MS Active Directory und linux(samba)
Hallo! Ich habe hier u.a. zwei Fileserver under Suse7.2 am laufe, die per NFS SPARC/Solaris Clients versorgen, zum anderen ca. 140 Windows 95/98/NT Clients. Die Anmeldung erfolgt über einen NT Domainrechner, Samba überlässt im die Authentifizierung. Funktioniert soweit. Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-( Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln? Genau so hatte ich ursprünglich eine zweistufige Firewall mit zwei getrennten Linuxrechnern und DMZ dazwischen geplant. Davon wollen sie die Innere auch gleich einkassieren, weil das alles so schön passt und man die Ip-Adressen, die Zugangsrechte zum Internet usw. alles automatisch mit Windows von diesem Rechner aus machen kann. Ich könnte wetten, wenn ich nicht noch die SPARC-Clients hätte, dann hätte er die Fileserver gleich auch noch in sein "Konzept" mit eingebunden:-( Habt ihr ein paar gute Ratschläge für mich? Bin stinkesauer auf den Kamerad... -- mfg Peter Küchler, Planungsverband Ballungsraum Frankfurt/Rhein-Main
Peter Kuechler
Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-(
Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
Beileid :( ... Leider kann ich Dir zu Active Directory nichts gross sagen. Tut mir leid.
Genau so hatte ich ursprünglich eine zweistufige Firewall mit zwei getrennten Linuxrechnern und DMZ dazwischen geplant. Davon wollen sie die Innere auch gleich einkassieren, weil das alles so schön passt und man die Ip-Adressen, die Zugangsrechte zum Internet usw. alles automatisch mit Windows von diesem Rechner aus machen kann.
Ähm ... Wenn ich Dich richtig verstanden habe (Bitte sag mir, dass es nicht so ist!!) wollen die: 1) Keine DMZ (D.h. von aussen zugängliche Server sind innerhalb des lokalen Netzes? Und als Server soll gar IIS eingesetzt werden?) 2) Die Firewall / Router zum Netz soll auf Windows liegen? Zu beiden Dingen muss ich sagen: Ich bin ratlos. a) Ich würde NIE Windows als Firewall für ein Netzwerk nehmen. Begründung: Je grösser und komplexer etwas ist, desto grösser sind die Fehlermöglichkeiten. Eine Firewall bei mir ist eine Firewall. Ich gebe lieber etwasmehr Geld aus und kaufe eine embedded Lösung oder ich baue ein minimales System auf. Auf keinen Fall ist die Firewall veränderbar! (Wenn die Firewall gehackt wird, dann können alle Regeln nach belieben von den Angreifern geändert werden!) Also eine Read-Only Lösung muss her. www.fli4l.de ist eine Lösung (für dich weniger geeignet) und SuSE Firewall Lösung oder sentrycd oder so schon eher was gutes! b) Eine DMZ ist eine Gefahr. Ein IIS sowieso! Irgend wer hat vor kurzem ja geschrieben, wie man den IIS sicher bekommt (So ohne Netzverbindung in einem geschlossenen Behälter tausende Meter unter Wasser umgeben von Schlamschichten mit über 100 m Dicke und vielen Giften, so dass da auch wirklich nie ein lebewen dran kommen kann) :-)) Jeder Zugriff von Aussen kann ein Angriff sein. Selbst im Apache mach ein Bug drin sein. Irgend eine Anfälligkeit halt. Auf diese Server kann von aussen zugegriffen werden. Auf das interne Netz darf aber NIE ein Zugriff von aussen kommen. Zugriffe lasse ich maximal von innen nach aussen zu und auch dann am besten nur zu bestimmten Servern (z.B. Zugriff nur via Proxies). Und dann scanne ich alle Zugriffe, die so auflaufen. (Nimda, Code Red und wie sie alle heissen sollte doch noch ein begriff sein! So fahrlässig können die doch gar nicht handeln wollen! Sag das mal deinem Chef!)
Ich könnte wetten, wenn ich nicht noch die SPARC-Clients hätte, dann hätte er die Fileserver gleich auch noch in sein "Konzept" mit eingebunden:-(
Naja - dagegen spricht ja nichts. Es mag durchaus auch Gründe für Windows geben. Aber in gewisse Bereiche gehören sie absolut nicht! Wie kann ich einen Rechner als Firewall nutzen wollen, wenn der Hersteller behauptet, dass sich selbst der Webbrowser nicht entfernen lässt. Es MUSS!!! ein minimales System sein! Und das kriegt man mit W2K oder XP 100% NICHT hin. Ein Embedded Windows würde ich zur Not akzeptieren, aber doch nicht so eine Schrott Lösung. Spielconsole und Firewall in einem Rechner passt nunmal nicht! Ich würde dagegen nicht zu sehr protestieren (Weil Du damit nicht zuviel erreicht). Bleib ruhig und sag dem Chef ganz deutlich, was für Bauchschmerzen Du damit hast! Am besten schriftlich! Bitte Ihn, zur Not eine weitere unabhängige Meinung einzuholen. Symantec hat z.B. auch so embedded Devices als Firewall und so im Angebot. Er kann sich ja z.B. von denen beraten lassen. Das kostet nichts und er kriegt - wenn er geschickt ist - auch eine Bewertung bzw. Gegenargumente zu Windows als Firewall. (Und unter uns gesagt: Ich würde eine solche Professionele Firewall einer Linux-Firewall vorziehen. Die Linux-Lösung erzeugt in mir immer das Gefühl des "gebastelten" / "Provisoriums". Da würde ich bei wichtigen Dingen nicht ruhig schlafen können. Hinzu kommen die Update- Intervalle. Linux ist active work. Wie oft kommen neue Kernels raus (stable!!! Ich rede nicht von 2.5.x oder so!!!). Wie viele Updates kommen da so im Jahr? Sind Dinge, die ich z.B. bei AIX nicht ganz so massiv habe. (= Weniger Arbeit = Weniger Kosten) Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Am 26.04.2002 hat Konrad Neitzel folgendes geschrieben:
Peter Kuechler
schrieb: Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-( Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
Beileid :( ... Leider kann ich Dir zu Active Directory nichts gross sagen. Tut mir leid.
Auch von mir ein Herzliches, ich habe zwar mal den MCSE gemacht mmh aber sehr viel ist da nicht hängen geblieben...
Genau so hatte ich ursprünglich eine zweistufige Firewall mit zwei getrennten Linuxrechnern und DMZ dazwischen geplant. Davon wollen sie die Innere auch gleich einkassieren, weil das alles so schön passt und man die Ip-Adressen, die Zugangsrechte zum Internet usw. alles automatisch mit Windows von diesem Rechner aus machen kann.
Ähm ... Wenn ich Dich richtig verstanden habe (Bitte sag mir, dass es nicht so ist!!) wollen die:
Ich denke du hast es richtig verstanden. Aber so etwas kenne ich auch, so wenig wie möglich ausgeben und auf sowenig Rechner wie möglich ! [...]
b) Eine DMZ ist eine Gefahr. [...] mmh also entweder wir haben da völlig unterschiedliche Meinungen oder du hast dich verschrieben , denn da stehen würde _KEINE_ DMZ würde ich das verstehen aber so ? gerade mit einer Zweistufigen Firewall ...
[...]
Spielconsole und Firewall in einem Rechner passt nunmal nicht!
Daumen Hoch !
Ich würde dagegen nicht zu sehr protestieren (Weil Du damit nicht zuviel erreicht). Bleib ruhig und sag dem Chef ganz deutlich, was für Bauchschmerzen Du damit hast! Am besten schriftlich! Bitte Ihn, zur Not eine weitere unabhängige Meinung einzuholen. Symantec hat z.B. auch so embedded Devices als Firewall und so im Angebot. Er kann sich ja z.B. von denen beraten lassen. Das kostet nichts und er kriegt - wenn er geschickt ist - auch eine Bewertung bzw. Gegenargumente zu Windows als Firewall.
