Re: Netzwerkserver für Adressen

[Jan Lühr <jluehr@gmx.net>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

ja hallo erstmal,...

Am Sonntag, 20. Juni 2004 13:11 schrieb Bjoern Schmidt:
> Jan Lühr wrote:
> >>>https://kilobyte.dyndns.info/myfaqs/index.html#index006
> >>
> >>Hmm, gabs mit der Anleitung Probleme?
> >>Über Meldungen zu Unklarheiten/Fehlern und über Verbesserungsvorschläge
> >>würde ich mich sehr freuen.
> >
> > - - Man kann einen ldap-Server nicht mit SSL schützen, allenfalls eine
> > LDAP-Verbindung.
>
> OK, das stimmt. Muss ich mal ändern...
>
> > Der Server wird damit eher anfällig
>
> Warum, bzw. wodurch? Durch die Falschaussage oder technisch
> durchs SSL?

Einerseits ist opnessl kein unbeschreiebenes Blatt was exploits anbelangt, 
andererseits ist ein komplexes System grundsätzlich anfälliger als ein 
einfaches, da es auf mehreren Ebenen versagen kann. (Dies gilt natürlich 
nicht immer. Wird ein Server mit hearbeat geschützt, ist das entstandene 
System nur bedingt anfälliger ;)

> > - - Ein stupide config-Paramter dahinzuknallen hilft keinem. Ich würde
> > dringed empfehlen das ganze ausführlicher zu machen...
>
> Nein, genau das möchte ich nicht. Ich habe die Anleitung bewusst kurz
> gehalten:
>
> - Erstens will ich eine Anleitung bieten mit der man auf
>    kürzestem Wege eine für sarge funktionierende Konfiguration bekommt.
>
> - Zweitens ist ldap durch z.B. 'man' ausreichend dokumentiert so dass
>    falls man mal etwas genauer wissen will genau dort nachsehen kann.
>    Aber: Nicht jeder will dass! (Schade eigentlich)

Sicher - nur das ist sinnlos. Dann hättest du das ganze auch in ein 
bash-script schreiben und zum download anbieten können. Ich dachte, es geht 
um eine Anleitung...

> - Drittens bekomme ich "gelegentlich" Mails von Usern die mir schreiben
>    dass sie genau so eine Seite gesucht haben und Danke sagen wollen.
>    Die anderen Seiten waren so "überladen"... :)
>    Das ist das Hauptargument um bei diesem Stil zu bleiben.

Wenn du meinst...

> - Viertens ist das genau die Art von Anleitung die ich bei meinen Suchen
>    im Netz bevorzuge. Nimm als Beispiel diese Seite:
>
>    http://homex.subnet.at/~max/ldap/
>
>    Da steht alles drin und die Seite ist so gesehen sehr sehr gut. Aber
>    die Informationen die man braucht und damit einen Server zum laufen
>    zu bringen sind mir einfach zu stark verteilt, Hauptgrund dafür sind
>    die ganzen Erklärungen die ich eigentlich gar nicht brauche/will.

Ist eine Struktur, die Erklärungen Optional anbietet, denn undenkbar? Was wäre 
an einem Link "Erklärung" hinter jeder Zeile so schlimm?

> Was ich in jedem Fall noch vorhabe ist eine Auswahl meiner Bookmarks zu
> diesem Thema unter "Links" abzulegen, um die durch 'man' nicht
> beantworteten Fragen abzudecken.

Da hast du aber was vor...

> Wenn ich mal gaaanz viel Zeit habe schreibe ich ein zweites,
> _ausführliches_ howto und biete es parallel an, doch vorher will ich
> noch die Samba/LDAP Anleitung schreiben.

Wieso willst du das Rat neu erfinden?

> > - - Eine Verbindung zu einem LDAP-Server auf dem localhost SSL zu sichern
> > ist extrem paranoide.
>
> Wie meinen? "ldap://127.0.0.1/"; ist ungesichert, da gibt es kein SSL!
> Da hast Du Dich verguckt. Dennoch wäre es besser wenn da ldapi:///
> stände, sofern Client == Server ist.

Das kann sein.. ich habe es nur überflogen.
>
> Ach ja, eine Frege hätte ich noch. Welchen Umfang müsste das HowTo
> haben damit es ausreichend ausführlich ist?

Optimalerweise sollte es mehrstufig-ausführlich sein.
D.h. 
- - Es sollte stehen, was du machst. (Hast du)
- - Es sollte stehen, was es bewirkt. (Damit einer mit einem ähnlichen Problem 
damit auch etwas anfangen kann)
- - Es sollten Alternativen und Probleme aufgelistet sein, damit der, der sie 
hat, sie beheben kann.

Wenn du alles auf einmal (wie in einem Buch) präsentierst, ist das mit Recht 
didaktisch nicht klug,jedoch bietet gerade das Internet sehr viele 
Möglichkeiten das ganze didaktisch geschickt zu strukturieren.

Abgesehen davon ist es bei einigen Themen sinnvoll eine Hürde durch 
umfangreiche How-tos zu setzen, da gerade durch sie sichergestellt ist, dass 
der, der die Informationen nutz, weiß was er macht. Das ist bei einigen 
Dingen SEHR wichtig. SSL zähle ich dazu.

Keep smiling
yanosz

- -- 
Achtung Adressfälschungen! Daher gilt:
"Jans Echte" - Nur echt mit der Signatur.
Infos siehe: http://www.luehr.mynetcologne.de/echeck.html
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.4 (GNU/Linux)
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=2YT2
-----END PGP SIGNATURE-----