ldap uitrollen op een (zééér) gemixed netwerk

Hallo GoT

Houdende van een uitdaging heb ik een opdracht op mijn bord gekregen om hier op mijn werk e.e.a. aan ons netwerk te reorganiseren. Het gaat om klein een bedrijfje waar regelmatig de boel versterkt wordt met vakantiekrachten en er wordt met vertrouwelijke informatie gewerkt. Er wordt ondermeer verwacht dat de medewerkers binnenkort met een eigen account gaan inloggen op de systemen om voor de hand liggende redenen. Dit kan gecentraliseerd worden dus éénvoudiger ivm beheer via ldap.

Nu het probleem, ldap, leuk en wel, maar het betreffen productiemachines met zéér uitéénlopende besturingssystemen. Dit omdat de fabrikant destijds de machines zo opgeleverd heeft en een upgrade is niet altijd mogelijk.

Op dit moment betreft het ..

2x OS2 Warp 4 (schier onmogelijk)
2x Debian
2x RedHat
2x SuSE
1x Win NT 4.0
1x Win 2000 SP2
1x Win 2000 SP4
2x Win XP SP2
3x MS Dos 6.22 (zal binnen 2 jaar vervangen zijn door andere machines + software)
1x Win 98 SE

bizar of niet ?!

Ik weet onderhand dat ldap (in de vorm van active directory) vanaf Win2000 werd ingevoerd, maar er zijn mogelijkheden om Win 98 en Win NT hier ook mee te laten werken. Blijft OS2 en MS DOS 6.22 over. Deze laatste zou ik desnoods via VMware willen proberen te regelen, dus een XP machine met ldap en daarop dan MS DOS. Vraag is of je de betreffende I/O naar de machine erdoor krijgt ... Voor de OS2 machines zie ik op dit moment ook geen andere oplossing dan met VMware iets te gaan proberen ..

Als het écht niet kan, blijft er niets anders over dan lokale accounts gebruiken óf een upgrade doorvoeren, maar men is al blij dat de boel nog draait, dus zeker met OS2 Warp 4 is dat een niet erg populaire oplossing.

Wie heeft meer voor een dergelijke opgave gestaan en wil zijn ervaring met mij delen?

Elke hulp is welkom. Bvd!

[ Voor 4% gewijzigd door Alfa Novanta op 02-10-2007 14:14 ]

Update: de MS-DOS machines worden binnen nu en 2 jaar vervangen, dus die zijn van minder belang. De OS2 machines zijn nog wel érg belangrijk ..

MaCe1337 schreef op dinsdag 28 augustus 2007 @ 11:28:
Je kan natuurlijk ook een dikke server met Vmware ESX gebruiken, dan kan je al die deprecated meuk in één keer op een gecentraliseerde plaats draaien en beheren, en gebruikers kunnen dan op hun shiny nieuwe XP pc's remote inloggen op de applicaties.

MrBarBarian schreef op dinsdag 28 augustus 2007 @ 11:41:
En zit je voor de rest van je leven vast aan de (veel te dure) meuk uit Redmond. Welkom in Nos

Bedenkt wel dat als je AD binnen je organisatie hebt, MS een zeer grote lepel in de pap heeft. Uiteraard jouw beslissing of dat positief of negatief is.

Stom, ff overheen gekeken, maar d'r is natuurlijk ook niets op tegen om de boel met VMware server onder Linux (e.g. Fedora) te draaien, met LDAP Who needs XP .. !?

MrBarBarian schreef op dinsdag 28 augustus 2007 @ 11:41:
Ik zou eerst eens NT4, win98 gaan afschrijven. Die platformen zijn al zo oud dat er geen onderhoud/support meer voor is, dus ze vormen sowieso een risico voor de organisatie.

Klopt, ik denk dat ik dat als eerste eens wil onderzoeken .. wordt het hoogstwaarschijnlijk wel XP 2000. omdat er een Windows print-progsel op draait.

Aangezien TS al aangeeft dat het uitfaseren van OS2 geen populair bericht zal zijn, neem ik aan dat er ook nog eens kritische data op draait, wat het risico alleen maar groter maakt.

Er gaat kritische data overheen ja, maar het is de aansturing van de hardware die het moeilijk maakt. Er zit een zogeheten BIF kaart in (oude ISA meuk). Denk dat dit sowieso niet valt te virtualiseren eigenlijk ..

Verder is OpenLDAP een leuke optie, maar vergt wel de nodige achtergrond. Misschien is bijv. de Fedora directory server een optie omdat deze (geloof ik) over meer management tools beschikt, wat de drempel voor het beheer lager maakt.

dankjewel, ik duik er eens op!

AD kan uiteraard ook. Maar pas sinds w3k R2 is AD rfc 2307 compliant (en dus kan je er Linux/Unix accounts inzetten). Bedenkt wel dat als je AD binnen je organisatie hebt, MS een zeer grote lepel in de pap heeft. Uiteraard jouw beslissing of dat positief of negatief is.

We zaten zelf te denken aan een ldap server m.b.v. SuSE Enterprise Linux 10.0 en ik heb momenteel al een server draaien. De koppeling met Fedora is er al, probeer nu Windows 2000 ermee te laten praten ..

ben me nu eens aan het verdiepen in pGina
bron: http://www.pgina.org

edit: nah, dat is niks. Erg lomp in Windows geknutseld en erg onnodig ook zodra je SLES 10 een PDC maakt i.c.m. Samba, dan kun je de Windows machines gewoon lid maken van het betreffende domein!

[ Voor 53% gewijzigd door Alfa Novanta op 02-10-2007 14:17 ]

Tuxie schreef op dinsdag 28 augustus 2007 @ 12:01:
Leuk project! Mag ik vragen waarom die OS/2 machines zo belangrijk zijn? Legacy applicaties + data die nergens anders te krijgen zijn?

't gaat om 2 machines die af-fabriek die destijds hiermee afgeleverd zijn. Er is geen onderhoudscontract afgesloten, maar er kwam zo nu en dan nog wel een service monteurtje bij. Geeeeeeeeen idee of er ook andere OSsen voor te fixen zijn... erg vaag allemaal!

edit: nope, geen ander OS dan OS/2 Warp, of je koopt maar een andere machine == $$$$$$

[ Voor 8% gewijzigd door Alfa Novanta op 02-10-2007 14:18 ]

simpel: ut doet ut, dus poten af!

Ik zal het progsel eens van dichterbij proberen te bekijken ..

edit: 'k heb al een stapel cd-rom's weten te bemachtigen

[ Voor 31% gewijzigd door Alfa Novanta op 28-08-2007 12:30 ]

zoiets ja

MrBarBarian schreef op dinsdag 28 augustus 2007 @ 13:12:
Dat is (te) kort door de bocht en vraagt om meer analyse. Een prettige eigenschap aan computers is dat ze kapot gaan (prettig, anders zou ons werk opraken ). Met zulke machines moet er over nagedacht zijn wat er gebeurt als ze kapot gaan.

Ze slaan hier regelmatig een kruisje dat er geen harde schijf de geest geeft. Dus één van de taken die ik mijzelf erbij wil geven is toch minimaal een ghost draaien van dergelijke bakken.

Zijn ze echt bedrijfskritisch, dan zal er toch minimaal een plan moeten zijn over wat er dan gedaan gaat worden (BCP, BIA stuff). Echter de 'dus afblijven' insteek gaat je vroeg of laat in dikke prut laten komen.

en toch loop je dat maar al te vaak tegen het lijf .. (vooral hier)

Daarbij heeft alles zijn afschrijftermijn, dus er moet zeker een indicatie mogelijk zijn over wanneer er vervanging/vernieuwing geplant is, en waneer de eerste stappen daarvoor genomen moeten worden.

da's een goeie! Ga ik zeker navragen!

edit:
ik heb gezien dat er voor deze productiemachines inmiddels een opvolger is die wél met Windows XP geleverd wordt. Ik denk alleen niet dat ze mij zo lief vinden als ik maar eventjes voorstel de complete machine bij het oud vuil te zetten

Ik heb de toko gemaild of er een upgrade mogelijk is naar e.g. Linux of Windows.

Ondertussen ga ik eens met VMware server en OS2 prutsen en het betreffende progsel.

edit: VMware wordt niks

[ Voor 15% gewijzigd door Alfa Novanta op 02-10-2007 14:19 ]

rapture schreef op dinsdag 28 augustus 2007 @ 14:04:
Dan kan je de schijven ghosten, een andere ouwe bak pakken, terug erop ghosten en paar jaren verder gaan.

Zolang bv een rij CNC-freesmachines blijven werken, dan gaat men het verder opgebruiken. Dat kan even goed 10 à 20 jaar verder blijven draaien, af en toe de computer oplappen. Een machine over 5 jaar afschrijven lijkt duur, maar over 10 à 20 jaar afschrijven of zelfs machines 2 à 3 keer afschrijven reduceert de kosten.

Juistem, zo gaat dat hier dus ook. En daarnaast kopen ze deze machines al niet eens spliksplinternieuw maar 2e hands (alleen een beetje dom dat ze niet verder keken dan dat OS2 spul). Verdere manko is dat er dus geen Ghost images zijn van de OSsen. Ik kan dus voorlopig nog wel even vooruit hier

Ik ben er al wel achter dat nieuwe machines kopen geen optie is daar ze momenteel nog niet afgeschreven zijn. Een OS-upgrade wil mijn chef wel overwegen, dus daar gaan we actief naar informeren wat er mogelijk is.

Ondertussen pruts ik nog even verder met mijn VMware. Eén nadeel nog, de hardware in de PC, een zogeheten BIF kaart die de connectie verzorgt met de machine.

[ Voor 18% gewijzigd door Alfa Novanta op 28-08-2007 15:26 ]

Even een kleine update ..

Uitgangspunt is dat de boel onderhoudsvriendelijk moet zijn, dus als het gemakkelijk via een GUI kan (e.g. Fedora met ldap authtool) dan is dat wel zo mooi. Liever zo min mogelijk 'gepruts' onder water in allerlei config files waarbij je het overzicht gemakkelijk kwijtraakt ..

Met dit in het achterhoofd ..

De SLES 10 server draait ondertussen als een tierelier.
LDAP geconfigureerd en users/groepen aangemaakt. Tevens de machine via Samba als PDC (Primary Domain Controller) ingesteld met het oog op de windows machines.
Binnen SLES 10 is alles d.m.v. GUI's in een handomdraai voorelkaar! Hulde!

Even m.b.t. de authenticatie .. hier wordt het allemaal wel verwarrend

Fedora kan moeiteloos met de SLES 10 server praten en de authenticatie verloopt via samba/winbind. Dit omdat deze ook gebruikt wordt bij de WIndows machines zodra je die aan het domein toevoegd. Compleet met roaming profiles
De wachtwoorden zijn hiermee mooi synchroon! Verander je hem op de Windows machine in sjaak1, dan geld dat ook meteen op de Linux machines. Verander je hem daarop dan in Sjaak2 moet je de volgende keer in Windows ook Sjaak2 gebruiken.

We hebben hier ook oudere/andere distributies, zoals Redhat 9 of SuSE 8.2 die niet out-of-the-box samba/winbind ondersteunen maar alleen ldap. Als je dan hier je wachtwoord verandert, geldt het alleen voor de linux machines, niet voor de Windows machines, die gebruiken dan nog het oude wachtwoord.

Iemand die hier nog iets aan toevoegen kan!?

Waar ik momenteel nog over struikel is de wachtwoord policy.
E.g.

• nieuwe gebruikers moeten direct het ww wijzigen
• ww minimaal 8 characters
• ww mag geen standaard woordenboek woord zijn
• maximale levensduur ww = 30 dagen
• enz..

Onder SLES 10 kun je dit éénvoudig instellen vanuit de LDAP configuratie, maar het is mij niet duidelijk in hoeverre dit overeenkomt/over genomen wordt door de Samba backend .. en de hiermee verbonden Windows cliënts ...

Een deel zul je altijd de-centraal moeten regelen, zoals screensavers, die altijd lokaal moeten worden geactiveerd na 5 minuten van inactiviteit, maar voor de rest zou je zoveel mogelijk ww-regels centraal vanaf de Ldap server willen beheren/configureren.

Iemand die weet hoe dit in elkaar steekt en het beste te configureren is?

Volgens mij zijn er hier niet zoveel mensen hiermee bezig ofwel ?! Pleur een AD server neer van MS en hoppaa!