[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Benutzermanagement/Authentifizeierung mit OpenLDAP

Hi,
Michael Hierweck wrote

> Hallo zusammen,
> 
> ich stehe vor dem Problem in einem Netzwerk mit mehreren Debian (Woody)
> und Windowsrechnern ein znetrales Benutzermanagement einzuführen. Ein
> Samba-PDC kontrolliert die Windows Domäne.
> 
> Grundsätzlich riet man mir zur Verwendung von OpenLDAP.

Vollkommen korrekt :)

> Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen
> iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw.
> OpenLDAP geliefert wurden, sowie Doku der Pakete libnsslapd und
> libpamldap etc.
> 
> Ferner las ich das Openldap unter Linux, in welchem dieser Fall
> Benutzermanagement sogar als Andwendungsbeispiel erklärt wurde. In
> diesem Fall wurde mir aber nicht klar, welchen Vorteil der LDAP-Einsatz
> gegenüber NIS bringen sollte, das NIS parallel zu LDAP verwendet wurde.
> NIS für die Daten aus der passwd, LDAP nur für's Kennwort... Begründung:
> shadow-Passöwrter wären mit NIS nicht möglich. Dafür musste man dann
> SSH-Tunnels für LDAP erzeugen usw. und Skripten schrieben, die die
> passwd mit dem LDAP synchroniseren, das passwd Kommand lief nciht mehr
> usw. Viel Stress und totales Chaos... obwohl es mit NIS auch allein
> mglich wäre.

Nein, entweder NIS oder LDAP. Vorteil bei LDAP (die mir spontan
einfallen) sind erweiterte ACL's
für die Sicherung der Informationen in der Datenbank und Abhör-Absicherung
der Kommunikation zwischen den Diensten durch TLS.

Hast du jemals in einer NIS-Umgebung ypcat passwd gemacht? Dann noch
john und das Unglück ist perfekt ...
Bei LDAP kann man effektiv verhindern das der Hash der Passwörter
abgefangen werden kann.

> Grundsätzlich würde ich es gern so lösen, dass alle Benutzeraccount
> (nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und
> sowohl Samba, als auch Unix-Logins auf den LDAP-Server zurückgreifen,
> d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen müssen.
> Optimal wäre es, wenn aber Kommandos wie passwd o.ä. dann auch (für den
> Benutzer unsichtbar) auf den LDAP-Server zurückgreifen würden...

Sollte möglich sein, wobei die Samba-Anbindung noch sehr frisch und
somit als experimentell anzusehen ist.

> Theoretisch müsste libnssldap (nsswitch) das ja ermöglichen, dass neben
> der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz
> kommt. Würde mal die libpamldap-Doule überhaupt noch benötigen?

Falsch. Du benötigst libpamldap, damit die Authentifizierung aller
Dienste die zur Zeit über PAM gehändelt werden nicht /etc/passwd
abfragen, sondern deinen LDAP-Server.

> Ich muss gestehen, dass ich sehr viele Ansätze kennengelernt haben, die
> mich alle bisher nicht wirklich als schlüssiges und überschaubares
> Konzept überzeugt haben. Oftmals wirkten diese auch sehr umständlich,
> weil irgendwelche Probleme in ihnen "geschickt umgangen" wurden, während
> sie in anderen gelöst worden waren. Möglicherweise hängt dies auch mit
> dem Alter der Dokumente zusammen. Jedenfalls ist die verwirrung rieisen
> groß.
> 
> 
> Ich such ein möglichst leicht zu durchschauendes Konzept (wegen der
> geringeren Gefahr Fehler bzw. Sicherheitslücken zu haben), welches
> möglichst für den benutzer verborgen bleibt, sprich er so handeln kann,
> als ob sein Account local in der passwd definiert wäre.
> 
> Viele liebe Grüße und vielen Dank für Tipps!

Konzept kann ich machen, aber nicht für lau :))

Ansonsten heißt es lesen, ausprobieren (Testumgebung aufbauen), dann
wieder lesen, dann in den Mailinglisten eintragen, weitertesten und
dann wieder lesen.
War so in etwa meine Vorgehensweise *g*

Gute Bücher dazu habe ich nicht gesehen.

bye
  Waldemar

-- 
8485 D0CE 2743 656E 867C  5C93 0317 AFD8 BE21 BD90


-- 
Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-request@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Reply to: