«

»

User-Mapping

Sie wollen Berechtigungen von einem Novell-Server auf einen Windows-Share übertragen.
Die Nutzernamen sind aber auf dem Novell-Server und im Windows-AD nicht immer identisch.
Mit dem User-Mapping bieten wir dafür eine Lösung.

Das Lösungsprinzip besteht darin, dass Sie für Nutzer, bei denen AD- und Novell-Name ungleich sind, für die User ein ungenutztes AD-Attribut wählen, in dem der Novell-Name eingetragen wird. Darüber findet migRaven die Verbindung.

1. Voraussetzungen

1. Die Nutzer, für die Berechtigungen vom Novell-Server in den Windows-Share migriert werden sollen, müssen im AD des Windows-Servers vorhanden sein, nicht unbedingt mit dem gleichen Namen.

2. Ein Benutzer-Objekt hat viele Attribute. Standardmäßig benutzt migRaven den sAMAccountNamen (Anmeldename) im Windows-AD und den entryDN (distinguishedname) im Novell-eDirectory (bzw. NDS) um zu erkennen, welches Novell-Objekt welchem Windows-Objekt entspricht.
Wenn für einen Benutzer die Objekt-Namen in den genannten Feldern beider Systeme nicht übereinstimmen, müssen wir im AD alternativ zum sAMAccountNamen ein anderes Attribut für den Abgleich auswählen. Dieses Attribut muss ein Textfeld und in der Anmelde-Domäne vorhanden sein.

3. Die Auswahl eines alternativen Attributes sollte gewissenhaft durchdacht und geprüft werden. Alle Attribute haben eine Aufgabe und sind daher oft schon mit Daten belegt. Es sollten keine Daten verloren gehen.

4. migRaven zeigt Ihnen in der Konfiguration, Reiter „Novell“, gefundene Textfelder an. Wählen Sie das für die Migration festgelegte Attribut aus und speichern es. Attribute mit dem Hinweis „In der Anmeldedomäne nicht vorhanden“ sind nicht nutzbar.

5. Bei jedem Benutzer, dessen Novell-Berechtigungen übertragen werden sollen, muss im AD beim ausgewählten Attribut der Novell-Name eingetragen werden. migRaven stellt  so die Verbindung her, vom distinguishedname im eDirectory zum ausgewählten Attribut im Windows-AD.

6. migRaven kann gestartet und das AD muss neu eingelesen werden.

2. Arbeitsschritte an einem konkreten Beispiel

2.1. Auswahl eines ungenutzten Objekt-Attributs im AD

Ich habe im AD das Attribut „description“ bzw. „Beschreibung“ für die Eintragung des Novell-Namens ausgewählt.
Man kann den Inhalt dieses Feldes im AD gut kontrollieren.

AD-Nutzer

Auf diesem Screenhot kann man erkennen, wie die Namen vergeben wurden. Unter Novell enden meine Beispiel-Nutzer mit einem „-n“. Diesen Novell-Namen habe ich daher im AD unter dem Attribut „description“ des Benutzers eingetragen.

 

Novell-Konfiguration

In migRaven muss in der Konfiguration beim Reiter „Novell“ das für das Mapping vorgesehene AD-Attribut eingetragen werden, in unserem Fall „description“.
Die Verbindung zum Novell-Server kann ohne Eingabe des Admin-Passwortes getestet werden.

Novell-Projektaufruf

2.2. Projekt-Durchführung in migRaven

Dann kann das Projekt zur Novell-Migration aufgerufen werden. Unter dem Reiter „Novell“ wird das zugeordnete Attribut nochmal angezeigt. Die Eingabe des Admin-Passwortes und die Prüfung der Verbindung zum Novell-Server sind Voraussetzungen für den Start der Migration.

Der erste Schritt ist das Einlesen einer Trustee-csv-Datei, die wir aus einer aktuellen trustee_database.xml gewonnen haben. In der Tabelle finden wir die Pfade, die direkt darauf berechtigen Nutzer und Gruppen und deren Rechte auf den Pfad.

Novell-Tabelle

Beim Validieren prüft migRaven, ob die Nutzernamen im Novell-System als auch im Windows-AD vorhanden sind. Beim letzteren erst im Description-Attribut, dann im sAMAccountNamen. Der Discription-Inhalt hat Priorität.
Für die berechtigten Novell-Gruppen, hier „novell-nutzer.aikux-novell“, sucht migRaven im Novell die Mitglieder und prüft deren Existenz im AD, wie bei den direkt berechtigten Nutzern.

Wollen Sie aufgrund nicht gefundener Nutzer Änderungen im AD vornehmen, müssen Sie zum Schluss das AD nochmal scannen.

Mit dem Speichern des Arbeitsstandes bildet migRaven die neue Berechtigungsstruktur mit neuen Berechtigungsgruppen und darin verschachtelten Nutzergruppen und Nutzern.

View

Nach dem Speichern des Arbeitsstandes gelangen Sie in den View, der Baumansicht, Ihrer Struktur. Im Sollzustand werden die berechtigten Nutzer schon nicht mehr mit dem Novell-Namen angezeigt, sondern mit dem im AD hinterlegten Anmeldenamen (sAMAccountNamen).

Mit den nächsten Arbeitsschritten wird die Sollstruktur geschrieben, mit Deploy Groups die Berechtigungsgruppen ins AD, mit Deploy ACL die Verzeichnisstruktur in den von Ihnen festgelegten Deploy Pfad.