Ich denke auch unabhängige "Beratungen" sind der beste weg ihm das klar zu machen. Ich sollte selber ein Firewall Konzept als Auftrag umsetzen, das mein Chef verzapft hatte. Ich habe ihm von anfang an gesagt, das es schwachsinn ist, links gegeben, docustellen rausgesucht usw. hat nichts gebracht, dann habe ich aus "zufall" einem gemeinsamen Bekannten, der bei einem großen Provider im Bereich Sicherheit tätig ist von dem ganzen erzählt. Nachdem der mit meinem Chef geredet hatte, war ihm dann auch klar das es Schwachsinn ist.
(Und unter uns gesagt: Ich würde eine solche Professionele Firewall einer Linux-Firewall vorziehen. Die Linux-Lösung erzeugt in mir immer das Gefühl des "gebastelten" / "Provisoriums". Da würde ich bei wichtigen Dingen nicht ruhig schlafen können. Hinzu kommen die Update- Intervalle. Linux ist active work. Wie oft kommen neue Kernels raus (stable!!! Ich rede nicht von 2.5.x oder so!!!). Wie viele Updates kommen da so im Jahr? Sind Dinge, die ich z.B. bei AIX nicht ganz so massiv habe. (= Weniger Arbeit = Weniger Kosten)
Dem kann ich nur so halb zustimmen. Vor allem wenn ich mir die Emb. Linux sachen zB von Pyramid anschaue, auch wenn ich die Kisten nie auf Automatisches Update einstellen würde. Aber ich finde der große Vorteil ist bei LInux Kisten, ich kann selber etwas machen. Bei ner Cisco PIX oder so sieht das schon anders aus, da bin ich doch stark eingeschränkt... just my coins -- Jan Doberstein | jan@nex-ware.net BF46 5D6C 1EB7 6ED8 90C5 F2A9 C9CE 9640 33FF B4B8
Am Fre, 26 Apr 2002 schrieb Jan Doberstein:
Am 26.04.2002 hat Konrad Neitzel folgendes geschrieben:
Peter Kuechler
schrieb: Genau so hatte ich ursprünglich eine zweistufige Firewall mit zwei getrennten Linuxrechnern und DMZ dazwischen geplant. Davon wollen sie die Innere auch gleich einkassieren, weil das alles so schön passt und man die Ip-Adressen, die Zugangsrechte zum Internet usw. alles automatisch mit Windows von diesem Rechner aus machen kann.
Ähm ... Wenn ich Dich richtig verstanden habe (Bitte sag mir, dass es nicht so ist!!) wollen die:
Ich denke du hast es richtig verstanden. Aber so etwas kenne ich auch, so wenig wie möglich ausgeben und auf sowenig Rechner wie möglich !
[...]
b) Eine DMZ ist eine Gefahr. [...] mmh also entweder wir haben da völlig unterschiedliche Meinungen oder du hast dich verschrieben , denn da stehen würde _KEINE_ DMZ würde ich das verstehen aber so ? gerade mit einer Zweistufigen Firewall ...
[...]
Trotzdem ist eine DMZ ein Gefahr, weil Du von außen zugreifbare Dienste laufen läßt. Es ist eine Gefahr, die man eingehen muß, ok. Und mit einer zweistufigen Lösung ist es vielleicht die beste mögliche Lösung, aber trotzdem muß man sich bewußt sein, daß da ein potentieller Schwachpunkt liegt. Und deshalb sollte man sich tunlichst davor hüten, zwischen DMZ und eigenem Netz keine Firewall mehr zu haben... Gruß Christoph -- Christoph Maurer - 52072 Aachen - Tux#194235 mailto:christoph-maurer@gmx.de - http://www.christophmaurer.de Auf der Homepage u.a.: Installation von SuSE 7.0 auf Notebook Acer Travelmate 508 T, Elektrotechnik an der RWTH Aachen
Hallo Liste!
Christoph Maurer
Am Fre, 26 Apr 2002 schrieb Jan Doberstein:
Am 26.04.2002 hat Konrad Neitzel folgendes geschrieben:
b) Eine DMZ ist eine Gefahr. [...] mmh also entweder wir haben da völlig unterschiedliche Meinungen oder du hast dich verschrieben , denn da stehen würde _KEINE_ DMZ würde ich das verstehen aber so ? gerade mit einer Zweistufigen Firewall ...
