UCS im "MemberMode" an Windows AD / Authentifizierungsfrage

german

#1

Hallo zusammen,

ich habe hier eine W2k12 AD Server Landschaft. Nun habe ich einen UCS im “Member Mode” installiert und an das AD angebunden. Das hat soweit funktioniert, die User und Gruppen aus dem AD sind im UCS sichtbar.
Das Ziel ist es eigentlich den Linux Usern eine einheitliche UID/GID Struktur für Authentifizierungen vorzugeben.

Nur wie bekomme ich die Linuxuser dazu sich gegen den UCS zu authentifizieren. Das AD hat ja keine UID/GID im AD sondern diese wurden ja erst beim joinen auf der UCS Seite erstellt ?

Der zweite Punkt ist kann man die UID/GID auf UCS Seite einfach ändern, da ich hier UID-Bereiche für verschiedene Abteilungen vorgesehen hatte, und der UCS die UID wahllos generiert hat?

Ist das technisch überhaupt möglich, oder bin ich da komplett auf dem Holzweg? :wink:

Gruß
Rap123


#2

Moin,

Unter Linux authentifiziert man sich normalerweise gegen den LDAP-Server. Hier spielen die UIDs/GIDs (die Nummern) eigentlich auch immer nur eine untergeordnete Rolle – die Login- bzw. Gruppennamen sind das Entscheidende.

Authentifizierung funktioniert normalerweise bei LDAP so, dass zuerst der Baum nach einem Objekt durchsucht wird, dessen Loginname dem gewünschten gleicht. Dann wird im zweiten Schritt eine Authentifzierung mit gefundenen Objekt und dem angegebenen Passwort geegn den LDAP-Server versucht.

Dass die UIDs/GIDs (die Nummern) und Namen auf allen beteiligten Linux-Servern gleich sein müssen, das versteht sich von selbst. Dafür verwendet man normalerweise die Mechanismen nss_ldap und pam_ldap – ersteres sorgt dafür, dass die User- und Gruppeninformationen zur Verfügung stehen, und letzteres führt die oben skizzierte Authentifizierung durch.

Ein nachträgliches Ändern der UID- und GID-Nummern ist in Univention nicht möglich.