• Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN
info@firstattribute.com
by FirstAttribute
Active Directory FAQActive Directory FAQ
  • Active Directory
    • AD Consulting
    • AD Design
      • Domain Name festlegen
      • Domain Struktur einrichten
      • Forest Struktur definieren
    • AD Management
    • AD Automation
      • Dynamic Access Control (DAC)
    • AD Federation Services
      • ADFS Betrieb
      • ADFS und Office365
      • ADFS und Cisco Unified Communications Manager
      • SAML und ADFS 2.0
  • Azure / M365
    • Azure AD
    • Microsoft 365 (O365)
  • Migration
    • Active Directory Migration
    • Exchange Migration
    • File Server Migration
    • Lotus Notes Migration
    • Novell Migration
  • Wissen
    • Alle Beiträge
    • Administration
    • PowerShell
    • Migration
    • Exchange
    • Tools
  • Kontakt
    • Wir über uns
    • Kontakt
  • EN

Novell Migration: Kritische Legacy-Applikationen mit OpenLDAP-Proxy umstellen

Okt 27, 2015 (Letztes Update) | Posted by Hannes Hayashi Migration |

 

Novell Migration: Kritische Legacy-Applikationen mit OpenLDAP-Proxy umstellen

In diesem Artikel möchte ich den LDAP-Proxy als Möglichkeit zur Umstellung für “unmigrierbare” Applikationen vorstellen.

Dieses Thema ist besonders für kritische Legacy-Applikationen interessant, die im Rahmen einer Novell Migration umgestellt werden müssen.

Ein Schritt-für-Schritt Tutorial für OpenLDAP-Proxy
 

Inhaltsverzeichnis

  • 1 Novell eDirectory nach Active Directory migrieren
  • 2 Ausgangssituation
    • 2.1 DNS-Record umstellen nicht möglich
    • 2.2 Lösung über OpenLDAP-Proxy
  • 3 Vorbereiten von OpenLDAP
  • 4 Beschreibung Testumgebung
  • 5 Installation
  • 6 Test
  • 7 Schlusswort
 

Novell eDirectory nach Active Directory migrieren

In der letzten Jahren werden Migration von Novell eDirectory nach Microsoft Active Directory immer häufiger.
Das Ziel einer solchen Migration ist meist die vollständige Abschaltung des alten Verzeichnisdienstes und die Übernahme aller Funktionen durch den neuen Verzeichnisdienst.

Leider gibt es manchmal aber produktionskritische Legacy-Applikationen, die speziell für den Zugriff auf das eDirectory zugeschnitten sind. Wenn Sie Applikationen im Einsatz haben, welche nicht ohne Weiteres gegen das Active Directory umgestellt werden können, möchte ich Ihnen heute eine Alternative vorstellen, an die nicht oft gedacht wird: Ein LDAP-Proxy.
 

Ausgangssituation

Bei einem Kunden waren wir neulich in der Situation innerhalb kürzester Zeit einige hundert Legacy-Anwendungen, welche eine Authentifizierung gegen das eDirectory durchführen gegen das Active Directory umzustellen. Die Anpassung der Anwendungen selbst war aus Zeitgründen keine Option. Wir wussten aber, dass die Anwendungen für den Zugriff auf das eDirectory alle denselben DNS-Record ansprechen.
 

DNS-Record umstellen nicht möglich

Die erste Idee war es zu testen, ob wir diesen DNS-Record einfach direkt gegen das Active Directory umstellen können. Dies hat aus verschiedenen Gründen nicht funktioniert.

Die Gründe waren u.a.:

  • Anonymer Zugriff: Die Anwendungen führen beim Login zunächst einen Anonymous Bind durch, um den DistinguishedName des Users zu finden. Anschließend führen die Anwendungen einen Simple Bind mit dem DistinguishedName und dem eingegebenen Passwort durch. Der Kunde wollte keinen öffentlichen anonymen Zugriff auf das AD zulassen.
     
  • Keine Searchbase: Beim eDirectory ist es möglich einen LDAP-Query auch ohne die Angabe einer Searchbase durchzuführen. Die Anwendungen haben daher einfach einen leeren String übergeben.
     

Lösung über OpenLDAP-Proxy

Der OpenLDAP-Proxy löst beide Probleme. OpenLDAP lässt standardmäßig einen Anonymous Bind zu, allerdings ist hierfür keine Veränderung im Active Directory nötig. Obwohl der Zugriff auf den Proxy anonym funktioniert, wird der eigentliche Bind gegen das Active Directory über einen Service-Account durchgeführt. Dadurch ist es leichter zu kontrollieren wer “anonym” auf das Active Directory zugreift.

Weiterhin ist es bei OpenLDAP möglich eine “Default Searchbase” zu hinterlegen, welche automatisch genutzt wird, wenn keine Searchbase übertragen wird.
 

Vorbereiten von OpenLDAP

OpenLDAP ist eine Open Source LDAP-Lösung und frei verfügbar. Die Einrichtung als Proxy ist einfach und schnell. Wir benötigen für die Installation folgendes:

  • Linux-Server
  • openldap Packet für Linux
  • Active Directory
  • Service-Account im Active Directory (keine besonderen Rechte nötig, wenn nur gelesen werden soll)

 

FirstAttribute AG

Erfahren Sie mehr über unterbrechungsarme Arbeitsweise bei
Novell Migration | AD Consulting

Kontaktieren Sie uns einfach unverbindlich,
wenn Sie eine eDirectory Migration planen.


 

Beschreibung Testumgebung

Die IP 192.168.1.11 gehört dem ersten Domain Controller meiner Test-Domäne “Sanctuary”. Der DC läuft für die Testumgebung auf meinem Notebook (in einer Virtuellen Maschine) und befindet sich in meinem lokalen Netzwerk.

Testumgebung-openldap-ipconfig

Mein Linux-Server hat die IP 192.168.1.1 und ist gleichzeitig mein Gateway und DNS-Server (siehe oben):

IP-address

 

Installation

Für meine Test-Umgebung werde ich ArchLinux verwenden, da ich bereits einen Server auf meinem Raspberry Pi zuhause habe. Die Installation sollte auf den meisten Linux-Distributionen ziemlich analog laufen.
 

[root@piserv1 ~]# pacman -Sy openldap

install-archlinux

Für die Konfiguration als LDAP-Proxy müssen wir die Datei “slapd.conf” bearbeiten. Zunächst werden wir aber die Default-Version der Datei sichern:

[root@piserv1 ~]# mv /etc/openldap/slapd.conf /etc/openldap/slapd.conf.backup

slapd.conf backup

Anschließend werden wir einen neue “slapd.conf” mit folgendem Inhalt erstellen:

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/inetorgperson.schema
pidfile           /var/run/openldap/slapd.pid
argsfile         /var/run/openldap/slapd.args
loglevel         none
modulepath     /usr/lib/openldap
moduleload      back_ldap
sizelimit 500
tool-threads 1

defaultsearchbase „<dn of my domain>“

backend         ldap

database       ldap
suffix         „<dn of my domain>“
uri ldap://<IP or DNS name of my domain>:389
rebind-as-user
idassert-bind   bindmethod=simple
               binddn=“<dn of my service user in AD>“
                credentials=“<password of my service user in AD>“
               mode=none
idassert-authzFrom „*“

[root@piserv1 ~]# nano /etc/openldap/slapd.conf

slapd.conf neu

Nachdem wir die Datei gespeichert haben müssen wir zunächst alles in dem Verzeichnis /etc/openldap/slapd.d/ löschen:

[root@piserv1 ~]# rm -r /etc/openldap/slapd.d/*

open ldap verzeichnisse löschen

Warnung: Dies bewirkt, dass alle eventuell vorhandenen Verzeichnisse und Datenbanken auf dem OpenLDAP-Server gelöscht werden!

Anschließend erstellen wir eine aktuelle Konfiguration mit dem Befehl “slaptest”:

[root@piserv1 ~]# slaptest -f /etc/openldap/slapd.conf -F /etc/openldap/slapd.d/

slaptest

Da wir den letzten Befehl als root ausgeführt haben, müssen wir noch den User “ldap” als Besitzer für alle Dateien im Verzeichnis “/etc/openldap/slapd.d” eintragen:

[root@piserv1 ~]# chown -R ldap: /etc/openldap/slapd.d/

open ldap chown
Um den Proxy zu aktivieren, starten wir nun den “slapd” Service neu:

[root@piserv1 ~]# systemctl restart slapd

restart slapd openldap

Das war’s! Nun ist unser Proxy einsatzbereit.
 

Test

Als Test können wir z.B. das Tool “ldp.exe” verwenden. Um eine Verbindung zu einem LDAP-Verzeichnis herzustellen clicken wir auf “Connection” und “Connect…”

ldp.exe connect
Anschließend geben wir die IP-Adresse unseres Proxys ein:

connect_ip
Wie wir sehen sind wir zu einem OpenLDAP-Verzeichnis verbunden:

ldp-openldap

Nun können wir einen Bind ausführen indem wir wieder auf “Connection” und anschließend auf “Bind…” klicken.
Als Authentifzierungsmethode wählen wir Simple Bind:

bind

Wichtig: Bei einem Simple Bind muss immer der DistinguishedName des Users angegeben werden!

