ubuntuusers.de

Ich habe gesucht, finde aber nichts, was so "richtig" passt:

Gibt es eine gute, knackige Beschreibung, wie ich einen Server aufsetzen kann für LDAP, DNS und DHCP?

(Mehr brauche ich eigentlich gar nicht, da der Rest alles schon auf Linux umgestellt ist...

Oder alternativ: Vom LDAP brauche ich nur die (zentrale) Benutzerauthentifzierung. Gibt es da Besseres?
(Allerdings möchte ich gern die wenigen Windows-Clients, die ich noch habe, damit ebenfalls bespaßen.)

Ich frage mal hinterher: Bin ich Windows-verblendet, wenn ich alle drei LDAP, DNS, DHCP in einem Atemzug nenne?
Mit anderen Worten: Sind die eigentlich unabhängig voneinander, oder gehören die immer zusammen?
So richtig klar war es mir nie, wieso der DNS ganz tief im AD stecken muss...

Von wie viel Kisten sprechen wir? Habt ihr schon aus anderen Gründen ein Azure AD, z.B. wegen Office 365?

Aktuell nur noch drei oder vier User, die auf maximal zehn bis 15 Clients arbeiten: normales Arbeiten wird auf Linux migriert, aber es gibt noch ein paar Windows-Clients (VisualStudio, zentraler Build-PC, Hilfe-Builder, noch die Lexware...), Daten liegen bereits auf QNAP-nassen (aktuell noch mit Windowsfreigaben, darf aber gern anders).
In der Hauptsache geht es mir darum, dass ich aktuell auf jedem Linux-Client lokal einen User mit meinem Windows-Kennwort einrichten muss.
Und wirklich nervig ist, dass Windows-Freigsben "fast nie" richtig funktionieren: Oft funktioniert der Zugriff nicht einmal, wenn ich als Account meinen Domänen-Admin nutze (ulkigerweise funktioniert es dann immer von Linux aus, wenn ich im Dateibrowser smb://... eingebe. Und diesen Schwachsinn will ich endlich loswerden...

Länger Rede kurzer Sinn: maximal 15 Clients (Lx oder Win) für Anmeldung, Verzeichnisfreigaben. (iRedMail-Integration wäre toll, muss aber nicht.)

Du musst dich mit den Protokollen und der Serversoftware befassen.

Für DNS gibt es BIND9, für LDAP openLDAP, für DHCPv4/v6 Kea.

Samba hat auch mittlerweile AD Support, aber ein Heterogenes Umfeld (Linux/Windows) gemischt ist immer weniger praktisch. Selbst in großen Firmen bist du mit nem Mac schon Teil des Problems, weil alles nicht so smooth funktioniert wie auf Windows, wohl weil der Stack (AD) halt Windows optimiert ist.

Mit Cloud Diensten (Sharepoint, Intune, ...) geht das deutlich besser, aber auch hier hinkt Linux im Client Bereich.

DJKUhpisse schrieb:

Für DNS gibt es BIND9, für LDAP openLDAP, für DHCPv4/v6 Kea.

Ja, ist klar, danke. (Wobei ich bei meinen Samba-Versuchen, anderer Thread, für DHCP den isc installiert hatte, der erschien mir überschaubar.)

Was mir nicht klar ist: Sind die drei mehr oder weniger unabhängig voneinander? (Diese hysterische Tiefenintegration von DNS in AD habe ich nie verstanden.)

Mit anderen Worten: Kann ich LDAP aufsetzen, wenn ich es "nur" brauche für zentrale Passwortverwaltung und Dateifreigaben? Und kann ich "unabhängig" davon DNS und DHCP aufsetzen (wobei mir klar ist, dass die irgendwie kooperieren müssen, um DHCP-Leases im DNS einzutragen)?

encbladexp schrieb:

alles nicht so smooth funktioniert wie auf Windows,

Na ja, wenn auf dem WinDC alles so "smooth" wäre, würde ich ihn laufen lassen, aber es zeigt sich leider immer wieder an vielen Ecken, wie buggy das MS-Zeugs ist. Beispiel: Nach dem Aufsetzen des SambaDC und manueller Übertragung der Zonen tauchten im Linux-DNS plötzlich 20 (!) "InProgress"-Zonen auf, in denen ein uralter DC (und nur der!) als Nameserver stand und der vor langer Zeit angeblich sauber aus der Domäne entfernt worden war, der auf dem WinDC aber gar nicht mehr sichtbar war...
Ganz zu schweigen davon, dass der WinDC eine GUI braucht, dass er (trotz Pseudo-Webinterface) nur von Windows aus zu administrieren ist, dass manchmal ohne Grund nach einem Neustart der DNS-Dienst nicht startet, dass seine Platte immer voller wird... dass ich einfach keine Lust mehr auf diesen dilettantisch zusammengeflickten Kram habe. (Habe 30 Jahre gebraucht, um mich an Linux ranzutrauen, eigentlich erst nach dem Win10-Updatezwang, und seit ich weiß, dass dort einfach fast alles funktioniert, will ich mich nicht mehr mit dem MS-Support rumärgern. Originalzitat: "Core mode? Please click... what do you mean by core mode? Wait a moment... ... ... hello, I'm back, yes, core mode I know... I will write you an email...")

Emma2 schrieb:

DJKUhpisse schrieb:

Für DNS gibt es BIND9, für LDAP openLDAP, für DHCPv4/v6 Kea.

Ja, ist klar, danke. (Wobei ich bei meinen Samba-Versuchen, anderer Thread, für DHCP den isc installiert hatte, der erschien mir überschaubar.)

Was mir nicht klar ist: Sind die drei mehr oder weniger unabhängig voneinander? (Diese hysterische Tiefenintegration von DNS in AD habe ich nie verstanden.)

Mit anderen Worten: Kann ich LDAP aufsetzen, wenn ich es "nur" brauche für zentrale Passwortverwaltung und Dateifreigaben? Und kann ich "unabhängig" davon DNS und DHCP aufsetzen (wobei mir klar ist, dass die irgendwie kooperieren müssen, um DHCP-Leases im DNS einzutragen)?

Das sind vollkommen getrennte Programme für getrennte Protokolle. Alles kein Problem.

DJKUhpisse schrieb:

Das sind vollkommen getrennte Programme für getrennte Protokolle. Alles kein Problem.

Prima, das beruhigt mich. Danke. Dann ist auch klar, warum ich keine Gesamtbeschreibung finde... weil es die nicht braucht. Ich setze also eines nach dem anderen auf und sehe dann zu, dass DHCP ans DNS ran darf - fertig.

... noch ein Nachbrenner zum Thema DNS/DHCP:

Habe gerade dnsmasq gefunden, und der scheint mir für mein kleines Netz ausreichend. Könnt Ihr das vielleicht bestätigen?

Ich brauche: DHCP, gern auch mit Reservierungen, Eintragen der Leases ins DNS, DNS lokal, DNS-Weiterleitung an eine bestimmte IP für ein anderes Subnetz (VPN-Tunnel), Weiterleitung für externe Adressen ist sowieso klar. Kann dnsmasq das alles?

Oder nehme ich doch besser bind9 + isc?

Ich lese natürlich weiter, nehme aber an, Ihr könnt das "aus dem Handgelenk" beantworten...

Was verstehst du unter ner Weiterleitung?

Nach meinem Kenntnisstand kann dnsmasq als autoritativer Server nicht alle Record-Typen.

Emma2 schrieb:

Na ja, wenn auf dem WinDC alles so "smooth" wäre, würde ich ihn laufen lassen, aber es zeigt sich leider immer wieder an vielen Ecken, wie buggy das MS-Zeugs ist.

Das Ding läuft in echt großen Umgebungen mit mehreren Tausend Server und Clients, wenn es nicht läuft ist es meist schlicht falsch konfiguriert. Bitte auch nicht AD (Microsoft) und Samba vermischen, nur weil bei Samba was nicht geht oder komisch ist heißt es noch nicht das ein ordentlicher Windows Server gleiche Probleme hätte.

Ganz zu schweigen davon, dass der WinDC eine GUI braucht...

AD kann man, seit Jahren, per PowerShell bedienen und das sogar Remote. Es gibt auch eine Server Version die (fast) ohne GUI auskommt.

Ich denke dein Windows DC ging kaputt weil er falsch bedient wurde. Sorry für die schlechte Nachricht, aber ich mach den Quatsch schon recht lange.

Zu den Diensten, effektiv ist AD eine (kreative) Verzahnung von DNS, LDAP und Kerberos, DHCP ist mehr so optional. Warum jetzt was? Nun:

• LDAP: Verzeichnisdienst der weiß wo deine User/Gruppen liegen und überhaupt. Alles andere von AD baut drauf auf.

• Kerberos: Authentifizierung, greift auf LDAP als Datenquelle zu.

• DNS: Service Discovery, es gab früher halt noch kein etcd, Consul oder andere Service Mesh Ansätze.

Wenn du im DNS einen demoted PDC findest, kannst du die Einträge löschen.

encbladexp schrieb:

Es gibt auch eine Server Version die (fast) ohne GUI auskommt.

Ja, ich weiß, den "Core Server"... den aber, wie selbst erlebt, auch zumindest der Supportmann, mit dem ich sprach, nicht kannte (s.o.).
Aber es bleibt die konzeptionelle Schwäche, dass bei MS einfach Kernel und GUI nicht ordentlich getrennt sind. Warum braucht der "Core Server" eine GUI (und die hat er ja, siehe Anmeldung, siehe Taskmanager...)? Warum braucht der Webserver eine GUI, wenn er doch nur servieren soll? Warum brauchen der SQL-Server und der Exchange-Server eine GUI? Das Hauptproblem bei Windows ist, dass MS es niemals geschafft hat, das Ding irgendwann echt neu aufzusetzen, sondern immer nur am DOS-Nachfolger weitergebastelt hat. Oder wie sind sonst uralte Relikte wie Dateinamen etc. zu erklären? Wieso gelingt häufig der Zugriff auf eine Freigabe nicht, selbst wenn sie für "Jeder" Vollzugriff bieten soll und ich mich mit dem Konto des Domänenadmins anzumelden versuche? Das liegt wohl kaum am falsch konfigurierten DC... Wie oft kann man eine Datei nicht löschen, weil "ein Prozess noch darauf zugreift"? Wie oft erhält man (wörtlich!) die Meldung "Für diesen Prozess brauchen Sie Berechtigungen." (obwohl man Domänen-Admin mit allen Rechten ist)?
Ich bleibe dabei: Netzwerkcode, Dateisystem und Berechtigungen sind an seht vielen Stellen buggy.

encbladexp schrieb:

Ich denke dein Windows DC ging kaputt weil er falsch bedient wurde. Sorry für die schlechte Nachricht, aber ich mach den Quatsch schon recht lange.

Mag sein, ist wahrscheinlich sogar so... aber deswegen will ich den "Quatsch" (danke für das richtige Wort 😉 ) ja auch loswerden. Ich mache Linux erst seit drei Jahren, habe das aber - gerade im Vergleich zu WIndows - schon echt lieben gelernt.

encbladexp schrieb:

Wenn du im DNS einen demoted PDC findest, kannst du die Einträge löschen.

Ja, muss man wohl, weil das (als erfolgreich gemeldete!) Demoten ja so prima aufgeräumt hat und in dcdiag keine Fehler mehr gemeldet werden...