Automatisering av nye brukere mot AD - 2 (PHP + OpenLDAP)

2 innlegg i emnet

Skrevet

Hei.

Jeg jobber i et firma hvor vi drifter nettverk for forskjellige kunder, og en av tingene som er tidkrevende er brukeradministrasjon. Jeg har laget et VBScript som oppretter brukere automatisk basert på input fra regneark, og det fungerer. Men det er ønskelig med et mer interaktivt og fleksibelt system, hvor vi (vi som administrerer) kan søke opp og legge inn informasjon i AD. Og helst noe vi kan kjøre uten å nødvendigvis logge oss inn på kundens plattform.

Nå har jeg litt kjenskap til html og php så jeg har lyst å få til et web-basert verktøy, og er forsåvidt godt på vei. Jeg har satt opp en Apache-webserver og laget en web-applikasjon som vha. PHP og OpenLDAP kobler til de forskjellige kundes AD (dette er seffølgelig bak en brannmur og kan kun nåes internt her jeg jobber). Har laget til slik at et skjema fylles ut og bruker opprettes basert på dette, gruppemedlemskap blir også satt opp. Men ... her stopper det litt opp, nye brukere er automatisk medlem av gruppen "Domain Users", men enkelte brukere skal ikke være med der. Siden "Domain Users" også står som "Primary Group" får jeg ikke tatt bruker ut av den. Dette løses vel ganske greit ved å sette en annen gruppe som "Primary Group", men jeg kan ikke se hvordan dette gjøres vha. OpenLDAP.

Det finnes forsåvidt et parameter i OpenLDAP brukerobjektet som heter "primarygroupid" hvor "Primary Group" angis, men har ikke helt funnet ut hvordan dette fungerer. En annen ting jeg har merket meg er at gruppen som er "Primary Group" ikke er med i "memberof" for brukere, jeg kan derfor ikke bare ta "Domain Users" ut av gruppelisten til brukeren.

Noen som har løsning på det med "Primary Group" eller en elegant workaround?

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Når det gjelder AD kan jeg ikke bidra utover å rettlede deg til ressurser for hvordan GNU/Linux systemer kan integreres i AD og Exchange miljøer. Når det gjelder OpenLDAP er historien en annen, siden dette er åpen programvare. Ditt eksempel er et klassisk eksempel på hvordan en proprietær modell, hvor proprietær leverandør ( i dette tilfellet Microsoft) velges, leder deg inn i et miljø hvor du ender opp med å utvikle til dels kompliserte verktøy selv. Det du forsøker å gjøre er allerede gjort, du trenger bare sette opp en linux-boks som kjører OpenLDAP serveren, så installerer du web-interfacen webmin på den. Da tror jeg du har all administrering du trenger for OpenLDAP (og alt annet mellom himmel og jord du trenger å administrere på en server). Skulle du fortsatt mangle noe, så vil jeg oppfordre deg til å bidra på webmin for å legge til det du trenger der, da vil du også kunne oppleve at andre utviklere fatter interesse og bidrar. Jeg skjønner ikke helt hva gruppeproblemet ditt er, men det kan skyldes at det er AD spesifikt. Du står helt fritt i å opprette grupper, og styre gruppetilhørighet i OpenLDAP.

Generelt vil jeg også anbefale bruk av Python for skripting, men jeg skjønner at Excel gjerne tvinger på deg VB.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive