Frage zu Verwendbarkeit von UCS

german

#1

Hallo,

wir haben hier noch einen Samba 3.5.x mit OpenLDAP im Einsazt, den wir gerne durch ein modernes System ersetzen würden.
Allerdings sind bisher alle Versuche daran gescheitert, dass wir mit einem neueren Samba keine lauffähige Konfiguration hinbekommen haben, die folgende Kriterien erfüllt:

  • Benutzerautentifizierung über LDAP
  • Freigabe auf POSIX-Ebene (Benutzer/Gruppen auf System auf das LDAP gemappt)
    Beim 3.5’er Samba war die Freigabe über Posix-Rechte kein Problem, dort schien noch für jeden Benutzer ein Prozess unter dem jeweiligen User gespawnt zu werden, womit die Zugriffsrechte durch das unterliegende Filesystem geregelt wurden.

Daher hier meine Fragen bezüglich UCS:

  • Ist es möglich, eine bestehende Domäne aus einem OpenLDAP “verlustfrei” in den UCS zu importieren?
  • Ist der LDAP-Server von Außen per anonymen Zugriff zugänglich? Wir haben etliche Anwendungen im Intranet, die gegen den LDAP autentifizieren.
  • Wenn nein, kann man den UCS auch als Samba-Server mit einem externen LDAP ohne AD-Funktionalität betreiben?

Vielen Dank schon mal für die Antworten.


#2

Hallo

Prinzipiell können LDIFs mit ldapdd/ldapmodify eingespielt werden.
Sinnvoll wäre aber m.E., die Objekte zunächst mit UCS-Mitteln z.B. dem udm-Kommandozeilentool anzulegen und dann nach Bedarf den Rest über ldapmodify zu setzen.

Ja, das muß man aber explizit einschalten 3.4.5. Zugriffskontrolle auf das LDAP-Verzeichnis

Das ist aus meiner Sicht eher ungünstig bzw. sehr komplex.

Viele Grüße,
Dirk Ahrnke


#3

Hallo,

Das einfachste ist wohl das bestehende Samba3 zu migrieren, mein Kollege hat das vor kurzem mal erklärt: de.slideshare.net/Univention/150 … practicesc
Der Prozess ist im Wiki beschrieben: [wiki]Migration_from_Samba_3_to_Samba_4[/wiki] und [wiki]Migrate_Existing_Samba_3_Installations_to_UCS_3_with_Samba_3[/wiki]
Danach ggf. fehlenden Objekte per udm erzeugen, danach ggf. fehlende Attribute hinzufügen.

Ja, das kann schon angeschaltet werden. Meiner Meinung nach besser (im Sinne von sicherer) wäre einen ldap-Proxy zu diesem Zweck einzurichten, z.B. so: saz.sh/2008/08/28/openldap-als-p … inrichten/ Damit müssen Sie nicht mehr die Erfordernisse der bestehenden Altsysteme auf dem neuen System beachten, können diese alten bestehenden Systeme jedoch weiterhin ohne Modifikation betreiben.

Folgendes hat mit UCS nichts zu tun, gilt dort jedoch genau wie bei jedem Samba4.
Kurze Antwort: Technisch ist so etwas machbar, aber bitte beachten: bit.ly/1RCPvxf
Mehr Hintergrund unter wiki.samba.org/index.php/Samba4 … motivation
Meine Meinung dazu: Bitte nicht machen, der Job als Admin ist auch so schon aufregend genug.

Gruß Lutz Willek