Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Funzionalità "Active Directory Synchronization".

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
saimonn2004



Registrato: 04/06/07 16:13
Messaggi: 1

MessaggioInviato: Lun Giu 04, 2007 4:24 pm    Oggetto: Funzionalità "Active Directory Synchronization". Rispondi citando

Ho verificato che nella release beta4 questa funzionalità non è ancora implementata, lo sarà nell'imminente beta5? o che tempistiche ci sono a riguardo?

grazie,
S.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Lun Giu 04, 2007 9:00 pm    Oggetto: Rispondi citando

Purtroppo nella 1.0.beta5 questa funzionalità non sarà ancora disponibile. Sarà comunque disponibile all'interno della prima versione stabile 1.0.0.
Tieni conto che questa funzionalità permetterà a ZeroShell di replicare parte dei dati riguardanti gli utenti presenti nel suo database LDAP all'interno di Active Directory e di impostare il mapping tra gli user di Active Directory e i principal del realm kerberos 5 di ZeroShell. Cio' permetterà l'autenticazione degli utenti creati in ZeroShell su macchine Windows registrate nel dominio Active Directory. Alla base di questa possibilità vi è la creazione di una relazione di trust (cross-autenticazione) tra il REALM Kerberos 5 di Zeroshell e quello gestito da Active Directory.

La sincronizzazione degli utenti già presenti in Active Directory non sarà invece gestita.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
stefano.zappa



Registrato: 17/04/07 11:41
Messaggi: 10

MessaggioInviato: Mar Giu 05, 2007 9:06 am    Oggetto: Rispondi citando

Come mai non è prevista la replica degli utenti preesistenti? credo non sia una funzionalità superflua, anzi, è indispensabile per chi vuole effettuare una migrazione da un ambiente windows ad un ambiente open o comunque all'interoperabilità tra i due mondi. Non credo sia un problema l'inserimento dei PRINCIPAL del REALM kerberos di Zeroshell all'interno di Active Directory per effettuare il mapping degli utenti preesistenti dato che in una configurazione Active Directory standard questo campo è blank, o mi stò sbagliando di grosso?
è forse un limite voluto per evitare di minare l'integrità di AD?
Fulvio hai in mente una tempistica di rilascio della stable 1.0.0? o sai darmi dei cosigli di massima su come portare avanti il processo di replica LDAP?

un saluto, Stefano.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mar Giu 05, 2007 10:37 pm    Oggetto: Rispondi citando

stefano.zappa ha scritto:
Come mai non è prevista la replica degli utenti preesistenti? credo non sia una funzionalità superflua, anzi, è indispensabile per chi vuole effettuare una migrazione da un ambiente windows ad un ambiente open o comunque all'interoperabilità tra i due mondi.

Purtroppo importare gli utenti di AD in ZeroShell è più complicato poiché le chiavi Kerberos difficilmente possono essere replicate. Potrei sincronizzare solo la parte LDAP, ma sarebbe comunque richiesta l'impostazione manuale della password in modo da generare i principal Kerberos v5.


stefano.zappa ha scritto:

Non credo sia un problema l'inserimento dei PRINCIPAL del REALM kerberos di Zeroshell all'interno di Active Directory per effettuare il mapping degli utenti preesistenti dato che in una configurazione Active Directory standard questo campo è blank, o mi stò sbagliando di grosso?


No non ti sbagli, si può fare anche se vale il discorso di prima sulla necessita di impostare la password nel KDC di Zeroshell.


stefano.zappa ha scritto:

è forse un limite voluto per evitare di minare l'integrità di AD?


No non è un limite voluto e solo che non avevo riflettuto bene sull'utilità della possibilità da te proposta.

stefano.zappa ha scritto:

Fulvio hai in mente una tempistica di rilascio della stable 1.0.0? o sai darmi dei cosigli di massima su come portare avanti il processo di replica LDAP?


Spero settembre o ottobre, impegni permettendo. Per quel che riguarda il processo di replica non posso suggerirti molto perché ci devo ancora lavorare sopra per avere le idee più chiare.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
stefano.zappa



Registrato: 17/04/07 11:41
Messaggi: 10

MessaggioInviato: Mer Giu 06, 2007 9:37 am    Oggetto: Rispondi citando

Prima di tutto, non posso dir altro che "GRAZIE FULVIO", per la Tua grande disponibilità.
In linea di massima anch' io avevo in mente la semplice replica LDAP degli utenti AD, ed avendo definito in precedenza la relazione di trust del REALM Kerberos tra i due ambienti, pensavo di forzare la scadenza password nell'ambiente windows, così al logon successivo tutto verrebbe allineato tra i due sistemi, password e chiavi Kerberos, può essere questa una linea concettuale di massima per soddisfare uno scenario di interoperabilità windows<->zeroshell?

Ti ringrazio, un saluto,
Stefano.
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Mer Giu 06, 2007 10:54 pm    Oggetto: Rispondi citando

Quando stabilisci una relazione di fiducia tra il realm Kerberos esterno e quello di Active Directory, gli utenti possono fare logon in 3 modi sulle workstation Windows 2000/XP/2003:
- in locale senza entrare nel dominio. Ciò a patto che abbiano un account locale;
- Autenticandosi sul KDC di Active Directory;
- Autenticandosi sul KDC esterno.

Nelle ultime due possibilità il profilo, l'appartenenza ai gruppi e le informazioni di autorizzazione sono sempre le stesse, cioè quelle contenute nel database LDAP di Active Directory. Ciò che cambia invece è semplicemente l'autenticazione che può avvenire sul KDC di AD oppure sul realm kerberos esterno. Con ciò ti voglio far notare, che se imposti la scadenza della password in AD, gli utenti saranno in grado di cambiare solo questa password e non quella del realm esterno che non conoscono ancora.

Ciao
Fulvio
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it