Toon posts:

Windows client authentication tegen 3rd party LDAP?

Pagina: 1
Acties:

Vraag


  • Carharttguy
  • Registratie: juli 2010
  • Laatst online: 23-11 21:45
Hallo iedereen

Even situatieschets: Ik ben werkzaam in een middelbare school. Van oudsher zijn we zoals bijna alle scholen vrij Windows gebasseerd. Echter zijn we een goede 5 jaar geleden zoveel mogelijk richting het Google ecosysteem getrokken, omdat dit aan quasi al onze eisen voldoen, maar wel een stuk goedkoper is voor de school én de leerlingen. We hebben ondertussen ook meer Chromebooks lopen dan Windows laptops/PC's. Wij hebben geen enkele intentie om nog nieuwe Windows machines aan te kopen, alles wordt systematisch vervangen door Chrome gebaseerde systemen. (Maar dit is wel een traag proces, omdat de budgetten vrij beperkt zijn.)

Waar wij vroeger onze AD als backend voor bijna alles gebruikten, doen we nu meer met Google, zeker sinds Google hun LDAP service heeft opengesteld. Onze PaperCut printoplossing authenticeert users via de Google LDAP, Freeradius verzorgt onze Wifi authenticatie via Google LDAP ipv de Windows Network Policy Server.

Maar omdat we gebruik maken van een Windows domein blijven gebruikers met hun domain credentials zitten (die dus verschillend zijn van hun Google credentials).
Ik weet dat Google Cloud Directory Sync bestaat, maar die synced enkel van AD naar Google, niet omgekeerd.
De limiet van 20 tekens bij Windows AD users belet mij ook om de gebruikersnamen van Google over te nemen naar de AD. En zelf als ik die zou kunnen ontwijken zit ik nog met de wachtwoorden die ik niet kan syncen.

Daarom had ik het idee om onze Windows client niet meer tegen de AD te laten praten voor authenticatie, maar tegen een andere LDAP (Google dus). Maar dit gaat niet zoals ik hoopte. In MacOS en Linux lijkt dit evident. Maar als ik wat opzoekwerk doe, vind ik alleen maar referenties van jaren geleden die een omweg via SAMBA maken, of een programma pGina waarmee je een soort van 3rd party authenticatie kan doen, maar al jaren niet meer geüpdated is.

Heeft iemand een idee in welke richting ik moet zoeken om een uitdovend Windows park zo goed mogelijk te beheren, en toch zoveel mogelijk richting Google ga omdat dit veel beter aansluit bij de rest van onze systemen en veel dichter bij de staat bij de user experience van onze leerkrachten en leerlingen.

Alle info, ideeën, opmerkingen, ervaringen... zijn van harte welkom!

Alle reacties


  • True
  • Registratie: april 2011
  • Niet online

True

Dislecticus

Kijk eens naar FreeIPA, misschien dat je daarmee een werkbare brug kunt bouwen.

  • PolarBear
  • Registratie: februari 2001
  • Niet online
De limiet van 20 tekens bij Windows AD users belet mij ook om de gebruikersnamen van Google over te nemen naar de AD.
De SamAccountName is gelimiteerd tot 20 tekens, maar sinds Windows 2000 heb je de User Principal Name om in te loggen en die is quasi onbeperkt.


Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee