Das Notes Forum
Domino 9 und frühere Versionen => ND6: Administration & Userprobleme => Thema gestartet von: uofree am 16.06.05 - 14:02:41
-
Hallöchen,
hier gabs vor einiger Zeit ja mal einige Posts zu diesem Thema, aber irgendwie kein wirkliches Ergebnis.
Ausserdem sind nun neue Versionen in der freien Wildbahn, so dass ich mir dachte es könnte ja wer wissen,
Wie man Samba (Vers. 3.x) zwecks User-Authentifizierung mit nem Lotus-LDAP Server verheiratet?
Habe gesucht, aber nichts gefunden. :-: Mit OpenLDAP scheint das ja Problemlos zu gehen.
Grüße
UOFree
-
Hallo,
du kannst das Schema selber erweitern. Was für einen Vorteil erhoffst du dir denn dabei? Kann Notes-LDAP Multimaster?
Samba 3 läuft mit einem ordendlichen Dateisystem (fast alles ausser ReiserFS) sehr stabil mit OpenLDAP.
matze
-
Ja, mit OpenLDAP klappts ja scheinbar ganz gut,
aber bei mir is das Problem, dass eine Anbindung an nen
Lotus-LDAP gewünscht ist, da dieser schon läuft und alle
Benutzerdaten bereits enthält. Noch einen LDAP aufzusetzen
wäre so unnötig wie sonstwas und da der Domino eh läuft und
auch weiterhin laufen wird ...
Wollt nur ma wissen, ob von euch wer sowas schonmal gemacht hat,
ob es sich arg von der OpenLDAP Anbindung unterscheidet - oder
garnich?
Grüße
UOF
-
Du kannst nur wenige Felder parallel benutzen. Für Samba legst du komplett eigene Strukturen an. Nicht mal die Passwörter sind Synchron lediglich der Kurzname wäre gleich. Du musst eigene Zweige für Gruppen und Maschinen anlegen und alle Samba-.Accounts mit eigenen Werkzeugen pflegen.
Ich würde Samba nicht mit dem Domino laufen lassen, weil man keine entscheidenden Vorteile hat. Und wenn der Domino weg ist, kann keiner was tun.
matze
-
Ich würde Samba nicht mit dem Domino laufen lassen, weil man keine entscheidenden Vorteile hat. Und wenn der Domino weg ist, kann keiner was tun.
Verstehe ich richtig?
Man kann die Samba-User nicht im Domino-Directory verwalten? Wenn ich eine Teilmaske für das SambaAccount-Schema baue, kann ich doch alles für die User verwalten.
Oder liege ich da falsch?
Und wenn der OpenLDAP weg ist, kann auch keiner was tun....
-
> Man kann die Samba-User nicht im Domino-Directory verwalten? Wenn
> ich eine Teilmaske für das SambaAccount-Schema baue, kann ich doch
> alles für die User verwalten.
> Oder liege ich da falsch?
Lese dich am besten in die Berechtigungskonzepte von Windows-Domänen ein, dann kannst du am besten sehen, wie groß der Aufwand sein wird um eine konsitente Rechtedatenbank zu erhalten. Zur Evaluierung könntest du ein System mit OpenLDAP aufbauen und dann versuchen dies im NAB nachzubilden. Die Lizenzfrage muss natürlich auch bedacht werden.
> Und wenn der OpenLDAP weg ist, kann auch keiner was tun...
Eine OpenLDAP-Replika aufzusetzen ist eine Sache von 5 Minuten. Wenn du dass aber schon Domino-Seitig abfängst, hast du da keine Probleme.
matze
-
Ist es überhaupt möglich OpenLDAP das Domino-Directory replizieren zu lassen (one way würde ja reichen) oder geht das nicht?
Bei meiner Googelei kam ich da nicht zu einer schlüssigen Auskunft.
-
OpenNTF hat ein Projekt dazu laufen, man könnte sich vielleicht dort informieren.
