Schemaerweiterungen UCS <> AD

german

#1

Hallo zusammen,

wir wollen Schemaerweiterungen mit ACL durchführen. Allerdings haben wir eine AD- Domäne und ein UCS- Server. Wenn ich nun auf dem UCS Erweiterungen durchführe, werden diese dann auch im AD landen? Gibt es hier Besonderheiten zu beachten? Oder auch umgekehrt von AD nach UCS/openldap?

mit bestem Dank

Stefan


#2

Hallo,

die Synchronisation wird über ein Mapping gesteuert. Ich habe gerade kein System mit AD-Connector zur Hand, aber soweit ich mich erinnere steht alles in /etc/univention/connector/ad/mapping.

Viele Grüße,
Dirk Ahrnke


#3

Hallo,

okay, vielen Dank. Ich versuch mich gerade mit einem openldap- Buch schlau zu machen. Aber so einfach ist es ja nicht…
Ein Ziel unserer Anpassungen soll sein: eine Schemaerweiterung mit “Gehalt”, dies soll per ACL nur einem bestimmten Benutzer zugänglich sein. Auch soll der Inhalt verschlüsselt werden.

Wie gehe ich am Besten vor? Wo müsste ich dieses Attribut hinzufügen, wie kann ich es verschlüsseln? Und ist dann der verschlüsselte Inhalt auch in der AD?

Bin für jeden Tip dankbar!!

Gruß
Stefan


#4

Hallo,

Alles in allem recht komplex, was Sie da vorhaben; und zu leicht kann man sich damit ein Verzeichnis kaputt machen.

Der Connector synchronisiert immer nur Feldinhalte, weder Schema noch ACLs werden synchronisiert. Das bedeutet, man muß die entsprechende Erweiterung (Schema und ACLs) parallel im UCS LDAP und im AD einbauen.

Ein verschlüsseltes Attribut in der UMC kann man bauen, wenn man sich dazu einen Hook schreibt; die Entwicklerdoku verweist auf [wiki]Erstellen_eines_erweiterten_Attributs_mit_Hook[/wiki]. Der Feldinhalt kann dann unverändert über das schon genannte Mapping im AD erscheinen; wenn es verschlüsselt ist und auf der Windows-Seite nicht editiert werden muß, sollte das doch nicht schaden.

Gruß,
Frank Greif.


#5

Hallo Frank,

okay. Wenn dann noch gefordert ist, das entsprechende Felder in der gui sichtbar, editierbar sind, dann übersteigt das ja wohl meistens die Fähigkeiten eines Admins. Ich meine, hier müsste ein Entwickler dran. Oder sehe ich das falsch?

mit bestem Dank

Gruß
Stefan


#6

Hallo,

Naja ein Entwickler kann ja auch ein Admin sein und umgekehrt, aber es stimmt schon: es kann nicht schaden, wenn man selber schon mal Software gebaut hat, und ganz ohne Tips und Tricks vom Hersteller wird man auch nicht auskommen, selbst wenn man prinzipiell in alle Quellen hineinschauen kann.

Grüße
Frank Greif.


#7

Moin,

hmmm, entweder ist man ein guter Admin oder ein guter Entwickler, beides in einer Person anzutreffen ist eher selten…

Aber vielen Dank, ich werds so weitergeben. Mal schauen was draus wird…

Vielen Dank!!
Stefan