Anonim LDAP lekérdezés AD-ból, levelezőkliensek számára

Microsoft Windows

Üdv!

Hamarosan meg kell szüntetni egy Echange 2003 levelezőszervert, amit túlnyomórészt Outlook-kal használnak a hivatalban.
Emiatt sajnos az Exch által szolgáltatott Golbal Addressbook megszűnik. :(
Mivel üzembehelyezendő Linux levelezőszerver ezt nem szolgáltatja, ezért azt szeretném megkérdezni, hogyan tudnám pl. LDAP alapon, biztonságos módon lekérdezni az Active Directory-ból a neveket és email címeket?
Anonim lekérdezés azért lenne jó, hogy ne kelljen admin-nal vagy más magasabb userrel az AD-ben kérdezősködni. Persze ha anonymous bind nem megy, akkor egy mezei user erre a célra szintén megfelelne.

Az AD nálunk a lehető legegyszerűbb struktúrájú, csak az alapértelmezett konténerek vannak a fában, a felhasználók, security és distribution group-ok az "Users" mappa alatt vannak.
Konkrétan csak a felhasználók, csoportok nevei és e-mail címei kellenének belőle, hiszen ez alapján tudnak emilezni ugyebár. :O)))
Konkrétan azok a mezők a "Properties" lapról, ahol ezek meg vannak adva.

A kérdés másik része merészebb elképzelést takar, nevezetesen, hogy esetleg ne kelljen mindenkinél körbejárva egyenként beállítani az Outlook-ok és Outlook Express-eknél az LDAP címtárakat és lekérdezéseket, ki lehetne ezt dobni GPO-ból is nekik? Ez kevésbé fontos, nem vagyok rest körbemenni, de azért érdekelne. ;)

Valaki csinált már valami hasonlót?

Köszönöm a segítséget előre is!

  • 2762 megtekintés

( csabyka v | 2008. 04. 03., cs – 08:59 )

gpo bol kitudod dobni.


--ha magyar MAC-et akarsz--

( zolo | 2008. 04. 03., cs – 09:51 )

Hali!

Én nem dobnám ki azt a jó kis címtárat, illetve a GPO egy wines hálózatban igen nagy kincs, sztem.
Max megcsinálod LDAP alapúra a levelezőszervert Linuxon.

Hali!

Az AD nem is lesz "kidobva" csak az Exchnage _sajnos_, de az Exchange guru kollégától tudom, hogy a Global AddressBook az Exchange nélkül nem műxik (bár működne). Global AddressBook-ja csak azoknak az usereknek van, akik az Otulook-ot úgy használják, hogy a postafiókjuk Exchange fióknak van beállítva.
A Linux gépet nem én építettem, és a jelenlegi konfigurációt nem módosíthatom, ez rendes UNIX/POSIX userek-ként tárolja a felhasználókat.
Ezért is gondoltam arra, hogy egyzserűen LDAP címtárnak kéne felvenni a tartományvezérlőt és sima LDAP lekérdezéssel kinyerni a neveket és az email címeket.
Ha rajtam múlott volna, akkor: OpenLDAP+GoSA+EGroupware
De nem rajtam múlott...

---
Mézi 4Ever!

Hali,
nekem alapvetően nincs bajom az ms serverekkel, foleg ha intraneten helyezkedik el:)
Komolyabbra forditva a szot, elozo munkahelyemen volt az a felallas, hogy intranetes weboldal es squid autholt AD-bol, akkor mar mukodhetne a levelezes is onnan.
Nyilvan akkor olyan problemakat vetne fel, hogy ha ennyire kozpontositott egy infrastruktura, akkor köllene redundancia is...
Nem tudom milyen, mekkora cegrol van szo, csak jo ilyenre is gondolni.
A nem lehet modositani meg sztem rossz hozzaallas...

Rossz hozzáállás: az egész rendszerterv borul, ha belenyúlunk, amit nem szeretnénk, ennyi. Nem rajtam múlik, múlott...

A topikban igazán "csak" azt szerettem volna megkérdezni, hogy hoygan kell AD-ből LDAP-pal lekérdezni az "User" konténerben lévő objektumok két mezőjét, és hogy valaki csinált-e már ilyet. :O)))

Egyébként egy 100-120 fős önkormányzati hivatalról van szó, ha a méreteket szemléltetném.

Még1x:
- Hogyan férek hozzá a tartományvezérlőhöz LDAP-pal?
- Milyen lekérdezést írjak az Outlook-ba, Outlook Express-be?
- Bónusz-ként megkérdeztem, hogy a lekérdezés terjeszthető-e GPO-val, erre pozitív választ kaptam. :O)))
Igazándiból csak ennyit szerettem volna, lehet "túlrizsáztam" a dolgot.

PS: Nekem sincs semmi bajom az Exchange-el, sajnos azt sem én döntöttem el, hogy menjen.

---
Mézi 4Ever!

Hehe, a looser support már az agyamra ment ma, észre sem vettem! :O)))

Akkor csak a lekérdezés maradt nyitott kérdés, illetve, hogy milyen privilégiumú user bind-oljon, esetleg anonymous bind lehetséges-e?
A "hogyan férhetek hozzá..." ez utóbbira vonatkozott igazán. ;)

---
Mézi 4Ever!

ha ezt most jól értem akkor a létező small business serverünkön le tudom kérdezni az LDAP fát?
és hogy néz ki ez kb?
még egy kicsit kezdő vok a dologban, most egy ideje itt a lehetőség előttem hogy a céges hálózatot jobban megismerjem.
rendszergazda mellett tanulgatok, sőt feladat is lenne. a létező sbs2003-t leváltani és/vagy kiegészíteni, vmilyen linux disztribbel.
a cégnél jelenleg kb.70 user van, levelezni exchange-el levelezünk. a felhasználó licencek ugye nem egy költségbarát dolgok microsoftéknál, így jutottunk erre a döntésre.
1,5-2hónapja mélyedtem bele ezek rejtelmeibe, úgy, hogy linuxot előtte nagyon keveset használtam, természetesen konzolon. bár sztem az alapok megvannak.
sok-sok how-to-t, faq-t, angol, magyar leírásokat olvastam, és nagyjából tisztul is a kép.
Az tuti hogy a már létező rendszert kellene erre felhasználni-kiegészíteni LDAP+Samba+Postfix vagy akármivel.
Egyelőre LDAP az ami gondot okoz nálam. Legfőképpen az, hogy a leírások, how-to-k, nem taglalják az elvégzett műveletek ellenőrzését, sőt azt sem írják le, hogy hogyan is kellene ezt használni?
leírom pár szóban hogy mi is a felállás nálunk:
most egy kis gépre telepített Ubuntu szerver (8.04) van telepítve fix IP-vel (192.168.16.4) belső hálóra.
userek AKARMI domainbe (192.168.16.2) jelentkeznek be (DHCP oszt nekik címet), és AKARMI munkacsoportba kerülnek.
ha jól értelek titeket akkor az Ubuntu szerveren ha létrehozom az LDAP fát AKARMI domainnel (host 192.168.16.2 base dc=AKARMI)
és egy olyan userrel aki már szerepel SBS2003-on, akkor így bejelentkezik Ubuntu szerverre is? hogyan is tudom ezt leellenőrízni???
nem lehet valahogy bemigrálni a már létező LDAP fát, vagy replikálást kellene beállítani rá? vagy mit?
mert nekem most ez jön le. lehet hogy bődületes nagy baromságokat írok és ezért elnézést mindenkitől, de sajnos csak magamra számíthatok, meg rátok, és barátomra guglira.
szóval jól jönne egy kis segítség tőletek!
előre is köszönöm!

apeelme