo asennettu?
Onhan LDAP:issa asetuksia, mutta keskitetysti et sillä voi ohjata esimerkiksi mitä ohjelmistoija asennetaan mihinkin koneeseen. GP:ssä voit esim pistää kannettavat eri luokkaan ja asentaa kaikkiin palomuurin, tai hallinnon koneet eri OU:hun ja asentaa niihin hallinnon käyttämää talousohjelmistoa. Käyttömahdollisuuksia on vaikka kuinka paljon.
Siitä syystä moni valitseekin yritykseen AD:n. Jos suurin osa työasemista ovat Windows pohjaisia. Meillä käytetään GP:n tuomia lisiä todella paljon, mutta kaikki palvelimet mitkä on mahdollista siirtää *NIX pohjalle siirtyvät sinne.
A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473
my desk I have a work station..
Nixadmins.net
FLUG member 473
Eihän ldap ohjaa mitään, sehän on vain database? Eri asia on mitenkä siellä olevaa dataa tulkitaan. Kai ldappiin olisi mahdollista tehdä schema joka tallentaa juuri noita GP:tä. Vai onko AD enemmän kuin database?Diezel wrote:Group Policy on olennainen osa AD:ta. Oli jo 2000 Server:issä mukana. Sillä voi tehdä erillaisia lukituskia, automatisoida asennuksia, ohjata kansioita jne jne.PaveQ wrote:Hmm, olen vissin jäänyt jälkeen windowssin kehityksestä kun ei ole mitään aavistusta mikä tuo on.Obi-Lan wrote:Käsittääkseni samba vastaa edelleen Windows NT domainia, eikä Windows 2000/2003 Active Directoryä, jotka eroavat toisistaan melkoisesti. Windows työasemia on todellakin helpompi hallita Windows 2003 kautta mm. GPO:ta käyttäen ja työasemille voi myös tuuppaa .MSI paketteja AD kautta.
Kai linuxit osaa autentikoida active directoryn kautta joten miksei käyttää siis sitä jos se on jo asennettu?
Onhan LDAP:issa asetuksia, mutta keskitetysti et sillä voi ohjata esimerkiksi mitä ohjelmistoija asennetaan mihinkin koneeseen. GP:ssä voit esim pistää kannettavat eri luokkaan ja asentaa kaikkiin palomuurin, tai hallinnon koneet eri OU:hun ja asentaa niihin hallinnon käyttämää talousohjelmistoa. Käyttömahdollisuuksia on vaikka kuinka paljon.
Siitä syystä moni valitseekin yritykseen AD:n. Jos suurin osa työasemista ovat Windows pohjaisia. Meillä käytetään GP:n tuomia lisiä todella paljon, mutta kaikki palvelimet mitkä on mahdollista siirtää *NIX pohjalle siirtyvät sinne.
En usko, eli tietokantahan AD on, mutta sen käyttö mahdollistaa aika lailla eri vaihtoehtoja. Näiden asetusten tekoon löytyy kolman osapuolen softia mitä voi liittää Samba, OpenLDAP ympäristöön mutta ne eivät ole ilmaisia joten jos yritys on jo ostanut Win palvelimet ja licenssit siihen niin vaihto ei ole taloudellisesti kannatavaa. Eri asia jos siirytään esim. NT toimialueesta uudempaan.
A bus station is where a bus stops, a train station is where a train stops. On
my desk I have a work station..
Nixadmins.net
FLUG member 473
my desk I have a work station..
Nixadmins.net
FLUG member 473
Kyl mä väittäsin että on AD aika pitkälle erikoistunut LDAP tietokanta. Siinä kun on ne tietokonetilit ja kaikki. Ilmeisesti Group Policy toimii näiden tietokonetilien kautta ja toki käyttäjätilien kanssa. Määrittelee koko joukon ominaisuuksia. Kyllä toi AD on melko eri vehje käyttää kun NT domaini ja mielestäni paljon joustavampi ja monipuolinen.