Die Authentifizierung funktioniert:

tuser1_auth

Um das Verzeichnis nun zu browsen klicken wir auf “View” und dann auf “Tree”:

ldp.exe view tree

Wir müssen dann den DistinguishedName der Domäne eingeben:

tree_dn

Und wir können Browsen:

ldp-browse

Natürlich funktioniert der Zugriff mit jedem beliebigen LDAP-Browser, wie z.B. auch dem Softerra LDAP Browser:

softterra-ldap-browser-dn

Um zu zeigen, dass der anonyme Zugriff auch funktioniert, werden wir mit Softerra diese Option wählen:

anonymous-user

LDAP-browser-anonym 

Schlusswort

Dies ist nur ein sehr kurzer Einblick in die Möglichkeiten eines LDAP-Proxys. Viele weitere Dinge sind möglich, aber würden den Umfang eines Blog-Artikels sprengen.

Dieser Artikel versucht den LDAP-Proxy als Möglichkeit für “unmigrierbare” Applikationen darzustellen. Ich hoffe ich habe einigen Lesern auf der Suche nach einer Lösung für ihre Legacy-Applikationen bei einer AD-Migration einen Hoffnungschimmer gezeigt.


 

FirstAttribute AG

Dieser Artikel entstand bei Projekten der FirstAttribute AG
Novell Migration | AD Consulting

Kontaktieren Sie uns einfach unverbindlich,
wenn Sie eine eDirectory Migration planen.


Artikel weiterempfehlen:
  • teilen
  • tweeten
  • sharen
  • xingen
  • mailen
Artikel erstellt am: 27.10.2015
Tags: eDirectoryLDAPMigrationNovellOpenLDAPProxy
0

You also might be interested in

AD DS versus AD LDS

AD DS und AD LDS im Direktvergleich

Apr 9, 2019

In diesem Artikel werden die Unterschiede zwischen den Verzeichnisdiensten Active[...]

Novell-AD

Novell Client 2 für Windows 7: deaktivieren oder deinstallieren

Jan 26, 2015

Es gibt immer wieder Kunden, die aus verschiedenen Gründen von[...]

Migration-Manager-Version-8.13-DELL-QMM

Migration Manager for AD/Exchange 8.13

Aug 24, 2016

Dell Software hat eine neue Version des Migration Manager (ehemals[...]

Leave a Reply

<p>Danke für Ihre Anregungen, Fragen und Hinweise.<br/>Infos zum <a href="https://www.active-directory-faq.dekontakt/">Datenschutz</a></p>
Cancel Reply

FirstWare IDM-Portal im Test: IT-Administrator 08-2022

 

ADFAQ-FirstAttribute

Wer schreibt ?

Team der FirstAttribute AG

Consultants und Entwickler der FirstAttribute arbeiten seit mehr als 20 Jahren in IAM- und Cloud-Transition-Projekten.
Zusammen verfügen Sie über einen wertvollen Erfahrungsschatz im Bereich Active Directory und Azure AD und teilen diesen auf Active Directory FAQ.

Neueste Artikel

  • 8 Tipps für mehr Sicherheit in Active Directory und Backups von AD
  • Azure AD Custom Security Attributes ermöglichen flexible Berechtigungsstrukturen
  • Dateiberechtigungen in MS Teams und SharePoint Online verwalten – So funktioniert es
  • AD-Gruppen in Microsoft Teams verwenden – Dynamische Gruppen in der Praxis
  • Verbindung zwischen Microsoft 365 und SharePoint Online zu Azure AD

Unsere IAM-Lösungen

Ihre IAM-Lösung: FirstWare IDM-Portal

 

my-IAM für Cloud Identity Management in Microsoft Teams

Kontakt aufnehmen

Sie haben eine Frage oder Anmerkung? Schicken Sie uns schnell eine Nachricht.

Nachricht senden
Jetzt AD Tasks vereinfachen und delegieren: FirstWare IDM-Portal

Folgen Sie uns

Kontakt

  • FirstAttribute AG
  • Am Büchele 18, 86928 Hofstetten, Germany
  • +49 89 215 442 400
  • https://www.firstattribute.com

Schlagwörter

.Net ACL Active Directory AD LDS AD Objekt Azure AD Berechtigung Cloud cmdlets Delegation Domain Controller dynamicgroup dynamische Gruppen Exchange Exchange-Ordner Exchange-Postfach Exchange Migration Federation FirstWare Get-Mailbox Global Catalog Group Policy Gruppen Gruppenmitgliedschaft IDM-Portal LDAP m365 Microsoft Azure Migration New-ADUser Novell NTFS Office 365 PowerShell QMM QMM AD QMM Exchange Quest Migration Manager Schema Set-ADUser SID SID History Update Windows 10 Windows Server 2012 R2

Neueste Kommentare

  • activedirectoryfaq.com sharepoint login - infoslist bei Windows 365 und Azure AD verstehen in Theorie und Praxis
  • Domäne Letzte Anmeldung - ObenGesichert.com bei LastLogon vs. LastLogonTimestamp
  • Teams Code Zur Anmeldung - ObenGesichert.com bei Authentifizierung für MS Teams in hybriden Netzwerken
Login
Impressum
Datenschutzerklärung

© 2023 · Active-Directory-FAQ by firstattribute.com

Prev Next