freebirth_one
Anmeldungsdatum: 19. Juli 2007
Beiträge: 5051
Wohnort: Mönchengladbach
|
Okay, die Überschrift hört sich blöd an; allerdings hat man dadurch alles wichtige auf einen Blick. Wie gesagt: mir wurde aufgetragen, die Rechner bei uns im AStA so einzurichten, dass diese sich an einer Domäne anmelden, die jeweiligen Profilverzeichnisse vom Server mappen, und man dann egal an welchem Rechner das gleiche Umfeld hat. Meine Überlegung ist: wie mache ich das? Im Reinen Windows-Umfeld ist Samba-PDC wohl das richtige Mittel; im gemischten Umfeld (ein Ubuntu-Rechner) habe ich wiederum keine Ahnung, wie das zu gehen hat. Wie melde ich Ubuntu an einem Samba-PDC an und bekomme mein Home-Verzeichnis gemappt. Und zwar das ganze normal aus dem GDM, nicht über konsole. Auch überlegt habe ich mir, das ganze per LDAP zu machen, da das ja BS-Unabhängig ist, war bisher aber von dem administrativen Aufwand abgeschreckt. Ich will weder deren gesamten Lebenslauf abspeichern noch das ganzhe mit IMAP oder einer Groupware verbinden (die geht eh nicht intern wegen restriktiver Porteinstellungen seitens des Rechenzentrums), auch will ich da keine Adressen drin speichern oder so. Ich will einfach nur eine Authentifizierung am System. Aus dem Grunde scheidet LDAP eigentlivh für mich aus. Ausserdem sollte es da eine einfache Web-GUI zu geben, damit, wenn ich mal nicht da bin, jemand anderes da nach kurzer Anleitung neue Nutzer hinzufügen und alte löschen kann, und zwar gleichzeitig fürs Ubuntu und für Samba. Zusammengefasst:
gemischtes Umfeld (Ubuntu und Windiws XP) überschaubare Anzahl an Nutzern reine Authentifizierung und Profile-Mapping einfache Web-GUI möglichst kein LDAP.
Jemand eine Idee, wie das zu realisieren wäre?
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
freebirth one schrieb: Aus dem Grunde scheidet LDAP eigentlivh für mich aus.
Warum? Was hat LDAP mit IMAP oder Lebensläufen zu tun? Man kann diese Daten darin speichern, genau wie jegliche andere beliebige Informationen. LDAP ist ein universelles Werkzeug, das auch zur reinen Authentifizierung genutzt werden kann. Und da du unabhängig vom OS sein willst/musst, kommst du an LDAP nicht vorbei. Die Sache mit der Web GUI kannst du gleich wieder (mehr oder weniger) vergessen, weil diejenigen, die keine Ahnung haben, mehr kaputtmachen als einrichten/beheben können, unabhängig, welche Oberfläche eingesetzt wird, aber eine Konsole bietet eine gewisse Barriere. Richte dir ein paar Skripte ein für diverse Aufgaben, die anfallen können. Damit können dann die anderen Admins/Leute arbeiten. Anfangen würde ich mit Samba und LDAP (auf Ubuntu Server 8.04), und zwar nach dieser Anleitung. Den Webmin da drin kann man weglassen, muss man aber nicht. Webmin ist eine Web GUI, aber ich würde mich sehr davor hüten, ihn unbedarften Leuten in die Hand zu geben, nicht zuletzt, weil Webmin nicht mehr in den Paketquellen enthalten ist (hat in der Vergangenheit wohl zu viel kaputtgemacht an laufenden Systemen) und weil man außerdem sudo-Rechte für dessen Nutzung braucht. Ein Nutzer hat aber kein Admin zu sein. Webmin kann man allerdings nutzen, um bestimmte Sachen nachzuschauen, aber man sollte sich bei anstehenden Änderungen immer bewusst sein, dass es auch tierisch danebengehen kann. Wenn du dann Samba mit LDAP am Laufen hast, sind schonmal die Windows-Kisten komplett abgearbeitet. Die Auth. für die Linux-Kisten per LDAP kann man nach dem Wiki einrichten. Das Mapping der Homes ist etwas komplizierter, wenn man nicht immer das komplette Home des Servers auf dem Client mounten will. Wie das konkret funktioniert, weiß ich nicht (bisher noch nicht selbst gemacht). Und noch was: Dokumentiere dein Vorgehen! Damit können andere nachvollziehen, was wie und warum so oder so eingerichtet wurde. Ein Testsystem kann auch nicht schaden, damit dort Änderungen getestet werden können, bevor sie im Worst Case den Produktivbetrieb lahmlegen. So, ich denke, das genügt für den Anfang. In jedem Fall: viel Erfolg! MfG Dalai
|
freebirth_one
(Themenstarter)
Anmeldungsdatum: 19. Juli 2007
Beiträge: 5051
Wohnort: Mönchengladbach
|
*kopfkratz* könnte man sich so eine GUI nicht auich selber schreiben? Die muss ja eigentlich nur ein paar sachen können:
Ob ich das ganze dann Textbasiert mache oder mit Bool'schen Kästchen, dass ist ja erstmal nebensache. Denn das die mit Putty Arbeiten wollen, das bezweifle ich. Wäre sowas mit Perl zu lösen? Da arbeite ich mich nämlcih gerade ein (PHP graust es mir vor). Was die Rechner angeht: ich glaube, da Pflanze ich einfach überall Windows drauf; das macht das Leben einfacher.
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
freebirth one schrieb: *kopfkratz* könnte man sich so eine GUI nicht auich selber schreiben?
Na sicher. Aber bedenke, dass die eben nicht nur die paar Sachen können muss. Du brauchst sinnvollerweise eine Konfigdatei, in der du (unter anderem) den Namen des LDAP-Admins angibst. Zum Anderen sollte man nicht direkt auf den LDAP zugreifen, wenn Samba mit im Spiel ist (nicht umsonst gibt's die smbldap-tools). Wie du den Zugriff auf den LDAP realisieren willst, weiß ich auch nicht. Du siehst: da kommt noch ein ganzer Rattenschwanz an Dingen hinterher, an die man zuerst gar nicht denkt. freebirth one schrieb: Denn das die mit Putty Arbeiten wollen, das bezweifle ich.
Was ist daran schwer? Das Einloggen kann's ja nicht sein (kann man durch Keys passwortlos gestalten). Du gibst denen deine Skripte in die Hand (man kann auch Aliase dafür anlegen) und fertig ist. Ein Waschzettel kann bei der Benutzung der Skripte helfen (welche Parameter, welches Skript für welche Aufgabe). freebirth one schrieb: Was die Rechner angeht: ich glaube, da Pflanze ich einfach überall Windows drauf; das macht das Leben einfacher.
Im ersten Moment ist das sicher einfacher. Aber spätestens, wenn eine Umrüstung auf Vista ansteht, überlegst du freiwillig nochmal, denn das lässt sich nicht so einfach in eine Samba 3.0.x Domäne integrieren. In jedem Fall sollte klar sein, dass es hierbei nicht um ein schnell zu erledigendes Projekt handelt, sondern dass das ein paar Monate brauchen wird. MfG Dalai
|
freebirth_one
(Themenstarter)
Anmeldungsdatum: 19. Juli 2007
Beiträge: 5051
Wohnort: Mönchengladbach
|
Thema Linux und XP angeht: die _wollen_ eigentlich gar kein Linux; das sind eigentlich nur ich und ein weiterer; der Rest ist zufrieden, wenn die mit Linux nichts am Hut haben. Ich hatte halt wenigstens ein anderes System im Verbund haben wollen. Thema Umzug auf Vista: warum? Sicherheitspatches gibt es bis 2014, das reicht erst mal Dicke. Und bis dahin ändert sich einiges; vielleicht findet sich dann auch bessere Lösung für da Projekt. Thema Arbeiten mit puTTY: Das mit dem Public Key habe ich gar nicht bedacht; das ist bestimmt eine Option. Was dann allerdings die Arbeit auf der Konsole angeht...ma schaun. Ich bezweifle zwar, dass die sich dafür erweärmen lässt (eine GUI war eigentlich vorrausgesetzt); aber wenn ich denen sage, dass das nicht so oihne weiteres machbar ist...könnte ja notfalls noch nachgelifert werden. Thema Zeitraum: jetzt mal von der GUI abgesehen (die war eigentlich nur eine fixe Idee): was würde dabei so viel Zeit in Anspruch nehmen? Ein Server, 12 Leute, einer ders über ssh steuert. Reicht da nicht eiogentlich schon Samba alleine? Ich meine da irgendwo mal ein Tut gelesen zu haben...
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
freebirth one schrieb: Thema Linux und XP angeht:
die _wollen_ eigentlich gar kein Linux; das sind eigentlich nur ich und ein weiterer; der Rest ist zufrieden, wenn die mit Linux nichts am Hut haben. Ich hatte halt wenigstens ein anderes System im Verbund haben wollen.
Ach, die wollen also jedes Mal wieder Geld ausgeben für neue Versionen (es ist ja nicht nur Windows)? Interessant... Aber ich weiß schon, wie das läuft in öffentlichen Einrichtungen. Am Jahresende muss dann das Geld noch schnell ausgegeben werden, weil man sonst im darauffolgenden Jahr weniger Geld vom Staat bekommt... Das is ne Scheißpolitik, auf gut deutsch gesagt. freebirth one schrieb: Thema Umzug auf Vista:
warum? Sicherheitspatches gibt es bis 2014, das reicht erst mal Dicke. Und bis dahin ändert sich einiges; vielleicht findet sich dann auch bessere Lösung für da Projekt.
Schön wär's. MS hat angekündigt, dass der Support mit Patches eher ausläuft als der für XP. Das sagt doch eigtl. schon alles. Aber darum geht's mir gar nicht. Mir geht's um die Verständigung mit Samba und die Integration in diese Domäne. Es gibt ein paar Themen hier im Forum von Leuten, die es gewagt haben, Vista in eine solche Domäne zu integrieren und sind erst nach sehr langem Suchen auf eine Lösung gekommen. freebirth one schrieb: Thema Zeitraum:
jetzt mal von der GUI abgesehen (die war eigentlich nur eine fixe Idee): was würde dabei so viel Zeit in Anspruch nehmen? Ein Server, 12 Leute, einer ders über ssh steuert.
Du hast sowas noch nie gemacht, denn du hast das Thema ja nicht ohne Grund erstellt. Daraus folgt für mich eine Schätzung von mind. einem Monat, bis alles so läuft, wie es soll. Denk an die notwendigen Skripte (oder eben doch ne GUI), die Dokumentation, die Tests usw. Da kommt schon einiges zusammen. freebirth one schrieb: Reicht da nicht eiogentlich schon Samba alleine? Ich meine da irgendwo mal ein Tut gelesen zu haben...
Im Prinzip schon. Aber falls später doch mal auf Linux umgerüstet wird bzw. zusätzliche Linux-Clients integriert werden sollen, ist ein vorhandener LDAP erheblich einfacher. Außerdem fällt mit LDAP ein Grund weg, den Linux-Server gegen einen Windows-Server zu tauschen, weil LDAP auf Windows gar nicht vernünftig geht. OK, man könnte ein Active Directory aufbauen, aber dann dürfen alle Clients neu in die Domäne aufgenommen werden - viel Spaß. Ne ne, bezieh gleich den LDAP mit ein, dann ist der Zwang, in Richtung Linux zu gehen, ne Ecke größer. Ich seh das leider immer wieder: Windows funktioniert doch so gut (haha). Jaja, bloß nichts Neues/Unbekanntes, in das man sich einarbeiten muss. Zum Glück ist das in unserer Firma anders: da entscheiden die Admins (natürlich bei wichtigen Sachen nach Absprache mit dem Chef), was passiert. MfG Dalai
|
freebirth_one
(Themenstarter)
Anmeldungsdatum: 19. Juli 2007
Beiträge: 5051
Wohnort: Mönchengladbach
|
Dalai schrieb: freebirth one schrieb: Thema Linux und XP angeht:
die _wollen_ eigentlich gar kein Linux; das sind eigentlich nur ich und ein weiterer; der Rest ist zufrieden, wenn die mit Linux nichts am Hut haben. Ich hatte halt wenigstens ein anderes System im Verbund haben wollen.
Ach, die wollen also jedes Mal wieder Geld ausgeben für neue Versionen (es ist ja nicht nur Windows)?
Ah, ich glaube, ich habe da ein paar Informationen zurückgehalten. Aber auch so: wenn XP bis 2014 unterstützt wird, warum dann davor wechseln? Selbst wenn erhalten wir die Lizenen vom Hochschulrechenzentrum, die genug davon haben dürften (Außerdem sind das ganze 4(!) Rechner, die im RefRaum stehen). Was andres wird nicht erneuert bzw ist eh kostenfrei. [user:Dalai] schrieb: freebirth one schrieb: Thema Umzug auf Vista:
warum? Sicherheitspatches gibt es bis 2014, das reicht erst mal Dicke. Und bis dahin ändert sich einiges; vielleicht findet sich dann auch bessere Lösung für da Projekt.
Schön wär's. MS hat angekündigt, dass der Support mit Patches eher ausläuft als der für XP.
Ich glaube, hier haben wir aneinander vorbei geredet. Was ich oben sagen wollte war: warum von XP auf Vista wechseln, wenn es für ersteres noch fünf jahre lang Sicherheitspatches gibt? [user:Dalai] schrieb: Aber darum geht's mir gar nicht. Mir geht's um die Verständigung mit Samba und die Integration in diese Domäne. Es gibt ein paar Themen hier im Forum von Leuten, die es gewagt haben, Vista in eine solche Domäne zu integrieren und sind erst nach sehr langem Suchen auf eine Lösung gekommen.
Weswegen ich definitv dort _kein_ Vista installieren lassen werde [user:Dalai] schrieb: freebirth one schrieb: Thema Zeitraum:
jetzt mal von der GUI abgesehen (die war eigentlich nur eine fixe Idee): was würde dabei so viel Zeit in Anspruch nehmen? Ein Server, 12 Leute, einer ders über ssh steuert.
Du hast sowas noch nie gemacht, denn du hast das Thema ja nicht ohne Grund erstellt. Daraus folgt für mich eine Schätzung von mind. einem Monat, bis alles so läuft, wie es soll. Denk an die notwendigen Skripte (oder eben doch ne GUI), die Dokumentation, die Tests usw. Da kommt schon einiges zusammen.
Hmpf, okay. Wird wohl doch was mehr. Eins stimmt: so etwas habe ich wirklich noch nicht gemacht.
freebirth one schrieb: Reicht da nicht eiogentlich schon Samba alleine? Ich meine da irgendwo mal ein Tut gelesen zu haben...
Im Prinzip schon. Aber falls später doch mal auf Linux umgerüstet wird bzw. zusätzliche Linux-Clients integriert werden sollen, ist ein vorhandener LDAP erheblich einfacher. Außerdem fällt mit LDAP ein Grund weg, den Linux-Server gegen einen Windows-Server zu tauschen, weil LDAP auf Windows gar nicht vernünftig geht. OK, man könnte ein Active Directory aufbauen, aber dann dürfen alle Clients neu in die Domäne aufgenommen werden - viel Spaß. Ne ne, bezieh gleich den LDAP mit ein, dann ist der Zwang, in Richtung Linux zu gehen, ne Ecke größer. Ich seh das leider immer wieder: Windows funktioniert doch so gut (haha). Jaja, bloß nichts Neues/Unbekanntes, in das man sich einarbeiten muss. Zum Glück ist das in unserer Firma anders: da entscheiden die Admins (natürlich bei wichtigen Sachen nach Absprache mit dem Chef), was passiert.
mir wurde nur gesagt: jung, machs einfach, lass es bei Windows, und es soll sich jeder an jedem Rechner so anmelden können, als wäre er immer am gleichen angemeldet. Ganz toll.
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
freebirth one schrieb: mir wurde nur gesagt: jung, machs einfach, lass es bei Windows, und es soll sich jeder an jedem Rechner so anmelden können, als wäre er immer am gleichen angemeldet. Ganz toll.
Sowas hab ich schon geahnt... OK, du hast im Prinzip 3 Möglichkeiten:
Windows Active Directory. Vorteil: relativ einfach einzurichten, GUI zum Verwalten. Nachteile: Linux einzubinden ist ne dicke Ecke Arbeit und von Windows loszukommen ist erheblich schwerer als bei den anderen Möglichkeiten. Samba PDC ohne LDAP. Vorteil: kein LDAP notwendig. Nachteile: Linux in diese Domäne einzubinden ist genauso schwer wie bei 1 und man hat keine GUI (von Webmin und dessen Problemen mal abgesehen). Samba PDC mit LDAP. Vorteil: Linux-Clients einzubinden ist recht einfach. Nachteile: keine GUI, recht hoher Aufwand, der sich am Ende aber durchaus lohnen kann. Verschlüsselung des LDAP kann aber aufwendig werden (unserer läuft bisher unverschlüsselt).
Entscheide selbst, je nachdem ob du dafür entlohnt wirst und welchen Aufwand du treiben und mit welcher Nachhaltigkeit du vorgehen willst. Ich würde Samba mit LDAP nehmen, weil man damit die größtmögliche Flexibilität hat und einem ein sehr breites Spektrum an Möglichkeiten zur Verfügung steht. Zum Anderen kann man den anderen Leuten dann zeigen, dass es eben nicht immer Windows sein muss. Mir ist klar, dass die Windows Lizenzen einfach "da sind", ist in meiner FH auch nicht anders. Aber letztlich muss man ja nicht jeden Kram von MS mitmachen, oder? Die handeln nämlich einfach nur wie ein Unternehmen und wollen Geld verdienen. MfG Dalai
|
freebirth_one
(Themenstarter)
Anmeldungsdatum: 19. Juli 2007
Beiträge: 5051
Wohnort: Mönchengladbach
|
Ich habs jetzt so gemacht: Samba PDC ohne LDAP, GUI Konsolenbasiert mit Perl. Geht sogar recht gut. Zumindest auf meinem Rechner; in the wild konnte ich das noch nicht testen. Was mir hier sehr stark zu gute kommt ist das extrem restriktive Portmanagement: eingehende Ports sind so gut wie alle geschlossen. Aus dem Grunde habe ich mit dem Thema Sicherheit weniger Probleme. Was das anlegen von neuen Nutzern mit der Software sowie die Benutzung dieser über ssh angeht, so kann ich definitiv einen ERfolg vermelden. Nur das einbinden des vorhandenen NAS macht noch Probleme.
|
Dalai
Anmeldungsdatum: 16. Juni 2008
Beiträge: 2316
Wohnort: Meiningen
|
freebirth one schrieb: Nur das einbinden des vorhandenen NAS macht noch Probleme.
Ja, dieses Zeug ist leider viel zu sehr auf Windows ausgerichtet... Die älteren Versionen von Samba verstehen sich leider zu wenig mit den neuen. Die Parameter nounix und nodfs können hier u.U. helfen. MfG Dalai
|
freebirth_one
(Themenstarter)
Anmeldungsdatum: 19. Juli 2007
Beiträge: 5051
Wohnort: Mönchengladbach
|
Okay, danke, werde ich mal ausprobieren
|