QNAP AD (Samba4) Domäne + UCS Server?

german

#1

Hallo Leute,

Ich habe einen QNAP SMB NAS mit AD-Domäne PDC am laufen. Dahinter steckt Samba 4 AD-Domäne.

Jetzt möchte ich in der QNAP den UCS Server mit Zarafa als VM laufen lassen. Das geht soweit, das VM Image des UCS Servers incl. Zarafa gibt es im VM Marketplace.

Den UCS habe ich gestartet, nun weis ich nicht wie ich den QNAP PDC ansteuern soll.

Soll ich dem QNAP DC beitreten, parallel laufen, nebeneinander laufen lassen oder …??? Habe in der UCS Doku auch was von einem “Univention S4 Connector” gelesen.

Wie stelle ich es am besten an, irgendwelche Tips ?

MfG Stefan


#2

Moin,

ein UCS kann entweder als Mitgliedsserver in die bestehende AD-Domäne aufgenommen werden (ohne AD-Domänencontrollerfunktion), oder aber als AD-Controller. Allerdings wird »UCS als AD-Controller« nicht mit Windows-AD-Controllern gemischt funktionieren – ob das auch für ein QNAP NAS gilt, kann ich nicht sagen. Ich würde mal spontan davon ausgehen, dass es nicht gut funktionieren wird. Sprich als Mitgliedsserver sollte die sicherere Variante sein.

Im Modus »AD-Mitgliedsserver« wird der S4-Connector benutzt, um die Domänendaten aus der AD auszulesen und ins UCS-System zu synchronisieren. Eine große Warnung: verschlüsselte Passwortdaten werden per default nicht synchronisiert. Dafür muss auf dem AD-Controller ein eigener Dienst installiert werden – da Sie aber keinen Windows-AD-Controller haben, wird das so einfach nicht funktionieren.

Dieser Modus ist in Abschnit 9.3.2 des Administrationshandbuchs beschrieben.

Letztlich könnten Sie auch überlegen, mit dem UCS-Server eine neue AD-Domäne aufzusetzen und das QNAP-NAS dann als Mitgliedsserver joinen zu lassen – oder ohne AD direkt gegen ein LDAP zu operieren, falls QNAP das unterstützt.


#3

Vielen Dank für die Antwort,

Ich persönlich ziehe auch die Variante, den UCS als AD-Mitglied zu betreiben vor. Da der QNAP auch einen Samba4 AD-Controller betreibt sollte der UCS diesen als Mitglied joinen können.

Wieso Warnung ? Was ist an der Nichtsynchronisation der verschlüsselten Passwortdaten tragisch?

Können diese nicht vom Master-DC gelesen werden ? (in meinem Fall, vom QNAP)


#4

Ich weiß nur, dass ein Windows-AD-Server das direkte Auslesen der verschlüsselten Passwortdaten eben nicht erlaubt, daher der eigene Dienst. Ob ein Samba 4 das direkt erlaubt, kann ich leider nicht sagen.

Das Schlimmste, was dann passieren kann, ist dass zwar die Accounts synchronisiert werden, nicht aber die Passwörter, und dass Sie dann im UCS für jeden Account die Passwörter manuell setzen müssen, damit sich die BenutzerInnen via Zarafa authentifizieren können.


#5

Stimmt,

von dem Windows AD Zusatzdienst habe ich gelesen.

Die Passwörter manuell zu setzen ist natürlich nicht so schön…

Dann muss die Praxis eben den Beweis liefern, ob der “qnap-Samba4 -Master-DC” mit dem “UCS-Mitglied-DC” Passwörter austauschen.

Ich werde berichten.


#6

Moin,

ich habe mich geirrt und gerade von Univention den Hinweis bekommen, dass auch im AD-Mitgliedsserver-Modus trotz fehlender Passwortsynchronisation eine Authentifizierung via LDAP-Bind funktionieren sollte, und das ist das, womit Zarafa die Authentifizierung durchführt. Sprich Sie können es ruhig als AD-Mitgliedsserver versuchen.