Integration in bestehende Domäne

Ich packe das mal hier in die Anfängerfragen, da ich mit LibreWorkspace noch Anfänger bin. Habe viele gelesen und das eine oder andere Video geschaut.

Kurz zu mir ich bin seit 25 Jahre in der IT (20 Jahre Hardware) und seit 5 Jahren Vollzeit Admin Windows und Linux in einem Systemhaus, nur damit man meine Frage richtig einordnen kann. Also ich kann Domänen Controller unter Windows (und Linux) ausrollen und administrieren und ich kann auch sonstige Linux Anwendungen komplett zu Fuß installieren.

Ich finde das Projekt Libre Workspace wirklich spannend, da es sehr ähnlich ist wie der Sovereign Workplace den unsere Politik sich ausgedacht hat. Ist zwar selten aber da ist denen echt mal was gelungen. An Libre Workspace gefällt mir, dass es deutlich schlanker wirkt als das was Zendis da gebaut hat und damit für das was ich so betreue, deutlich passender.

Ich habe prinzipiell 2 Anwendungsszenarien.

Fall 1 Ein Verein der ein Internetradio betreibt.
Ich habe schon einen Samba basierten DC am laufen, der als Zentrale Authentifizierungsinstanz fungiert. z.B. für unsere Nextcloud von Hetzner mit aktivierter AD Integration. Samba installiert nach diesem Konzept hier: Samba - Usermanagement - schulnetzkonzept.de
Diese Rolle so wie OAuth würde ich im laufenden System gerne an LibreWorkspace übertragen. Hat das schon mal jemand gemacht und kennt vielleicht Fallstricke?
Ich kann ja auch mit Samba, mehrere Domain-Controller haben so lange nur einer die Masterrolle hat.
Ein Fallstrick, die Domäne ist als “name.local” angelegt, die User nutzen aber den UPN also user@name.de
Was ich bisher so raus gelesen habe, ist das für LibreWorkspace eigentlich nicht vorgesehen.
Zur Zeit läuft das als Container auf einem Proxmox, ich würde aber für LibreWorkspace eine Cloud-VM bei Hetzner Spendieren, dann habe ich gleich eine hohe Verfügbarkeit, auch wenn mein Proxmox Host mal ein Problem hat. Beides ist dann mit einem vSwitch verbunden. Das Routing ist etwas komplex aber läuft schon mit meinem Docker Host. Der auch den NGINX Reverse Proxy serviert.

Reveresproxy und TLS Zertifikate können wir hier mal vernachlässigen, ich denke das bekomme ich irgendwie hin. Ich habe ein Wildcard Zertifikat, das kann ich mit dem ACME Client an alle Server ausrollen. Routing und Firewalling sollte auch kein Thema sein.

Fall 2 kleine bis mittelständische Unternehmen mit bestehender Windows Infrastruktur
Immer mehr Geschäftsführer haben keinen Bock mehr auf Abos und Firmen mit Hauptsitz in Amerika. Rund um Nextcloud kann ich da schon vieles abdecken.
Hier würde ich LibreWorkspace ebenfalls gerne anbinden können. Das Usermanagement wird vermutlich meistens auf dem Windows DC bleiben, trotzdem bietet hier LibreWorkspace dem User einiges an Komfort durch SSO.
Im Dashboard würde ich mir sowas ähnliches vorstellen wie beim Sovereign Workplace, dass ich direkt in meine Anwendungen springen kann oder auch von dort aus direkt ein neues Office Dokument anlegen kann. So wie hier:

Das traue ich mir zu, auch so selber zu bauen.
In diesem Szenario kann es vorkommen, dass neben der Windows Domäne auch schon ein Nextcloud mit AD Integration läuft aber nicht immer.

Ich bin gespannt auf eure Antworten.
MFG
Malte

So, ich habe mal angefangen mich etwas durch zu wühlen.

Und in der set_samba_dc.sh bin ich fündig geworden.
Da wird hardcoded ein Domaincontroller aufgesetzt. Also weder mit der ISO noch mit der .deb installation würde ich derzeit zu meinem Ziel kommen einen Donain-Join durchzuführen.

Ich muss das git repo clonen und quasi zu Fuß das eine oder andere Script modifizieren.
Wird also eine etwas größere Baustelle als ich dachte aber OK. Wenn ich da durch will, dann haben andere vielleicht auch einen Nutzen und vielleicht kann ich was beisteuern.

Die ISO würde ich bei dem Vorhaben mal aussen vor lassen. Wer die installiert, will einfach schnell was zum laufen bringen.
Beim .deb müsste man doch durch das vorbelegen einiger Variablen anders abbiegen können und z.B. eine Art Advanced Installer starten, der gewisse Dinge vom Admin abfragt anstatt fixe Default Werte zu benutzen.

Damit werde ich mich mal auseinandersetzen.

Hallo, sehr cooles Projekt hast Du da vor.

Ich würde so vorgehen:

• Installation von Libre Workspace Lite, also bei den Modulen alle abwählen und dann das blanke Portal installieren
• Danach kannst Du unter /etc/libre-workspace/portal/portal.conf die Samba-Daten spezifizieren.

Danach kannst Du dann das Portal ganz normal nutzen und hast Deine Nutzer direkt integriert.
Evtl. geht auch einfach die normale Installation und danach einfach in der portal.conf die LDAP-Daten anpassen, und dann das LDAP “umbiegen”. Das Samba auf dem Server selber dürfte nicht weiter stören.

Oder man kann evtl. Samba-Server so konfigurieren, dass er sich an Deine Domäne anschließt.

PS: Durch OIDC haben wir eigentlich bis auf matrix in lokalen Umgebungen gar keine direkte LDAP-Verbindung neben der Portal-Software mehr