UCS@school und Office365

german

#1

Hallo zusammen,

leider verstehe ich einen Beitrag im Forum (UPN selectabillity in UMC) und einen SDB Artikel (sdb.univention.de/1275) nicht ganz und muss nochmal nachfragen.

Wir haben in der Schule (leider noch) UCS@school 3.2 (ein Upgrade auf 4.1 ist geplant evtl. für die Sommerferien) mit einem zentralen Master und mehreren DC-Slaves in den Schulen. Da wir jetzt Office 365 nutzen wollen/sollen, möchten wir über den Microsoft Azure AD Connect unser internes “AD” mit dem Office 365 verbinden (z.B. azure.microsoft.com/de-de/docum … adconnect/). Dazu benötigen wir das Attribut UserPrincipalName in der Form der Email-Adresse.
Wie ich schon verstanden habe, wird der UserPrincipalName in Samba 4 mit dem krb5PrincipalName im LDAP gleich gehalten und entspricht somit dem lokalen Login. Microsoft schreibt nun:

Deswegen benötigen wir den UserPrincipalName und diesen in der Form der Email und nicht in der Form des Login.

Wenn wir nun testweise den UserPrincipalName über einen Windows Server (mit den dortigen AD-Tools), auf dem auch der Azure AD Connect läuft, bei einem Benutzer ändern, ändert sich auch der UserPrincipalName im Samba auf dem Master. Soweit so gut. Im LDAP ändert sich nichts. OK. Auf dem Schul-DC und auch auf den anderen DCs ändert sich auch nix, ist auch ok. Wir benötigen den UserPrincipalName sowieso nur auf dem Master, denn auf diesen greift ja der Azur AD Connect zu.

Was passiert, wenn wir das nun für alle User (auf dem Master) machen? Machen wir irgendwas kaputt? Gibt es irgendwo Probleme, wenn wir das tun?

Wir würden gerne das Ganze per Skript erledigen, das es viele Nutzer sind. Bzw. wenn wir einen Benutzer anlegen machen wir das derzeit per Skript und setzen gleich einige Werte.
Welches ist der beste Weg in diesen Skripten den UserPrincipalName zu setzen? lbdedit, lbdmodify oder wie? samba-tool können wir ja derzeit noch nicht nutzen.

Liebe Grüße, GPrade


#2

Hallo Herr Prade,

kurz vorab: für UCS 4.1 gibt es im Univention App Center eine App, die Ihnen die Integration von Office 365 in ihre Domäne abnimmt:
univention.de/produkte/univ … office365/

Das Attribut “userPrincipalName” enthält den Kerberos-Principal, den das AD verwendet. Dieser sollte bereits den korrekten
RFC822-formatierten Wert (USER@REALM) enthalten. Das Ändern dieses Attributwerts sollte daher nicht notwendig sein und
wird voraussichtlich zu Kerberos-Problemen führen.

Viele Grüße,

Sönke Schwardt-Krummrich