Ich muss Dir widersprechen.
Ich hab mich gestern Abend ein wenig in die Materie eingelesen:
Die Rolle "Active Directory Lightweight Directory Services" auf dem Server brauchts nur, wenn die Client-App zusätzliche Attrbute benötigt, die im Active Directory standardmäßig nicht existieren. Anstatt also für jede Client-App, die sowas will, das Schema des AD zu erweitern, setzt man die ADLDS auf und kann für jede Client-App eine eigene Instanz des LDS aufsetzen mit den jeweiligen zusätzlichen Erweiterungen.
Das ist schon sehr speziell und geht weit über das geforderte hinaus.
Grundsätzlich ist jedes AD auch über LDAP ansprechbar. Man muss nur wissen wie. Ich hab's gestern mit viel Lesen und noch mehr rumprobieren dann doch noch hinbekommen:
- ldap ok.PNG (22.86 KiB) 3785 mal betrachtet
Ums nochmal klarzustellen: Ich habe auf dem Server deswegen keine weiteren Rollen oder Features installieren müssen!!!
Die entscheidenden Änderungen habe ich gelb markiert.
1) Im Bind- und Suchpfad ist
users natürlich ein "
common name" (CN) und keine "
Organization Unit" (OU).
2) Beim Benutzernamen zum Testen der Anmeldung will LDAP keine Domain vorne dran stehen haben, also nur anderl und nicht habnet\anderl. Logisch, da ich oben CN las Bindpräfix angegeben hatte.
Wenn's recht ist, hole ich an der Stelle mal ein bißchen aus und dokumentiere mal mein frisch erworbenes (Halb-)Wissen. Es geht hier zwar konkret um die Anbindung meines LaserJets, aber andere Clients, die sich per LDAP am Server anmelden wollen, sollten ähnlich funktioneren. Vielleicht hilft's ja mal dem ein oder anderen weiter:
LDAP-Server Adresse und Port:
Die Server-Adresse ist logischerweise die Adresse des DC. Der Port ist 389, bzw. 636 bei SSL-Verschlüsselung
Bindpräfix für Gerätebenutzer-Anmeldeinformation:
Hiermit wird festgelegt, als welches LDAP-Attribut der beim Login vom Anwender eingegebene Name interpretiert werden soll.
CN steht für common name und entspricht in meinem AD dem
username.
Bind- und Suchpfad:
Hier muss man LDAP angeben, wo es überhaupt im AD suchen soll. Ich möchte, dass es innerhalb der Domänen-Ordners "users" sucht. Bei größeren Active Directories könnte man zusätzlich z.B. über Organization Units (OU) eingrenzen. Bei mir aber nicht notwendig.
Die LDAP-Notation will hier den
Distinguished Name. Den kann man sich ganz einfach aus den Eigenschaft von users im
Active Directory-Benutzer und -Computer - Tool im Reiter "Attribut-Editor" ansehen
Deswegen:
CN=Users, DC=habnet, DC=local
- cn distinguished pfad.PNG (20.5 KiB) 3785 mal betrachtet
Zuordnung des mit diesem Attribut eingegebenen Namen:
Beim Suchen der Benutzerinformationen in der LDAP-Datenbank wird der Inhalt des in diesem Feld angegebenen Attributs mit dem Benutzernamen verglichen, der während der Authentifizierung eingegeben wurde. Dieses Attribut ist in der Regel mit dem Bind-Präfix identisch =
CN
D.h. also, das was ich beim Logon als Anmeldename (CN) eingebe, wird von LDAP mit den normalen Benutzernamen (CN) im AD abgeglichen.
Bis hierher war's relativ allgemein. Ab jetzt wird's Laserjet spezifisch:
E-Mail-Adresse des Benutzers mit diesem Attribut abrufen:
Der LaserJet will auch die Email-Adresse des angemeldeten Users abfragen. Für den eigentlichen Anmelde-Prozess nicht zwingend erforderlich, aber der LaserJet benötigt diese Information für weitere Funktionen. Die Email-Adresse ist im Attribut
mail gespeichert. Auch das findet man im
Active Directory-Benutzer und -Computer - Tool raus, wenn man per Doppelklick die Eigenschaften eines users öffnet und in den Reiter "Attribut-Editor" wechselt.
Namen des Gerätebenutzers mit diesem Attribut abrufen:
Auch diese Information ist nicht für den eigentlichen Anmeldeprozess, sondern für die spätere Verwendung. Damit kann man festlegen, mit welchen Attribut der LaserJet den Anzeige-Namen füttert. Hier könnte man genauso gut CN angeben. Dann würde der LaserJet in einer späteren Anwendung den angemeldeten User auch nur mit seinem Usernamen ansprechen können. Da ich hier
displayName angegeben habe, kennt der LaserJet somit auch den vollen Namen (Vor- und Zuname) des angemeldeten Benutzers.