[...]
Trotzdem ist eine DMZ ein Gefahr, weil Du von außen zugreifbare Dienste laufen läßt. Es ist eine Gefahr, die man eingehen muß, ok. Und mit einer zweistufigen Lösung ist es vielleicht die beste mögliche Lösung, aber trotzdem muß man sich bewußt sein, daß da ein potentieller Schwachpunkt liegt. Und deshalb sollte man sich tunlichst davor hüten, zwischen DMZ und eigenem Netz keine Firewall mehr zu haben...
Ich meinte, dass keine DMZ eine Gefahr ist. Ich habe mich verschrieben. Natürlich ist eine DMZ selbst kein "Vertrauenswürdiger Ort", weil dort ja Zugriffe von aussen stattfinden und somit unbekannte etwas verändern könnten. Genau aus dem Grund DARF MAN NICHT auf eine zweite Firewall verzichten. Wenn die dies so wirklich umsetzen sollten, dann sollten die bloss aufpassen, dass sie keinen Ärger kriegen. Ich bin da eine Person, die da sehr konsequent ist. Eine solche Durchführung ist in meinen Augen schlicht grob fahrlässig und entsprechend fällt die Haftung des Entscheiders aus. Ob da ein Gericht mitspielen würde, weiss ich nicht, denn ich bin kein Jurist, aber mir als Chef wäre dieses Eisen deutlich zu heiss! Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Jan Doberstein
Dem kann ich nur so halb zustimmen. Vor allem wenn ich mir die Emb. Linux sachen zB von Pyramid anschaue, auch wenn ich die Kisten nie auf Automatisches Update einstellen würde. Aber ich finde der große Vorteil ist bei LInux Kisten, ich kann selber etwas machen. Bei ner Cisco PIX oder so sieht das schon anders aus, da bin ich doch stark eingeschränkt...
Naja - Du kannst da viel mehr machen. Auch viel mehr Fehler! Die Gefahr ist mir einfach viel zu hoch. Es geht halt um Sicherheit und da verzichte ich (wenn möglich) auch gerne mal auf etwas Flexibilität. Jeder Mensch macht Fehler (Zum Glück bin ich ein Halbgott *lol*), und daher ist es wichtig, dass gut getestet wird. Wie sehr kannst Du Deine Änderungen testen? Das, was andere rausgeben, wird besser gestestet, denn es geht ja dann in Produktion. Und dann wird es nicht nur bei mir "eingesetzt" sondern bei ganz vielen anderen auch. Und ein Problem taucht dann mit grosser Wahrscheinlichkeit erst dann auf, wenn es schon bekannt ist und daher gefixt wurde (oder es Workarunds gibt). Dies ist auch zusätzliche Sicherheit! Und vor allem: So eine kommerzielle Firewall wird hoffentlich auch Ansprechpartner haben, über die gewisse Punkte geklärt werden können. Wenn Cheffe symantec einsetzt, dann greife ich zum Hörer, erzähle den Stuss dem Spezi und dann verbinde ich mit dem Chef! Was ich dem Chef sage hat keine Wirkung. Ist in jeder Firma so. Was ein Externer sagt, hat viel mehr Gewicht. Erlebe ich immer wieder (Ich bin halt freiberuflich viel unterwegs :) ). Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Am Fre, 2002-04-26 um 07.30 schrieb Konrad Neitzel:
Peter Kuechler
schrieb: Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-(
Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
Beileid :( ... Leider kann ich Dir zu Active Directory nichts gross sagen. Tut mir leid.
Genau so hatte ich ursprünglich eine zweistufige Firewall mit zwei getrennten Linuxrechnern und DMZ dazwischen geplant. Davon wollen sie die Innere auch gleich einkassieren, weil das alles so schön passt und man die Ip-Adressen, die Zugangsrechte zum Internet usw. alles automatisch mit Windows von diesem Rechner aus machen kann.
Ähm ... Wenn ich Dich richtig verstanden habe (Bitte sag mir, dass es nicht so ist!!) wollen die:
1) Keine DMZ (D.h. von aussen zugängliche Server sind innerhalb des lokalen Netzes? Und als Server soll gar IIS eingesetzt werden?)
Nein. Sie wollen den inneren der beiden Firewallrechner auf Windows umstellen.
2) Die Firewall / Router zum Netz soll auf Windows liegen?
Nein, vom internen Netz in die DMZ.
Zu beiden Dingen muss ich sagen: Ich bin ratlos.
Ich auch.
a) Ich würde NIE Windows als Firewall für ein Netzwerk nehmen.
Ich auch nicht.
Begründung: [Deiner Gründe] (Und ich wüsste noch zusätzlich ein paar mehr;-) )
Hier ein kurzer Auszug aus dem Papier: ---------------------------------------------------------------------- An die innere Firewall, die den Abschluss des LAN an die DMZ darstellt, werden höhere Anforderungen gestellt als an die äussere. Neben Funktionen Portfilter, NAT und ggf. Applikationsfirewall kommen zusätzlich die Dienste Proxy und Zugriffsadministration hinzu. Wärend der Dienst Proxy unkritisch ist, erfordert die Zugriffsadministration sorgfältige Überlegungen: Die Benutzer melden sich einheitlich im Active-Directory an. Dieses verwaltet zentral die im Netz bereitgestellten Resourcen. Unter 2 ist das Ziel beschrieben, eine möglichts einheitliche Administration zu erhalten, die von jedem im Team durchgeführt werden kann. Ausßerdem ist ein Ziel, dass der Internetzugriff benutzerbezogen und nicht IP.bezogen ist. Es zwei, vieleicht drei Wege, das Ziel zu erreichen: 1. man verwendet als innere Firewall eine Linuxfirewall, die über geignete Software verfügt, die Berechtigungen aus dem Active Directory zu ziehen. 2. Man verwendet als innere Firewall eine Linuxfirewall, die lediglich einfachste Dienste und Ports filtert, wie die äussere Linuxfirewall und setzt einen eigenen ISA-Server auf, der die genannten Anforderungen erfüllt. 3. Man verzichtet auf dei zusätzliche Firewall und verwendet für die innere Firewall den ISA-Server. ---------------------------------------------------------------------- Frage: Lässt sich Weg 1 realisieren? Was braucht man dazu? Macht das sinn? Was gibt es eurer Meinung nach zu Punkt 2 und 3 zu sagen Bin für jede moralische und technische Unterstützung dankbar!! Wenn ihr der Meinung seit, ich soll die Jungs lieber laufen lassen, dann widme ich mich eben dem schnitzen von Zahnstochern oder so.... -- mfg Peter Küchler, Planungsverband Ballungsraum Frankfurt/Rhein-Main
Peter Kuechlerschrieb: > Am Fre, 2002-04-26 um 07.30 schrieb Konrad Neitzel: > > 1) Keine DMZ (D.h. von aussen zugängliche Server sind innerhalb des > > lokalen Netzes? Und als Server soll gar IIS eingesetzt werden?) > Nein. Sie wollen den inneren der beiden Firewallrechner auf Windows > umstellen. Hmmm ... also weiterhin eine DMZ. > > 2) Die Firewall / Router zum Netz soll auf Windows liegen? > Nein, vom internen Netz in die DMZ. > An die innere Firewall, die den Abschluss des LAN an die DMZ > darstellt, werden höhere Anforderungen gestellt als an die Jo. Die innere ist wichtiger! > äussere. Neben Funktionen Portfilter, NAT und ggf. > Applikationsfirewall kommen zusätzlich die Dienste Proxy und > Zugriffsadministration hinzu. Wärend der