-
Dieses Projekt ist mir bekannt.
Aber hilft mir nicht wirklich weiter, da es zum einen eingestellt wurde (Status "Archived") und zum anderen nicht meine Fragestellung tangiert die da heißt "Kann ein OpenLDAP-Server sich das Domino-Directory replizieren?"
-
Hi,
eine Möglichkeit, wäre z.B. http://signon.comtarsia.com/index.html, die haben glaub ich eine nsf mit Schema für SAMBA.
Die Daten aus einem Notes-LDAP zu exportieren ist über Linux-Konsole oder grafischem LDAP-Client kein Problem, du bekommst dann eine LDIF-Datei.
Problem:
Du hast keine Scheme-Datei vom Domino
Problematisch sehe ich dann auch daß sich diese beiden LDAP-Server nicht gegenseitig abgleichen.
Was soll denn genau erreicht werden? Samba 3 - Domäne mit LDAP Backend für wieviele User? Hab grad so ein Projekt eingestampft, weil es einfach noch nicht ausgereift ist, um sich das mit mehr als 30 Usern anzutun.
Dachte auch erst, dass viele Probleme durch das LDAP Backend zu lösen sind, aber die Berechtigungen musst du halt immer noch im Filesystem und der smb.conf setzen. Und man macht den ganzen Aufwand um ne NT 4 - Domäne zu simulieren.
Versteh mich nicht falsch, ich mache gern Projekte mit Linux und bin begeisterter Linuxanwender und -admin, aber Fileserving für Windows-Clients sollte man sich gut überlegen. Gibt's ein Konzept für die nächsten Jahre? Werden die Clients auch migriert? Dann lohnt sich u.U. der Aufwand, wenn die Clients für die nächsten Jahre Windows behalten, ist es den Aufwand nicht wert.
u.U. wäre der obere Link ne Alternative.
mfg
Stoeps
-
Comtarsia ist mir bekannt, die machen grad ein Angebot.
Das LDAP-Schema von Domino bekommst du sehr einfach mit ldapsearch im LDIF-Format.
Ursprünglich las es sich sehr simpel "OpenLDAP als slave repliziert sich das Verzeichnis mit slurpd....". Im Admin-Guide stehts auch nicht soo offensichtlich. Erst in der Openldap-Mailingliste fand ich dann den Hinweis, daß der Master auch ein OpenLDAP sein muss. Die Bemerkung ist aber von 2002.
Beim gegebenen Fall soll auch keine Domäne nachgebildet werden, sondern für ca. 100 User eine Workgroup.
Eine Migration der Clients wirds wohl erstmal nicht geben.
-
Wäre mir zu unsicher. V.a. als Workgroup, da du ja dann wieder keine Logon-Skripte hast. Naja vielleicht in ner überschaubaren Umgebung.
Replication über slurpd funzt nur zw. den OpenLDAP-Servern. Einmalig ginge ein LDIF-Export, aber ob's hilft?
-
> Was soll denn genau erreicht werden? Samba 3 - Domäne mit LDAP
> Backend für wieviele User? Hab grad so ein Projekt eingestampft,
> weil es einfach noch nicht ausgereift ist, um sich das mit mehr als 30
> Usern anzutun.
Könntest du die Gründe deines Scheiterns etwas ausführlicher Beschreiben?
Im Bundestag laufen > 10.000 Benutzer und > 6000 Workstations mit Samba 3 und OpenLDAP. Ich habe hier > 500 User an 3 Standorten - ohne Probleme. Samba skaliert sehr gut auf mehrere 1000 Benutzer auf vergleichsweise einfacher Hardware.
> Dachte auch erst, dass viele Probleme durch das LDAP Backend zu
> lösen sind, aber die Berechtigungen musst du halt immer noch im
> Filesystem und der smb.conf setzen.
Wenn du das willst, verhällt sich eine Samba-Domäne wie ein Windows-Domäne. Der (Windows-)Admin bekommt von dem Backend gar nichts mit. Du kannst den USRMGR für die Benutzer nehmen und die Datei-Berechtigungen über den Explorer setzen.
> Und man macht den ganzen Aufwand um ne NT 4 - Domäne zu simulieren.
Du sparst immense Lizenzkosten und hast eine Blackbox weniger im Schrank. Welche größeren Gründe für eine Umstellung gibt es denn noch?
matze
-
< Könntest du die Gründe deines Scheiterns etwas ausführlicher Beschreiben?
Gründe waren verschiedene, v.a. die ansonsten starke Verbandelung mit Windows in unserer Fa. war ausschlaggebend.
< Im Bundestag laufen > 10.000 Benutzer und > 6000 Workstations mit Samba 3 und
< OpenLDAP. Ich habe hier > 500 User an 3 Standorten - ohne Probleme. Samba skaliert
< sehr gut auf mehrere 1000 Benutzer auf vergleichsweise einfacher Hardware.
Gründe für diese Umstellung wären interessant. Komischerweise findet man nicht sonderlich viel zu diesem Projekt im Internet.
< Wenn du das willst, verhällt sich eine Samba-Domäne wie ein Windows-Domäne. Der
< (Windows-)Admin bekommt von dem Backend gar nichts mit. Du kannst den USRMGR für
< die Benutzer nehmen und die Datei-Berechtigungen über den Explorer setzen.
Mein größtes Problem war glaub ich, dass wir von Novell Netware migrieren wollen und da ein Wechsel zum usrmgr ein immenser Rückschritt ist.
Dateiberechtigungen über den Explorer setzen habe ich nie hinbekommen. Klar hat funktioniert, aber Performance definiere ich anders.
Habe bisher einen Ansatz gesehen, wo das funktioniert und hier wurde erstmal Vollrechte für Alle für den ganzen Dateipfad gesetzt und dann in verschiedenen Unterordnern die Rechte wieder entzogen, da der umgekehrte Weg nicht funktionierte. Ich sehe hier eine große Fehleranfälligkeit, da man mit Vererbung viel kaputt machen kann.
< Du sparst immense Lizenzkosten und hast eine Blackbox weniger im Schrank. Welche
< größeren Gründe für eine Umstellung gibt es denn noch
Wenn ich alleine meine Arbeitszeit für die Tests rechne, dann bin ich noch allein als Linuxer, meine Kollegen müßten wir also auch noch schulen. Und die Lizenzkosten sind nicht meiner Meinung nach nicht riesig (leider -> ich würde lieber Linux machen), da ja verschiedene Server bereits Windows als OS haben mit entsprechenden DB und Diensten (sprich CALS etc. sind vorhanden) dann bleiben mir noch die Windowsserverlizenz und die ist billiger als ein 3 Jahres Updateabo bei Redhat. (zumindest für den öffentlichen Bereich)
Alle Projekte die ich bisher verfolgt habe, sind aus Prestige oder Politik umgestellt worden, wenn man dahinterblickt sieht's anders aus.
Bundestag mag anders aussehen, mit dem hab ich mich nicht befaßt.
Ich würde die Diskussion hier auch gerne abschliessen, bzw. dann auf Offtopic weiterführen.
Grüße
Stöps
-
< Im Bundestag laufen > 10.000 Benutzer und > 6000 Workstations mit Samba 3 und
< OpenLDAP. Ich habe hier > 500 User an 3 Standorten - ohne Probleme. Samba skaliert
< sehr gut auf mehrere 1000 Benutzer auf vergleichsweise einfacher Hardware.
> Gründe für diese Umstellung wären interessant. Komischerweise findet
> man nicht sonderlich viel zu diesem Projekt im Internet.
http://www.sambaxp.org/index.php?id=76
Der Talk von Günther Deschner "Samba3 in the Enterprise" auf der letzten SambaXP dreht sich unter anderem um den deutschen Bundestag. Der Vortrag ist als OggVorbis und PDF verfügbar.
matze