Univention Bugzilla – Attachment 8437 Details for
Bug 40911
AD Connector password service
Home
|
New
|
Browse
|
Search
|
[?]
|
Reports
|
Requests
|
Help
|
New Account
|
Log In
[x]
|
Forgot Password
Login:
[x]
[patch]
Required adjustments for the UCS 4.1-4 manual
1.patch (text/plain), 15.20 KB, created by
Arvid Requate
on 2017-02-20 18:40 CET
(
hide
)
Description:
Required adjustments for the UCS 4.1-4 manual
Filename:
MIME Type:
Creator:
Arvid Requate
Created:
2017-02-20 18:40 CET
Size:
15.20 KB
patch
obsolete
>Index: windows-de.xml >=================================================================== >--- windows-de.xml (Revision 75940) >+++ windows-de.xml (Arbeitskopie) >@@ -920,12 +920,12 @@ > </para> > > <para> >- Per Voreinstellung überträgt die so eingerichtete Active Directory-Verbindung keine Passwortdaten aus AD in den UCS-Verzeichnisdienst. Einige Apps aus dem App Center benötigen verschlüsselte Passwortdaten. Sofern eine App diese benötigt, wird ein entsprechender Hinweis im App Center angezeigt. Zu diesem Zweck kann der Passwortdienst auf dem AD-Server installiert werden (siehe <xref linkend="ad-connector:password-dienst"/>). >+ Per Voreinstellung überträgt die so eingerichtete Active Directory-Verbindung keine Passwortdaten aus AD in den UCS-Verzeichnisdienst. Einige Apps aus dem App Center benötigen verschlüsselte Passwortdaten. Sofern eine App diese benötigt, wird ein entsprechender Hinweis im App Center angezeigt. > </para> > > <para> > Im <emphasis>AD member</emphasis>-Modus liest der UCS AD-Connector Objektdaten per Voreinstellung mit den Berechtigungen des Maschinenkontos des &ucsMaster;s aus dem AD. Für das Auslesen von verschlüsselten Passwortdaten sind dessen Berechtigungen nicht ausreichend. >- Daher muss für die Einrichtung des Passwortdienstes zusätzlich manuell die LDAP-DN eines privilegierten Replikationsbenutzers in die &ucsUCRV; <envar>connector/ad/ldap/binddn</envar> eingetragen werden. >+ Daher muss in diesem Fall zusätzlich manuell die LDAP-DN eines privilegierten Replikationsbenutzers in die &ucsUCRV; <envar>connector/ad/ldap/binddn</envar> eingetragen werden. > Dieser muss im AD Mitglied der Gruppe <systemitem class="groupname">Domänen-Admins</systemitem> sein. > Das entsprechende Kennwort muss auf dem &ucsMaster; in eine Datei gespeichert werden und ihr Dateiname muss in die &ucsUCRV; <envar>connector/ad/ldap/bindpw</envar> eingetragen werden. > Falls zu einem späteren Zeitpunkt das Zugriffspasswort geändert wurde, muss das neue Passwort in diese Datei eingetragen werden. >@@ -952,15 +952,12 @@ > <title>Einrichtung des UCS AD-Connectors</title> > > <para> >- Als Alternative zur Mitgliedschaft in einer AD-Domäne, die im vorherigen Abschnitt beschrieben ist, kann der UCS Active Directory-Connector dazu verwendet werden, Benutzer- und Gruppenobjekte zwischen einer UCS-Domäne und einer AD-Domäne zu synchronisieren. Diese Betriebsart erlaubt über die unidirektionale Synchronisation hinaus auch die bidirektionale Synchronisation. In dieser Betriebsart bestehen beide Domänen parallel und ihre Authentifikationssysteme funktionieren unabhängig. Voraussetzung dafür ist die Synchronisation der verschlüsselten Passwortdaten. Dafür ist die Installation eines speziellen Passwortdienstes auf dem AD-Domänencontroller notwendig. >+ Als Alternative zur Mitgliedschaft in einer AD-Domäne, die im vorherigen Abschnitt beschrieben ist, kann der UCS Active Directory-Connector dazu verwendet werden, Benutzer- und Gruppenobjekte zwischen einer UCS-Domäne und einer AD-Domäne zu synchronisieren. Diese Betriebsart erlaubt über die unidirektionale Synchronisation hinaus auch die bidirektionale Synchronisation. In dieser Betriebsart bestehen beide Domänen parallel und ihre Authentifikationssysteme funktionieren unabhängig. In diesem Betriebsmodus werden per Voreinstellung auch verschlüsselten Passwortdaten synchronisiert. > </para> > > <para> > In der Standardeinstellung werden Container, Organisationseinheiten, Benutzer und Gruppen >- synchronisiert. Die Benutzer nehmen eine Sonderstellung ein, da das Passwort in Active >- Directory nicht über das LDAP-Protokoll abgefragt werden kann. Hierfür wird ein zusätzlicher >- Dienst auf dem Windows-Server installiert, der diese Passwortsynchronisation ermöglicht (siehe >- <xref linkend="ad-connector:password-dienst"/>). >+ synchronisiert. > </para> > > <para> >@@ -1116,10 +1113,6 @@ > </para> > > <para> >- Im letzten Dialog werden alle zur <guimenu>Installation des Passwortdienstes</guimenu> notwendigen Dateien zum Download auf den Windows-Server angeboten. Weitere Details dazu sind in <xref linkend="ad-connector:password-dienst"/> beschrieben. >- </para> >- >- <para> > Nach einem Klick auf <mousebutton>Weiter</mousebutton> wird die Konfiguration übernommen und der UCS AD-Connector wird gestartet. > Der abschlieÃende Dialog muss dann durch Klick auf <mousebutton>Fertigstellen</mousebutton> geschlossen werden. > </para> >@@ -1156,9 +1149,7 @@ > Die verschlüsselte Verbindung zwischen UCS-System und Active Directory > kann auch deaktiviert werden, indem die > &ucsUCRV; <envar>connector/ad/ldap/ssl</envar> auf <literal>no</literal> gesetzt wird. Diese >- Einstellung betrifft nicht die Kommunikation mit dem >- Passwort-Dienst (siehe <xref linkend="ad-connector:password-dienst"/>); >- diese ist immer verschlüsselt. >+ Einstellung betrifft nicht die Synchronisation der verschlüsselten Passwortdaten. > </para> > > <section id="windows:Export_unter_Windows_2003"> >@@ -1291,54 +1282,6 @@ > </section> > </section> > >-<section id="ad-connector:password-dienst"><title>Einrichtung des Passwort-Dienstes auf dem AD-System</title> >-<para> >-Active Directory verbietet die Abfrage von Passwörtern über das >-LDAP-Protokoll, was die Installation eines Paketes auf dem >-Windows-Server erfordert. >-</para> >-<para> >-Die Installations-Pakete werden ebenfalls über den >-UMC-Einrichtungs-Assistenten bereitgestellt: >-</para> >- >-<itemizedlist> >-<listitem><simpara><filename>ucs-ad-connector.msi (for 32bit Windows)</filename></simpara></listitem> >-<listitem><simpara><filename>ucs-ad-connector-64bit.msi (for 64bit Windows)</filename></simpara></listitem> >-<listitem><simpara><filename>Microsoft Visual C++ 2010 Redistributable Package (x86)</filename></simpara></listitem> >-<listitem><simpara><filename>private.key</filename></simpara></listitem> >-<listitem><simpara><filename>cert.pem</filename></simpara></listitem> >-</itemizedlist> >-<para> >-Auf 64 Bit-Varianten von Windows muss vor der Installation des AD >-Connectors das <package>Microsoft Visual C++ 2010 >- Redistributable Package (x86)</package> installiert werden. >-</para> >-<para> >- Die <filename class="extension">MSI</filename>-Pakete sind die Installations-Dateien für den >-Passwortdienst und können durch einen Doppelklick gestartet werden. >-</para> >-<para> >-Das Paket wird automatisch in das Verzeichnis <filename class="directory">C:\Windows\UCS-AD-Connector\</filename> installiert. Zusätzlich wird der >-Passwort-Dienst als Systemdienst in die Windows-Umgebung integriert, >-wodurch der Dienst automatisch oder manuell gestartet werden kann. >-Nach der Installation ist der Passwort-Dienst für den automatischen >-Start konfiguriert. >-</para> >-<para> >-Die Dateien <filename>private.key</filename> und <filename>cert.pem</filename> beinhalten unter UCS erzeugte >-SSL-Zertifikate für die gesicherte Kommunikation des Passwort-Dienstes. Sie müssen ebenfalls >-in das Installationsverzeichnis des Passwort-Dienstes kopiert werden. >-AnschlieÃend muss der Passwort-Dienst neu gestartet werden. >-</para> >-<para> >-In einer Standard-Installation unter Windows 2008 blockiert die >-Windows-Firewall die Zugriffe auf den UCS AD-Connector. Diese muss entweder >-in der <guimenu>Systemsteuerung</guimenu> deaktiviert werden oder Port >-6670/TCP freigegeben werden. >-</para> >-</section> >- > <section id="ad-connector:neustart"><title>Start/Stopp des Active Directory Connectors</title> > <para> > AbschlieÃend kann der Connector über <mousebutton>Active Directory-Verbindungsdienst starten</mousebutton> >@@ -1421,10 +1364,6 @@ > /var/log/univention/connector.log > /var/log/univention/connector-status.log > </programlisting> >-<para> >-Die Statusmeldungen des Passwort-Dienstes auf AD-Seite werden in die >-Datei <filename>C:\Windows\UCS-AD-Connector\UCS-AD-Connector.log</filename> protokolliert. >-</para> > </section> > </section> > >Index: windows-en.xml >=================================================================== >--- windows-en.xml (Revision 75940) >+++ windows-en.xml (Arbeitskopie) >@@ -864,13 +864,13 @@ > </para> > > <para> >- In the default setting, the Active Directory connection set up in this way does not transfer any password data from AD to the UCS directory service. Some apps from the Univention App Center require encrypted password data. If an app needs it, a note is shown in the App Center. For this purpose, the password service can be installed on the AD server (see <xref linkend="ad-connector:password-dienst"/>). >+ In the default setting, the Active Directory connection set up in this way does not transfer any password data from AD to the UCS directory service. Some apps from the Univention App Center require encrypted password data. If an app needs it, a note is shown in the App Center. > </para> > > <para> > In <emphasis>AD member</emphasis> mode, in the default setting, the UCS AD Connector exports object data from the AD with the authorizations of the &ucsMaster;'s machine account. > These authorizations are not sufficient for exporting encrypted password data. >- As such, the LDAP DN of a privileged replication user can also be manually entered in the &ucsUCRV; <envar>connector/ad/ldap/binddn</envar> for the setting up of the password service. >+ In this case, the LDAP DN of a privileged replication user can be adjusted manually in the &ucsUCRV; <envar>connector/ad/ldap/binddn</envar>. > This must be a member of the <systemitem class="groupname">Domain Admins</systemitem> group in the AD. > The corresponding password must be saved in a file on the &ucsMaster; and the file name entered in the &ucsUCRV; <envar>connector/ad/ldap/bindpw</envar>. > If the access password is changed at a later point in time, the new password must be entered in this file. >@@ -898,11 +898,11 @@ > <title>Setup of the UCS AD connector</title> > > <para> >- As an alternative to membership in an AD domain, as described in the previous section, the Active Directory Connection can be used to synchronize user and group objects between a UCS domain and an AD domain. In addition to unidirectional synchronization, this operating mode also allows bidirectional synchronization. In this operating mode, both domains exist in parallel and their authentication systems function independently. The prerequisite for this is the synchronization of the encrypted password data. This requires the installation of a special password service on the AD domain controller. >+ As an alternative to membership in an AD domain, as described in the previous section, the Active Directory Connection can be used to synchronize user and group objects between a UCS domain and an AD domain. In addition to unidirectional synchronization, this operating mode also allows bidirectional synchronization. In this operating mode, both domains exist in parallel and their authentication systems function independently. The prerequisite for this is the synchronization of the encrypted password data. > </para> > > <para> >- In the default setting, containers, organizational units, users and groups are synchronized. Users have an exceptional position since the password cannot be queried via the LDAP protocol in Active Directory. A special service is installed on the Windows server for this purpose, which enables password synchronization (see <xref linkend="ad-connector:password-dienst"/>). >+ In the default setting, containers, organizational units, users and groups are synchronized. Users have an exceptional position since the password cannot be queried via the LDAP protocol in Active Directory. > </para> > > <para> >@@ -1027,10 +1027,6 @@ > </para> > > <para> >- In the last dialogue window, all the files required for the <guimenu>Installation of password service</guimenu> are offered for download to the Windows server. Further information on this topic can be found in <xref linkend="ad-connector:password-dienst"/>. >- </para> >- >- <para> > Once <mousebutton>Next</mousebutton> is clicked, the configuration is taken over and the UCS AD Connector started. > The subsequent dialogue window needs to be closed by clicking on <mousebutton>Finish</mousebutton>. > </para> >@@ -1063,9 +1059,8 @@ > <para> > The encrypted communication between the UCS system and Active Directory > can also be deactivated by setting the &ucsUCRV; <envar>connector/ad/ldap/ssl</envar> >- to <literal>no</literal>. This setting does not concern the communication with the >- password service (see <xref linkend="ad-connector:password-dienst"/>); >- this is always encrypted. >+ to <literal>no</literal>. This setting does not affect the replication of >+ encrypted password data. > </para> > > <section id="windows:Exporting_the_certificate_on_Windows_2003"> >@@ -1197,54 +1192,6 @@ > </section> > </section> > >-<section id="ad-connector:password-dienst"><title>Setting up the password service on the AD system</title> >-<para> >-Active Directory prohibits the request of passwords via the LDAP >-protocol, which requires the installation of a package on the >-Windows server. >-</para> >-<para> >-The installation packages are also provided via the setup >-wizard &ucsUMC;. >-</para> >- >-<itemizedlist> >-<listitem><simpara><filename>ucs-ad-connector.msi (for 32bit Windows)</filename></simpara></listitem> >-<listitem><simpara><filename>ucs-ad-connector-64bit.msi (for 64bit Windows)</filename></simpara></listitem> >-<listitem><simpara><filename>Microsoft Visual C++ 2010 Redistributable Package (x86)</filename></simpara></listitem> >-<listitem><simpara><filename>private.key</filename></simpara></listitem> >-<listitem><simpara><filename>cert.pem</filename></simpara></listitem> >-</itemizedlist> >-<para> >-On 64-bit Windows versions, the <package>Microsoft Visual C++ 2010 >- Redistributable Package (x86)</package> must be installed before the >-installation of the AD connector. >-</para> >-<para> >- The <filename class="extension">MSI</filename> files are the installation files for the >-password service and can be started by double clicking on it. >-</para> >-<para> >-The package is installed in the <filename class="directory">C:\Windows\UCS-AD-Connector\</filename> directory automatically. >-Additionally, the >-password service is integrated into the Windows environment as a >-system service, which means the service can be started automatically >-or manually. After the installation the password service is configured >-for automatic startup. >-</para> >-<para> >-The <filename>private.key</filename> and <filename>cert.pem</filename> files contain the SSL >-certificates created in UCS for secure communication with the password service. They must also >-be copied into the installation directory of the password service. >-The password service must then be restarted. >-</para> >-<para> >-During a standard installation in Windows 2008 the Windows firewall >-blocks the access to the UCS AD Connector. This must either be deactivated >-in <guimenu>System settings</guimenu> or Port 6670/TCP authorized. >-</para> >-</section> >- > <section id="ad-connector:neustart"><title>Starting/Stopping the Active Directory Connection</title> > <para> > The connector can be started using <mousebutton>Start Active >@@ -1336,10 +1283,6 @@ > /var/log/univention/connector.log > /var/log/univention/connector-status.log > </programlisting> >-<para> >-The status notifications of the password service on the AD side are >-logged in the <filename>C:\Windows\UCS-AD-Connector\UCS-AD-Connector.log</filename> file. >-</para> > </section> > </section> >
<b>You cannot view the attachment while viewing its details because your browser does not support IFRAMEs. <a href="attachment.cgi?id=8437">View the attachment on a separate page</a>.</b>
Actions:
View
|
Diff
Attachments on
bug 40911
: 8437