Dienst Proxy > unkritisch ist, erfordert die Zugriffsadministration > sorgfältige Überlegungen: Ähm - Firewall = Firewall != Proxy Ich hasse diese Multifunktionsgeräte. Natürlich kann die Firewall auch zugleich ein Arbeitsplatz und eine Spielkonsole sein, aber das ist nicht Sinn der Sache! Proxy ist ein Server in der DMZ. So und nicht anders. Die Firewall erlaubt dann z.B. Zugriff von den Clients auf diesen Proxy. Was da als Proxy läuft ist mir total egal. Ich würde mir aber zweimal überlegen, ob und wie ich da über das Active Directory die Zugriffe steuern will. Ich würde dann ja Zugriff aus der DMZ in mein sicheres Netz nehmen. Ist dies wirklich so gewollt? > 2. Man verwendet als innere Firewall eine Linuxfirewall, die lediglich > einfachste Dienste und Ports filtert, wie die äussere > Linuxfirewall und setzt einen eigenen ISA-Server auf, der die > genannten Anforderungen erfüllt. Dies wäre mein Lösungsvorschlag. Man kann hier vieles machen. Mich würde nicht wundern, wenn der squid sich auch über pam authentifizieren kann. Und auf das Active Directory kann ich dann vielleicht via LDAP zugreifen. PAM Module für LDAP existieren ja. Hier wären aber Zugriffe von der DMZ auf die internen Bereiche. Das ist etwas, das mir immer Bauchschmerzen bereitet. Angenommen es taucht ein Buffer Overflow auf. Wenn ich es schaffe in die DMZ einzudringen, dann schaffe ich es, dir dein Active Directory lahmzulegen. > Macht das sinn? Firewall = Firewall und restliche Dienste landen in der DMZ. Dies ist meine Vorgehensweise und ich denke, damit bin ich bisher gut gefahren. > Wenn ihr der Meinung seit, ich soll die Jungs lieber laufen > lassen, dann widme ich mich eben dem schnitzen von > Zahnstochern oder so.... Ich wäre vorsichtig, wenn die da Mist machen! Da würde ich mich lieber ganz raushalten. Wobei hier ein klarer Mittelweg zu finden ist: - Du hast auf jeden Fall die Pflicht, auf Lücken hinzuweisen, wenn Du welche erkennst. - Du hast auch die Pflicht, deinen Vorgesetzten zu gehorchen. Und wenn der Vorgesetzte Dir befiehlt, alle Daten zu löschen, dann musst Du das (nach einem Protest!) natürlich auch machen. Ansonsten ist es eine Arbeitsverweigerung -> fristlose Kündigung. - Wenn es nicht Dein Aufgabengebiet ist, würde ich mir zwei mal überlegen, ob ich es zu meinem Aufgabengebiet machen möchte. Mit den besten Grüßen, Konrad Neitzel -- SoftMediaTec GmbH Tel: 0172 / 689 31 45 Fax: 069 / 90 50 99 53
Zitat von Konrad Neitzel
Wenn ihr der Meinung seit, ich soll die Jungs lieber laufen lassen, dann widme ich mich eben dem schnitzen von Zahnstochern oder so....
Ich wäre vorsichtig, wenn die da Mist machen! Da würde ich mich lieber ganz raushalten. Wobei hier ein klarer Mittelweg zu finden ist:
- Du hast auf jeden Fall die Pflicht, auf Lücken hinzuweisen, wenn Du welche erkennst.
Soweit ACK. Als Sicherheitsbeauftragter hat er sogar die Pflicht, sich aus einschlägigen Quellen über solche Lücken zu informieren.
- Du hast auch die Pflicht, deinen Vorgesetzten zu gehorchen. Und wenn der Vorgesetzte Dir befiehlt, alle Daten zu löschen, dann musst Du das (nach einem Protest!) natürlich auch machen. Ansonsten ist es eine Arbeitsverweigerung -> fristlose Kündigung.
