Re: Benutzermanagement/Authentifizeierung mit OpenLDAP
hallo zusammen,
also das benutzermanagement fuer linux-maschinen habe ich schon seit ca.
1 jahr mit openldap laufen. mit libnss-ldap und libpam-ldap funzt das
einwandfrei. durch libnss-ldap werden die user im system sichtbar
gemacht (z.B. 'getent passwd') und libpam-ldap authentifiziert das ganze
dann fuer login, ssh usw. seit der 2.2.3 von samba ist nun auch der PDC
mit an ldap angebunden und es funktioniert auch gut mit dem
synchronisieren der passwoerte ob von linux -> win oder umgekehrt.
um es ganz simpel umzusetzen: pakete fuer ldap neu mit ssl uebersetzen
(das selbe fuer libnns-ldap und libpam-ldap) und samba mit ldapsam und
ssl.
den rest ganz einfach nach http://www.unav.es/cti/ldap-smb-howto.html
gruss
buz
On Wed, 2002-04-10 at 23:53, Michael Hierweck wrote:
> Hallo zusammen,
>
> ich stehe vor dem Problem in einem Netzwerk mit mehreren Debian (Woody)
> und Windowsrechnern ein znetrales Benutzermanagement einzuführen. Ein
> Samba-PDC kontrolliert die Windows Domäne.
>
> Grundsätzlich riet man mir zur Verwendung von OpenLDAP.
>
> Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen
> iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw.
> OpenLDAP geliefert wurden, sowie Doku der Pakete libnsslapd und
> libpamldap etc.
>
> Ferner las ich das Openldap unter Linux, in welchem dieser Fall
> Benutzermanagement sogar als Andwendungsbeispiel erklärt wurde. In
> diesem Fall wurde mir aber nicht klar, welchen Vorteil der LDAP-Einsatz
> gegenüber NIS bringen sollte, das NIS parallel zu LDAP verwendet wurde.
> NIS für die Daten aus der passwd, LDAP nur für's Kennwort... Begründung:
> shadow-Passöwrter wären mit NIS nicht möglich. Dafür musste man dann
> SSH-Tunnels für LDAP erzeugen usw. und Skripten schrieben, die die
> passwd mit dem LDAP synchroniseren, das passwd Kommand lief nciht mehr
> usw. Viel Stress und totales Chaos... obwohl es mit NIS auch allein
> mglich wäre.
>
> Grundsätzlich würde ich es gern so lösen, dass alle Benutzeraccount
> (nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und
> sowohl Samba, als auch Unix-Logins auf den LDAP-Server zurückgreifen,
> d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen müssen.
> Optimal wäre es, wenn aber Kommandos wie passwd o.ä. dann auch (für den
> Benutzer unsichtbar) auf den LDAP-Server zurückgreifen würden...
>
> Theoretisch müsste libnssldap (nsswitch) das ja ermöglichen, dass neben
> der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz
> kommt. Würde mal die libpamldap-Doule überhaupt noch benötigen?
>
> Ich muss gestehen, dass ich sehr viele Ansätze kennengelernt haben, die
> mich alle bisher nicht wirklich als schlüssiges und überschaubares
> Konzept überzeugt haben. Oftmals wirkten diese auch sehr umständlich,
> weil irgendwelche Probleme in ihnen "geschickt umgangen" wurden, während
> sie in anderen gelöst worden waren. Möglicherweise hängt dies auch mit
> dem Alter der Dokumente zusammen. Jedenfalls ist die verwirrung rieisen
> groß.
>
>
> Ich such ein möglichst leicht zu durchschauendes Konzept (wegen der
> geringeren Gefahr Fehler bzw. Sicherheitslücken zu haben), welches
> möglichst für den benutzer verborgen bleibt, sprich er so handeln kann,
> als ob sein Account local in der passwd definiert wäre.
>
> Viele liebe Grüße und vielen Dank für Tipps!
>
> Michael
>
> P.S. Ich halte dieses Thema übrigens für von recht grundsätzlichem
> Interesse... Immerhin ist ein solches Benutzermanagent sicherlich in
> vielen gemischt Umgebungen interessant.
>
>
> --
> Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
> mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
>
--
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: