Guten Morgen zusammen,

Wir haben hier eine Hauptdomäne und eine Subdomäne. Es gibt 2 Gruppen, um die es hier geht. Die eine ist in der Hauptdomäne und hat die Gruppe aus der Subdomäne als Mitglied. Die Gruppe der Hauptdomäne steht korrekt auf "universal". Die Gruppe der Subdomäne steht aber auch auf "universal", obwohl hier doch "global" (oder noch weniger?) reichen würde, da hier nur Personen der Subdomäne Mitglied sind. Was ist richtig?

Wenn die Gruppen nur in Ihrer Domäne verwendung finden, sollte m.E. der Typ auf 'Global' stehen, da damit Repl-Traffic verringert wird.

Falsch ist es nicht, aber Global müsste reichen. bei Local bin ich mir nicht sicher, denn Local sind eingentlich nur in der Domäne in der sie erstellt wurden. Ob das auch für Haupt- und Subdomain Grenzen gilt, weiß ich nicht. Bin eher der Praktiker und nicht der Theoretiker.

Das Grundproblem das ich habe ist, dass für Mitglieder der Subdomain jeglicher Internettraffic geblockt wird, obwohl die Mitglieder in der Sub-Gruppe zusammengefasst sind, und diese wiederum ein Teil der Hauptgruppe in der Hauptdomäne ist. Diese Hauptgruppe ist der Firewall bekannt und bekommt Zugriff. Seltsam...

Wie befragt die Firewall das AD?
Ich denke, in Deinem Fall wirst Du die User in der komplett in der Hauptgruppe der Hauptdomäne pflegen müssen.

Die FW befragt natürlich nur die Hauptdomäne. Aber diese kennt doch die Subdomäne und die http_main Gruppe kennt auch die http_sub Gruppe.

Ich kann den User aus der Subdomäne zwar in der http_main Gruppe hinzufügen, das Symbol bleibt aber grau, weil dieser User in Umkehrrichtung die Hauptdomäne nicht sehen kann (ist so eingestellt, dass die Sub die Main nicht sehen darf).

Wenn die FW aber nur in einem Schritt die Mitglieder der 'Hauptdomänengruppe' checkt, erfährt sie nie etwas vom 'Inhalt' der Subdomänengruppe, nur von deren Mitgliedschaft in der Hauptgruppe. Somit bleiben Ihr die User der Untergruppe unbekannt. Dafür müsste die FW in einem 2. Schritt alle Untergruppen, die In der Hauptgruppe enthalten sind, auch noch prüfen, was wohl nicht passiert.

Also lokale Gruppen kannst du nur innerhalb einer Domäne sehen. Du kannst alle Gruppen (DL, GL und UV) in DL Gruppen packen, und lokal in der Domäne Berechtigungen auf Objekte für eine DL-G setzen.Andere Domänen sehen dein DL-G nicht.

In Globale Gruppe kannst du nur Globale Gruppen verschachteln, dafür können andere Domänen diese Gruppe sehen, und z. B. in Ihrer DL-G aufnehmen.

In UV-G kannst du UV und GL Grps aufnehmen, aber überall in allen Domänen sehen!

Mehr Unterschied gibt es da nicht. Die einzige Frage ist: machste ne DL, damit die DL-G in der SubDomäne nicht gesehen wird? Oder ist das egal?

Wenn die FW aber nur in einem Schritt die Mitglieder der 'Hauptdomänengruppe' checkt, erfährt sie nie etwas vom 'Inhalt' der Subdomänengruppe, nur von deren Mitgliedschaft in der Hauptgruppe. Somit bleiben Ihr die User der Untergruppe unbekannt. Dafür müsste die FW in einem 2. Schritt alle Untergruppen, die In der Hauptgruppe enthalten sind, auch noch prüfen, was wohl nicht passiert.

Aber die Subdomänengruppe ist Mitglied in der Hauptdomänengruppe, also müsste die Hauptdomänengruppe auch die User der Subdomänengruppe kennen, oder?

Da bekommt man einen Knoten im Verstand, gell? ;)

Aber die Subdomänengruppe ist Mitglied in der Hauptdomänengruppe, also müsste die Hauptdomänengruppe auch die User der Subdomänengruppe kennen, oder?
Nö, die kennt/enthält nur Ihre 'direkten' Mitglieder.
Das Auflösen der Verschachtelung steht dann auf einem anderen Blatt.
Befragt nun die FW z.B. per LDAP den Hauptdomänen-DC nach der Liste der Gruppenmitglieder und macht keine Rekursion, so bleiben die Unterdomänen-User außen vor.
Btw, welche Firewall wird denn eingesetzt?

Astaro SG

Aber dann verstehe ich nicht, wieso es überhaupt möglich ist, dass man Gruppen an Gruppen hängen kann, wenn die User der Untergruppe dann doch nicht ersichtlich sind (zumindest scheinbar nicht der FW gegenüber)

das geht schon, die Frage ist nur, wie die Software die AD Abfragen implementiert hat. Eine reine LDAP Abfrage gibt das wieder was in einem Container drin ist. Sind das auch wieder Container (Gruppen) hat die SW dafür zu sorgen diese Container wieder selbst auszulesen.

Von MS gibt es aber APIs (Active Directory Service Interfaces (http://msdn.microsoft.com/en-us/library/aa772170.aspx)) um dies nicht selbst machen zu müssen, aber gerade Produkte die aus dem Linux Bereich kommen nutzen nicht diese APIs (weil sie i.d.R. nur für Windows erhältlich sind) und implementieren so etwas über LDAP, was eine Windows Domäne ja auch kann,(unter Anderem).

P.S. auch mit LDAP Bordmitteln kann man sicherlich so etwas automatisieren (ist ja auch ne Art Datenbank) nur muss man das auch machen.

Prima, nun klappt es. Dank Eures Fachwissens hab ich einfach mal die Sub-Group direkt in die Astaro eingetragen, so dass es zu keiner Verschachtelung kommen kann. Was es nicht alles gibt...

Prima, nun klappts nicht mehr... am Freitag wurde die Astaro neugestartet und seitdem haben die User der Subdomäne keinen Zugriff mehr, sie werden einfach geblockt, weil sie unbekannt sind.

Nochmal kurz der Überblick:

Hauptdomäne: Universal-Gruppe "http_access" mit allen Usern der Hauptdomäne
Subdomäne: Global-Gruppe "http_sub" mit allen Usern der Subdomäne

Die Astaro-Authentifikation läuft über die Hauptdomäne (mit einem speziellen User astaro_admin (Domain Admin)), die Haupt- und Subdomain ist im HTTP-Profil eingetragen. Gestern hat selbst die Firma Astaro keinen Fehler finden können. Scheint wohl eher ein Bug zu sein...

... hab ich einfach mal die Sub-Group direkt in die Astaro eingetragen,...
Dies ist aber immer noch der Fall oder ist der Eintrag evtl. raus? Konfig nicht gespeichert?

Ne, ist alles so, wie ich es hatte. Es muss eigentlich mit dieser Konfig funktionieren... heute um 16:00 klappte es mal ganz kurz, einige Minuten nachdem sich der Hersteller eingeloggt hatte, 20 Minuten später klappte es wieder nicht... ich muss auf Feedback vom Hersteller warten...