LDAP Windowsanmeldung mit LDAP Direcory Service nutzen

[Daniel Albert]

Hallo,

Danke für deine Hilfe. Ist echt immer schwer da passende Unterstützung zu finden. Man findet aber auch wenig darüber im Internet bei dieser Kombination.

Also ich sehe die Anmeldung von LDAP also gpina mit dem Logo.

Der Punkt Authentication ist angeklickt mehr nicht.

Den Credential Provider Options" muss "PasswordProvider" einen Haken bei Logon haben muss ich morgen mal prüfen habe ich jetzt nicht auf dem Schirm.

Müssen die User lokal am Computer mit Benutzername und Passwort wie in LDAP angelegt sein oder nicht ?

Warum vergebe ich für den LDAP Server in der NAS ein Passwort ? Dies wird ja in gpina nirgends abgefragt oder ??

Für die Benutzerdaten dachte ich ist der Verzeichnisdienst der NAs zuständig. Dort kann ich ja einiges zu den Benutzer einstellen. Da bis jetzt die Anmeldung nicht funktioniert kann ich nichts näheres dazu sagen. Hoffe morgen nähere Infos zu haben.

Gruß Daniel

 

[Daniel Albert]

Hallo,

ist denn für das Mappen von den Userdaten auf der NAs nicht der NFS service zuständig ?? Gibt es da schon welche die es aktiv nutzen ?

Gruß Daniel

 

[Daniel Albert]

Hallo,

kann es sein, dass es von Gpina verschiedene Versionen gibt und ich nutze die Falsche ? Ich habe glaube 3.2.0. Welche Version nutzt ihr denn und funktioniert diese ????

 

[JudgeDredd]

Hallo Daniel,

so, war ein paar Tage unterwegs. Wie ist denn mittlerweile der Stand bei Dir ?

Müssen die User lokal am Computer mit Benutzername und Passwort wie in LDAP angelegt sein oder nicht ?

Nein, wenn die User Lokal nicht existieren, werden sie Angelegt und ggf. werden die LDAP-Gruppen auch Lokal angelegt, so das man es im WIN-Berechtigungskonzept steuern kann.
Grundsätzlich wird immer die lokale Userberechtigung nach der LDAP-Anmeldung mit den LDAP Daten überschrieben. Hat aber den Nachteil, das lokal eingestellte Bedingungen nicht funktionieren
Beispiel: Du hakst lokal in der Userverwaltung "Passwort muss bei der nächsten Anmledung geändert werden" an.

Anderes Problem, zu dem ich bisher noch keine Lösung gefunden habe ist die Passwortänderung. Wenn der User sein lokales Passwort ändert, wird es nicht auf den LDAP-Server geschrieben. (Kommt aber in einer der nächsten pGina Versionen (hoffentlich))

Nochmal zur Plugin-Config:
Beim LDAP und Local/-Plugin habe ich Authentication und Gateway konfiguriert.
Leider ist zu den Plugins die Doku meiner Ansicht nach recht schwach.

Gruß,
Andreas

 

[Daniel Albert]

Guten Morgen Andreas,

ja der Fehler lag mal wieder zwischen den Ohren. Ich sollte besser lesen. Ich habe unter den Plugins nur LDAP aktiviert, aber nicht Local. jetzt geht es. Muss mal schauen wie das mit der SSL Verschlüsselung klappt. Habe ich noch nicht ausgetestet. Passwort möchte ich gar nicht vom User ändern lassen dann kommen wieder Kennwörter mit Namen usw. raus. Also die ändere ich wenn überhaupt per passwortgenerator. Coole wäre ja, wenn die Benutzer welche ich auf der NAs eingerichtet habe auf dem LDAP einfach auswählbar wären. Somit würde die Passwortänderung bei den eingerichteten Nutzer ausreichen.

Ich muss mal überlegen was sinnvoller ist die Nutzer neu in LDAP einzurichten oder doch einzeln.

Jetzt hänge ich nur noch daran ein Script in den Autostart von Default User einzufügen, wo beim ersten Anmelden 2 Netzlaufwerke (Home des Nutzer auf NAS und NAS der erste Ordner) angelegt werden und in der registry die Pfade von Favoriten / Eigene Dateien und Download auf die NAS verlegt werden.

Hoffe da kann jemand Helfen. Ich steige da nicht durch ab eine reine Bat Datei ausreicht oder noch mehr benötigt wird.

Gruß Daniel

 

[JudgeDredd]

Coole wäre ja, wenn die Benutzer welche ich auf der NAs eingerichtet habe auf dem LDAP einfach auswählbar wären.

In der NAS Benutzerverwaltung steht bei mir nur der Admin drin. Alle anderen Benutzer sind AUSSCHLIESSLICH im LDAP angelegt.

Ich muss mal überlegen was sinnvoller ist die Nutzer neu in LDAP einzurichten oder doch einzeln.

Also ich mache das auf dem LDAP. Sonst müsste sich ja jeder User erst an jedem PC anmelden um dann von Dir konfiguriert zu werden.

ein Script in den Autostart von Default User einzufügen

Autostart ist keine gute Idee, da das Script vom Benutzer abgebrochen werden kann.
Logon-/Logoff Scripte müssen in der GPO zugewiesen werden.
Siehe:
http://technet.microsoft.com/en-us/library/cc770908.aspx

 

[Daniel Albert]

hallo,

ja das mit den Benutzern muss ich mal ausprobieren nur als LDAP Nutzer zu integrieren. Zuvor sollte ich aber die Daten aus den Home Profil in den LDAP Profil verschieben sonst gibt es Streß oder ?

Geht dein Link mit dem Script auch bei Windows 7 Home Premium Betriebssystem ? laut dem Link ganz unten nicht

 

[JudgeDredd]

in den LDAP Profil verschieben sonst gibt es Streß oder ?

Evtl. von den Usern, ja. Sonst können sie ja nicht auf die Daten zugreifen.

Windows 7 Home Premium

Puh, ich befürchte leider nein. Ausser durch nicht von Microsoft unterstützen Änderungen am Betriebssystem.