Tuesday, August 25th, 2009...10:21 pm

Użycie wielu suffixów UPN w pojedynczym lesie

Jump to Comments

ActiveDir.org to zawsze źródło ciekawych dyskusji i informacji. Jeżeli ktoś zajmuje się planowaniem \ utrzymaniem usługi Active Directory to zdecydowanie polecam zarówno zapisanie się na listę jak i przeglądanie archiwum w razie poszukiwania informacji.

Przy okazji – Rick, jeden z uczestników listy stworzył dedykowaną wyszukiwarkę (jak przetłumaczyć custom search??) obejmującą zasoby ActiveDir.org i innych pokrewnych tematycznie miejsc w sieci. Warto zapamiętać.

Osobiście muszę znaleźć trochę więcej czasu na przeglądanie i udzielanie się na ActiveDir.org. Z różnych powodów z tym czasem jest kiepsko :).

Wracając do tematu – dzisiaj gdy przeglądałem ActiveDir.org natknąłem sie na krótką, ale treściwą dyskusję zapoczątkowaną przez pytanie użytkownika, który chciał dodać w swoim lesie kilka tysięcy suffixów UPN na potrzeby zarządzania kontami partnerów i umożliwienia logowania im się do systemów z użyciem e-mail (swoją drogą czy to jest dobre rozwiązanie … może o architekturze takiego rozwiązania dla partnerów kiedyś … ). Dyskusja była krótka, ale treściwa – oto jej podsumowanie.

  • GUI ogranicza liczbę możliwych do wprowadzenia suffixów do 850(Andrew Levicki), dodać można więcej używając skryptów lub innych narzędzi niż GUI (zaszłość z Win2000)
  • więcej  w tym wypadku oznacza około 1300 wartości ponieważ taki jest limit atrybutów wielowartościowych typ string w katalogu AD. Suffixy dodaje się poprzez edycję atrybutu upnSuffixes na kontenerze partycji w ramach konfiguracji katalogu (joe). Jednak nie jest to konieczne ponieważ używając skryptów lub innych narzędzi można użytkownikowi ustawić dowolny suffix UPN, niezależnie od tych przypisanych na poziomie lasu. W organizacjach powiązanych relacjami zaufania na poziomie lasów z takimi konfiugracjami trzeba uważać, ponieważ suffixy UPN używane są do przekazywania żądań uwierzytelnienia. [1]. Jak słusznie zauważył joe przy takiej ilości jednak i tak nikt nie będzie się raczej przejmował GUI. 
  • Mamy dwa typu UPN dla użytkownika – implicit i explicit (Rick S.). Trochę o tym KB 929272.
  • Jeżeli potrzebne jest narzędzie do przypisania dowolnego UPN dla użytkownika z poziomu GUI łatwo jest rozszerzyć menu kontekstowe konsoli o odpowiednią akcję o czym wspomniał Jorge. 

Ten ostatni komentarz Jorge o rozszerzeniu UI poruszył trybiki w mojej pamięci i wygrzebał informację o dostępnej opcji, która pozwala nadawać suffixy UPN przez UI w sposób trochę bardziej elastyczny, która jest raczej często pomijana. Chodzi o ustawienie atrybuty upnSuffixes na poziomie konkretnego OU.

Jeżeli dla użytkowników, którym chcemy przypisać odpowiedni suffix UPN możemy założyć OU i umieścić ich w tym OU możliwe jest dopisanie do atrybutu upnSuffixes tego OU pożądanej wartości suffix (na przykład partner.com):

Jeżeli następnie spróbujemy w tym OU założyć użytkownika używając GUI będziemy mieli do wyboru podaną przez nas wartość suffix jako jedną z możliwych dla UPN użytkownika.

 

Voile … i zrobione. Żeby nie było już tak słodko to jeżeli w ramach tego OU założymy następne to całą operację będziemy musieli powtórzyć bo wartość ta nie jest dziedziczona (aż tak mądry ten nasz GUI nie jest 🙂 )

Co prawda, w wypadku który temat zaczął zgodzę się z joe – kto będzie zawracał sobie głowę UI … ale dobrze wiedzieć że taka opcja istnieje. Może kiedyś się przyda.

[1] -  Używanie wielu suffixów UPN w ramach jednego lasu nie jest problemem jednak należy pamiętać, że wartości te używane są w przypadku przekazywania żądań uwierzytlenienia do innych lasów do przekazywania tych żądań. Jeżeli więc chcemy używać kilku suffixów w ramach naszego lasu warto to w takiej konfiguracji odpowiednio zaplanować i przetestować.

You do, in fact, have a lab environment.  What you do not have is a production environment.

Don Hacherl

1 Comment

Leave a Reply