Das Thema ist allerdings nicht ganz so simpel. Befiehlt der Vorgesetzte einen Rechtsverstoß (z.B. Verletzung des Datenschutzgesetzes), muß man diese Anweisung unter Hinweis auf den vorliegenden Verstoß verweigern. Ein Rechtsverstoß könnte entstehen, wenn z.B. für einen Bereich vom gesetz oder aus vorliegenden Verträgen eine besondere Sorgfaltspflicht gilt - an der Stelle wird die Thematik dann ziemlich ekelhaft :-(. Ein Personaler, der z.B. auf Anweisung seines Chefs den Personaldatenschutz verletzt, könnte ruck-zuck im Gefängnis landen. Weiterhin sollte man sich in so einem Fall fragen, ob es auf Dauer überhaupt möglich ist, die gestellte Aufgabe zu lösen, wenn der Chef auf diese Art und Weise eingreift. Das heißt, ich würde mir bei einem derartigen Ansinnen meines Chefs ernsthaft überlegen, einen neuen Job zu suchen. Denn auf die Art kann mittel- bis langfristig nur Ärger auf mich zukommen.
- Wenn es nicht Dein Aufgabengebiet ist, würde ich mir zwei mal überlegen, ob ich es zu meinem Aufgabengebiet machen möchte.
ACK -- Erhard Schwenk http://www.fto.de - http://www.akkordeonjugend.de
Hi,
Von: Peter Kuechler [mailto:peter.kuechler@pvfrm.de] Gesendet: Freitag, 26. April 2002 07:58
Ich habe hier u.a. zwei Fileserver under Suse7.2 am laufe, die per NFS SPARC/Solaris Clients versorgen, zum anderen ca. 140 Windows 95/98/NT Clients. Die Anmeldung erfolgt über einen NT Domainrechner, Samba überlässt im die Authentifizierung. Funktioniert soweit.
Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-(
Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
Was meinst du mit "Kann man das mit Samba?", kann du die Frage genauer formulieren. Gruß Wolfgang
Am Fre, 2002-04-26 um 08.59 schrieb Wolfgang Rhein:
Hi,
Von: Peter Kuechler [mailto:peter.kuechler@pvfrm.de] Gesendet: Freitag, 26. April 2002 07:58
Ich habe hier u.a. zwei Fileserver under Suse7.2 am laufe, die per NFS SPARC/Solaris Clients versorgen, zum anderen ca. 140 Windows 95/98/NT Clients. Die Anmeldung erfolgt über einen NT Domainrechner, Samba überlässt im die Authentifizierung. Funktioniert soweit.
Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-(
Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
Was meinst du mit "Kann man das mit Samba?", kann du die Frage genauer formulieren.
Ich werde es versuchen: Wie ich schon geschrieben habe, sollen die Win-Clients die Linux/Sambarechner als Fileserver nutzen, so wie sie es im Moment auch schon tun. Jetzt fragt der Samba beim Domainserver (NT4) wegen der Identifizierung nach. Später, bei Win2000/XP gibt es scheinbar nix mehr mit PDC usw. Was ändert sich dabei für mich bzw. für samba? -- mfg Peter Küchler, Planungsverband Ballungsraum Frankfurt/Rhein-Main
Peter Kuechler
Hallo!
Ich habe hier u.a. zwei Fileserver under Suse7.2 am laufe, die per NFS SPARC/Solaris Clients versorgen, zum anderen ca. 140 Windows 95/98/NT Clients. Die Anmeldung erfolgt über einen NT Domainrechner, Samba überlässt im die Authentifizierung. Funktioniert soweit.
Gestern bekam ich mitgeteilt, das die das ganze Gerödel von einer Fremdfirma auf MS Windows2000/XP umstellen lassen, alles mit Active Directory:-(
Kann mir jemand einen Tip geben, was da bei der Umstellung auf mich zukommt? Kann man das mit Samba regeln?
[...] Im Prinzip schon, Active Directory ist die Microsoft Implementation von LDAP. Samba kann ja nun auch ldap. Wenn ich Microsoft richtig verstanden habe, haben die aber eine absteigende Hirarchie, also z.B. dn: dc=de, ou=firma; im Gegensatz zu LDAP mit aufsteigender Hirarchie, z.B. dn: ou=firma, dc=de. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
participants (7)
-
Christoph Maurer
-
Dieter Kluenter
-
Erhard Schwenk
-
Jan Doberstein
-
Konrad Neitzel
-
Peter Kuechler
-
Wolfgang Rhein