Hallo,
derzeit ist es ja so, dass man im Grunde immer eine Verbindung zum Domänencontroller Master braucht, welches in manchen Fällen aber nicht Ideal ist…
Nun gibt es ja die SMB4 AD Implementierung, mit welchem ich Ideal regeln kann, wer mit wem synct (AD Sites), bzw. kann sogar für Aussenstellen RO AD definieren, um zB. nur Passwörter von bestimmten Nutzern zu synchronisieren…
Nur bringt mir dieses alles nichts, da eure OpenLDAP Univention Integrierung sowieso kein RO (für Passwörter Synchronisierung) unterstützt, bzw. ist hier sowieso immer nur ein LDAP beschreibbar…
Daher meine Frage:
Habt ihr schonmal über folgende Dinge nachgedacht:
Das OpenLDAP komplett abzulösen, und alles über das AD laufen zu lassen. Ich denke, den DHCP Server in das AD zu integrieren, wird nicht das große Problem sein.
Wenn OpenLDAP trotzdem benötigt wird, kann man auf bestimmte Server (oder auch auf allen Servern) das OpenLDAP nachinstallieren, wobei dieses mit dem lokalen AD synchronisiert, somit wären auch alle OpenLDAPs beschreibbar, und in den OpenLDAPs liegen dann auch nur die Passwörter, welche gesynct werden sollen (im Falle eines RO ADs).
Der univention-notifier Dienst würde komplett fallen, alle listener horchen auf ihr lokales LDAP.
Falls das lokale OpenLDAP ablösen nicht in Frage kommt (wird wahrscheinlich so sein), so könnte man es wie folgt lösen:
Jeder Server bekommt ein AD, zusätzlich bekommt jeder Server ein OpenLDAP. Jeder Server synchronisiert eigenständig das AD zu seinem lokalen OpenLDAP.
Vorteile:
[ul]Jeder OpenLDAP Server ist beschreibbar, im Falle einer Änderung wird diese zum lokalen AD Server synchronisiert, dieser rollt die Änderung im Netzwerk aus
Ich kann RO ADs / OpenLDAPs definieren, somit kann ich bei Aussenstellen steuern, welche Benutzerpasswörter synchronisiert werden sollen.
Man ist nicht von einem beschreibbaren OpenLDAP Server abhängig.[/ul]
Meinungen?