|
920 |
</para> |
920 |
</para> |
921 |
|
921 |
|
922 |
<para> |
922 |
<para> |
923 |
Per Voreinstellung überträgt die so eingerichtete Active Directory-Verbindung keine Passwortdaten aus AD in den UCS-Verzeichnisdienst. Einige Apps aus dem App Center benötigen verschlüsselte Passwortdaten. Sofern eine App diese benötigt, wird ein entsprechender Hinweis im App Center angezeigt. Zu diesem Zweck kann der Passwortdienst auf dem AD-Server installiert werden (siehe <xref linkend="ad-connector:password-dienst"/>). |
923 |
Per Voreinstellung überträgt die so eingerichtete Active Directory-Verbindung keine Passwortdaten aus AD in den UCS-Verzeichnisdienst. Einige Apps aus dem App Center benötigen verschlüsselte Passwortdaten. Sofern eine App diese benötigt, wird ein entsprechender Hinweis im App Center angezeigt. |
924 |
</para> |
924 |
</para> |
925 |
|
925 |
|
926 |
<para> |
926 |
<para> |
927 |
Im <emphasis>AD member</emphasis>-Modus liest der UCS AD-Connector Objektdaten per Voreinstellung mit den Berechtigungen des Maschinenkontos des &ucsMaster;s aus dem AD. Für das Auslesen von verschlüsselten Passwortdaten sind dessen Berechtigungen nicht ausreichend. |
927 |
Im <emphasis>AD member</emphasis>-Modus liest der UCS AD-Connector Objektdaten per Voreinstellung mit den Berechtigungen des Maschinenkontos des &ucsMaster;s aus dem AD. Für das Auslesen von verschlüsselten Passwortdaten sind dessen Berechtigungen nicht ausreichend. |
928 |
Daher muss für die Einrichtung des Passwortdienstes zusätzlich manuell die LDAP-DN eines privilegierten Replikationsbenutzers in die &ucsUCRV; <envar>connector/ad/ldap/binddn</envar> eingetragen werden. |
928 |
Daher muss in diesem Fall zusätzlich manuell die LDAP-DN eines privilegierten Replikationsbenutzers in die &ucsUCRV; <envar>connector/ad/ldap/binddn</envar> eingetragen werden. |
929 |
Dieser muss im AD Mitglied der Gruppe <systemitem class="groupname">Domänen-Admins</systemitem> sein. |
929 |
Dieser muss im AD Mitglied der Gruppe <systemitem class="groupname">Domänen-Admins</systemitem> sein. |
930 |
Das entsprechende Kennwort muss auf dem &ucsMaster; in eine Datei gespeichert werden und ihr Dateiname muss in die &ucsUCRV; <envar>connector/ad/ldap/bindpw</envar> eingetragen werden. |
930 |
Das entsprechende Kennwort muss auf dem &ucsMaster; in eine Datei gespeichert werden und ihr Dateiname muss in die &ucsUCRV; <envar>connector/ad/ldap/bindpw</envar> eingetragen werden. |
931 |
Falls zu einem späteren Zeitpunkt das Zugriffspasswort geändert wurde, muss das neue Passwort in diese Datei eingetragen werden. |
931 |
Falls zu einem späteren Zeitpunkt das Zugriffspasswort geändert wurde, muss das neue Passwort in diese Datei eingetragen werden. |
|
952 |
<title>Einrichtung des UCS AD-Connectors</title> |
952 |
<title>Einrichtung des UCS AD-Connectors</title> |
953 |
|
953 |
|
954 |
<para> |
954 |
<para> |
955 |
Als Alternative zur Mitgliedschaft in einer AD-Domäne, die im vorherigen Abschnitt beschrieben ist, kann der UCS Active Directory-Connector dazu verwendet werden, Benutzer- und Gruppenobjekte zwischen einer UCS-Domäne und einer AD-Domäne zu synchronisieren. Diese Betriebsart erlaubt über die unidirektionale Synchronisation hinaus auch die bidirektionale Synchronisation. In dieser Betriebsart bestehen beide Domänen parallel und ihre Authentifikationssysteme funktionieren unabhängig. Voraussetzung dafür ist die Synchronisation der verschlüsselten Passwortdaten. Dafür ist die Installation eines speziellen Passwortdienstes auf dem AD-Domänencontroller notwendig. |
955 |
Als Alternative zur Mitgliedschaft in einer AD-Domäne, die im vorherigen Abschnitt beschrieben ist, kann der UCS Active Directory-Connector dazu verwendet werden, Benutzer- und Gruppenobjekte zwischen einer UCS-Domäne und einer AD-Domäne zu synchronisieren. Diese Betriebsart erlaubt über die unidirektionale Synchronisation hinaus auch die bidirektionale Synchronisation. In dieser Betriebsart bestehen beide Domänen parallel und ihre Authentifikationssysteme funktionieren unabhängig. In diesem Betriebsmodus werden per Voreinstellung auch verschlüsselten Passwortdaten synchronisiert. |
956 |
</para> |
956 |
</para> |
957 |
|
957 |
|
958 |
<para> |
958 |
<para> |
959 |
In der Standardeinstellung werden Container, Organisationseinheiten, Benutzer und Gruppen |
959 |
In der Standardeinstellung werden Container, Organisationseinheiten, Benutzer und Gruppen |
960 |
synchronisiert. Die Benutzer nehmen eine Sonderstellung ein, da das Passwort in Active |
960 |
synchronisiert. |
961 |
Directory nicht über das LDAP-Protokoll abgefragt werden kann. Hierfür wird ein zusätzlicher |
|
|
962 |
Dienst auf dem Windows-Server installiert, der diese Passwortsynchronisation ermöglicht (siehe |
963 |
<xref linkend="ad-connector:password-dienst"/>). |
964 |
</para> |
961 |
</para> |
965 |
|
962 |
|
966 |
<para> |
963 |
<para> |
|
1116 |
</para> |
1113 |
</para> |
1117 |
|
1114 |
|
1118 |
<para> |
1115 |
<para> |
1119 |
Im letzten Dialog werden alle zur <guimenu>Installation des Passwortdienstes</guimenu> notwendigen Dateien zum Download auf den Windows-Server angeboten. Weitere Details dazu sind in <xref linkend="ad-connector:password-dienst"/> beschrieben. |
|
|
1120 |
</para> |
1121 |
|
1122 |
<para> |
1123 |
Nach einem Klick auf <mousebutton>Weiter</mousebutton> wird die Konfiguration übernommen und der UCS AD-Connector wird gestartet. |
1116 |
Nach einem Klick auf <mousebutton>Weiter</mousebutton> wird die Konfiguration übernommen und der UCS AD-Connector wird gestartet. |
1124 |
Der abschließende Dialog muss dann durch Klick auf <mousebutton>Fertigstellen</mousebutton> geschlossen werden. |
1117 |
Der abschließende Dialog muss dann durch Klick auf <mousebutton>Fertigstellen</mousebutton> geschlossen werden. |
1125 |
</para> |
1118 |
</para> |
|
1156 |
Die verschlüsselte Verbindung zwischen UCS-System und Active Directory |
1149 |
Die verschlüsselte Verbindung zwischen UCS-System und Active Directory |
1157 |
kann auch deaktiviert werden, indem die |
1150 |
kann auch deaktiviert werden, indem die |
1158 |
&ucsUCRV; <envar>connector/ad/ldap/ssl</envar> auf <literal>no</literal> gesetzt wird. Diese |
1151 |
&ucsUCRV; <envar>connector/ad/ldap/ssl</envar> auf <literal>no</literal> gesetzt wird. Diese |
1159 |
Einstellung betrifft nicht die Kommunikation mit dem |
1152 |
Einstellung betrifft nicht die Synchronisation der verschlüsselten Passwortdaten. |
1160 |
Passwort-Dienst (siehe <xref linkend="ad-connector:password-dienst"/>); |
|
|
1161 |
diese ist immer verschlüsselt. |
1162 |
</para> |
1153 |
</para> |
1163 |
|
1154 |
|
1164 |
<section id="windows:Export_unter_Windows_2003"> |
1155 |
<section id="windows:Export_unter_Windows_2003"> |
|
1291 |
</section> |
1282 |
</section> |
1292 |
</section> |
1283 |
</section> |
1293 |
|
1284 |
|
1294 |
<section id="ad-connector:password-dienst"><title>Einrichtung des Passwort-Dienstes auf dem AD-System</title> |
|
|
1295 |
<para> |
1296 |
Active Directory verbietet die Abfrage von Passwörtern über das |
1297 |
LDAP-Protokoll, was die Installation eines Paketes auf dem |
1298 |
Windows-Server erfordert. |
1299 |
</para> |
1300 |
<para> |
1301 |
Die Installations-Pakete werden ebenfalls über den |
1302 |
UMC-Einrichtungs-Assistenten bereitgestellt: |
1303 |
</para> |
1304 |
|
1305 |
<itemizedlist> |
1306 |
<listitem><simpara><filename>ucs-ad-connector.msi (for 32bit Windows)</filename></simpara></listitem> |
1307 |
<listitem><simpara><filename>ucs-ad-connector-64bit.msi (for 64bit Windows)</filename></simpara></listitem> |
1308 |
<listitem><simpara><filename>Microsoft Visual C++ 2010 Redistributable Package (x86)</filename></simpara></listitem> |
1309 |
<listitem><simpara><filename>private.key</filename></simpara></listitem> |
1310 |
<listitem><simpara><filename>cert.pem</filename></simpara></listitem> |
1311 |
</itemizedlist> |
1312 |
<para> |
1313 |
Auf 64 Bit-Varianten von Windows muss vor der Installation des AD |
1314 |
Connectors das <package>Microsoft Visual C++ 2010 |
1315 |
Redistributable Package (x86)</package> installiert werden. |
1316 |
</para> |
1317 |
<para> |
1318 |
Die <filename class="extension">MSI</filename>-Pakete sind die Installations-Dateien für den |
1319 |
Passwortdienst und können durch einen Doppelklick gestartet werden. |
1320 |
</para> |
1321 |
<para> |
1322 |
Das Paket wird automatisch in das Verzeichnis <filename class="directory">C:\Windows\UCS-AD-Connector\</filename> installiert. Zusätzlich wird der |
1323 |
Passwort-Dienst als Systemdienst in die Windows-Umgebung integriert, |
1324 |
wodurch der Dienst automatisch oder manuell gestartet werden kann. |
1325 |
Nach der Installation ist der Passwort-Dienst für den automatischen |
1326 |
Start konfiguriert. |
1327 |
</para> |
1328 |
<para> |
1329 |
Die Dateien <filename>private.key</filename> und <filename>cert.pem</filename> beinhalten unter UCS erzeugte |
1330 |
SSL-Zertifikate für die gesicherte Kommunikation des Passwort-Dienstes. Sie müssen ebenfalls |
1331 |
in das Installationsverzeichnis des Passwort-Dienstes kopiert werden. |
1332 |
Anschließend muss der Passwort-Dienst neu gestartet werden. |
1333 |
</para> |
1334 |
<para> |
1335 |
In einer Standard-Installation unter Windows 2008 blockiert die |
1336 |
Windows-Firewall die Zugriffe auf den UCS AD-Connector. Diese muss entweder |
1337 |
in der <guimenu>Systemsteuerung</guimenu> deaktiviert werden oder Port |
1338 |
6670/TCP freigegeben werden. |
1339 |
</para> |
1340 |
</section> |
1341 |
|
1342 |
<section id="ad-connector:neustart"><title>Start/Stopp des Active Directory Connectors</title> |
1285 |
<section id="ad-connector:neustart"><title>Start/Stopp des Active Directory Connectors</title> |
1343 |
<para> |
1286 |
<para> |
1344 |
Abschließend kann der Connector über <mousebutton>Active Directory-Verbindungsdienst starten</mousebutton> |
1287 |
Abschließend kann der Connector über <mousebutton>Active Directory-Verbindungsdienst starten</mousebutton> |
|
1421 |
/var/log/univention/connector.log |
1364 |
/var/log/univention/connector.log |
1422 |
/var/log/univention/connector-status.log |
1365 |
/var/log/univention/connector-status.log |
1423 |
</programlisting> |
1366 |
</programlisting> |
1424 |
<para> |
|
|
1425 |
Die Statusmeldungen des Passwort-Dienstes auf AD-Seite werden in die |
1426 |
Datei <filename>C:\Windows\UCS-AD-Connector\UCS-AD-Connector.log</filename> protokolliert. |
1427 |
</para> |
1428 |
</section> |
1367 |
</section> |
1429 |
</section> |
1368 |
</section> |
1430 |
|
1369 |
|