Univention Bugzilla – Bug 23162
Synchronisation von Rechnerkonten UCS/Samba4 (sync oder nur write?)
Last modified: 2023-03-25 06:51:11 CET
Für die Synchronisation von Rechnerkonten von UCS nach Samba4 sollte geklört werden, ob diese Synchronisation bidirektional sein muss. Bei der 'read'-Synchronisation (d.h. von Samba4 zu UCS) ist nicht ganz klar, wie man die Rückabbildung von Samba4 (ou="Domain Controllers") auf domaincontroller_* vornehmen sollte.
Ich denke wir sollten die Systeme synchronisieren. Gesteuert werden sollte die Einstellung über das Feld userAccountControl: Domänencontroller: 0x82000 (532480) Workstation/Server: 0x1000 (4096) Darüber kann die Unterscheidung DC oder Memberserver erfolgen. Zusätzlich sollten wir das Feld "operatingSystem: Samba" auswerten. Das sollten wir per Default auf UCS setzen und dann können wir die folgenden Fälle unterscheiden: - UCS DC - UCS Memberserver - MS DC - MS Memberserver Für die beiden MS Systeme sollten wir auch UDM Objekte erstellen. Zusätzlich könnten wir das Feld "operatingSystemVersion: 4.0.0alpha17-UNKNOWN" für die Serverrolle auswerten, also die Unterscheidung zwischen Master, Backup oder Slave. Ich denke aber das ist nicht notwendig, da wir vermutlich nicht die folgende Situation bekommen: UCS Master <-- Connector --> Samba 4 <-- DRS --> Samba4 <-- Connector --> UCS Slave Gesucht werden können alle DCs im S4 über diesen Suchfilter: "(userAccountControl:1.2.840.113556.1.4.803:=532480);" Die Passwörter Kerberos Keys sollten wir nach Möglichkeit ebenfalls mit synchronisieren.
(In reply to comment #1) > Ich denke wir sollten die Systeme synchronisieren. > > Gesteuert werden sollte die Einstellung über das Feld userAccountControl: > Domänencontroller: 0x82000 (532480) > Workstation/Server: 0x1000 (4096) > > Darüber kann die Unterscheidung DC oder Memberserver erfolgen. > > Zusätzlich sollten wir das Feld "operatingSystem: Samba" auswerten. Das sollten > wir per Default auf UCS setzen und dann können wir die folgenden Fälle > unterscheiden: > - UCS DC > - UCS Memberserver > - MS DC > - MS Memberserver Da zwischen einem Windows Client und Windows Memberserver nicht unterschieden wird, kann dieser einfach auf computer/windows abgebildet werden.
Da sind jetzt Probleme aufgetreten, sobald versucht wurde einen Backup zu joinen. Das ging soweit, dass der DC Account irgendwann durch den Connector gelöscht wurde. Für den MS2 wird das zunächst im Mapping auskommentiert.
Sollte das nicht ohne weiteres möglich sein, dann können wir das auch später noch nachliefern.
Kein Blocker für das 3.0 Release.
Das wurde jetzt im Rahmen von Bug #24437 gelöst. *** This bug has been marked as a duplicate of bug 24437 ***