[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Benutzermanagement/Authentifizeierung mit OpenLDAP

Hallo zusammen,

ich stehe vor dem Problem in einem Netzwerk mit mehreren Debian (Woody)
und Windowsrechnern ein znetrales Benutzermanagement einzuführen. Ein
Samba-PDC kontrolliert die Windows Domäne.

Grundsätzlich riet man mir zur Verwendung von OpenLDAP.

Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen
iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw.
OpenLDAP geliefert wurden, sowie Doku der Pakete libnsslapd und
libpamldap etc.

Ferner las ich das Openldap unter Linux, in welchem dieser Fall
Benutzermanagement sogar als Andwendungsbeispiel erklärt wurde. In
diesem Fall wurde mir aber nicht klar, welchen Vorteil der LDAP-Einsatz
gegenüber NIS bringen sollte, das NIS parallel zu LDAP verwendet wurde.
NIS für die Daten aus der passwd, LDAP nur für's Kennwort... Begründung:
shadow-Passöwrter wären mit NIS nicht möglich. Dafür musste man dann
SSH-Tunnels für LDAP erzeugen usw. und Skripten schrieben, die die
passwd mit dem LDAP synchroniseren, das passwd Kommand lief nciht mehr
usw. Viel Stress und totales Chaos... obwohl es mit NIS auch allein
mglich wäre.

Grundsätzlich würde ich es gern so lösen, dass alle Benutzeraccount
(nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und
sowohl Samba, als auch Unix-Logins auf den LDAP-Server zurückgreifen,
d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen müssen.
Optimal wäre es, wenn aber Kommandos wie passwd o.ä. dann auch (für den
Benutzer unsichtbar) auf den LDAP-Server zurückgreifen würden...

Theoretisch müsste libnssldap (nsswitch) das ja ermöglichen, dass neben
der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz
kommt. Würde mal die libpamldap-Doule überhaupt noch benötigen?

Ich muss gestehen, dass ich sehr viele Ansätze kennengelernt haben, die
mich alle bisher nicht wirklich als schlüssiges und überschaubares
Konzept überzeugt haben. Oftmals wirkten diese auch sehr umständlich,
weil irgendwelche Probleme in ihnen "geschickt umgangen" wurden, während
sie in anderen gelöst worden waren. Möglicherweise hängt dies auch mit
dem Alter der Dokumente zusammen. Jedenfalls ist die verwirrung rieisen
groß.


Ich such ein möglichst leicht zu durchschauendes Konzept (wegen der
geringeren Gefahr Fehler bzw. Sicherheitslücken zu haben), welches
möglichst für den benutzer verborgen bleibt, sprich er so handeln kann,
als ob sein Account local in der passwd definiert wäre.

Viele liebe Grüße und vielen Dank für Tipps!

Michael

P.S. Ich halte dieses Thema übrigens für von recht grundsätzlichem
Interesse... Immerhin ist ein solches Benutzermanagent sicherlich in
vielen gemischt Umgebungen interessant.


-- 
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: