AW: Gemeinsame Benutzerverwaltung?
Hi!
Ich habe gerade ein solches Setup hinter mir..
LDAP verwende ich dabei als Directory, jedoch habe ich einige Services
(obwohl sie teils direkt auf LDAP zugreifen könnten) nicht so
konfiguriert, sondern einige Perl-Scripts geschrieben, welche die
Maschinen regelmässig "synchronisieren".
Als MTA verwende ich Postfix und Cyrus für die Boxen.
Da Postfix hässlich viele LDAP lookups generieren würde, habe ich mich
entschieden alle diese Lookups via Hashtables zu machen und die
Hashtables in einem Loop zu dumpen / inkrementell erweitern.
Ebenfalls die Mailboxen in Cyrus muss man "von hand" - sprich also mit
einem solchen Script erstellen.
Die Systemuser habe ich direkt im LDAP server drin und mit libnss-ldap
und das login mit libpam_ldap an den LDAP server gebunden.
Dieselbe Authentication im MTA habe ich mit saslauthd implementiert.
Sämtliche Passwortdaten sind demnach immer im LDAP server und werden nie
irgendwo hin synchronisiert. Damit wäre das Hauptproblem gelöst und die
Tools verhalten sich optimal schnell als wäre das lookup lokal.
Mag sein, dass einige finden das sei der falsche Ansatz, aber ich finde
es toll..
Mitunter ein Grund für diesen Ansatz ist, dass häufig die Gestaltung der
Datensätze im LDAP Server man sich an der Applikation ausrichten muss.
Wenn man es dumpt, kann man auf dem LDAP-Server konzeptionell korrekt
bleiben und entsprechend Konzeptionelle Entitäten (Mailbox, Alias, ...)
bilden, und nicht solche welche Exim/Postfix-Orientiert sind. Die
Lookup-Fähigkeiten sind nämlich häufig beschränkt.
Wenn man mal ein Teilchen austauscht, braucht man dann nicht das
Directory anzupassen, sondern das sync-script.
Apache synchronisiere ich auch so... (Schreiben von virtualhosts in
configs)
Gewisse Services sind dadurch auch nicht mehr so eng an LDAP gebunden,
dass sie noch gut funktionieren wenn das Directory sich mal verschluckt
hat und das gefällt auch so.
Auf LDAP greife ich zu mit: libnet-ldap-perl
:-) Ansatz deckend mit deinen Gedanken?
Freundliche Grüsse!
+-------------------------------+ +-------------------------------+
| Miro Dietiker | | MD Systems Miro Dietiker |
+-------------------------------+ +-------------------------------+
-----Ursprüngliche Nachricht-----
Von: Christian Schmidt [mailto:christian.schmidt@chemie.uni-hamburg.de]
Gesendet: Montag, 19. Dezember 2005 17:44
An: Debian-User-german
Betreff: Gemeinsame Benutzerverwaltung?
Hallo miteinander,
demnaechst werde ich zwei Server einrichten. Einer davon soll
"outbound services" abdecken (WWW, eMail), der andere nach "innen" im
wesentlichen als Samba-Fileserver dienen. Die Benutzer werden auf
beiden Seiten die gleichen sein, so dass eine gemeinsame
Benutzerverwaltung naheliegt.
Aktuell bedient man sich IMO dafuer wohl der Faehigkeiten eines
LDAP-Servers, oder?
Ich stelle mir das so vor:
- Server "intern" haelt via LDAP die Benutzerdaten vor.
- Auf Server "extern" wird zur Mailzustellung sowie zur
Authentifizierung eine LDAP-Anfrage an "intern" generiertund
ausgewertet.
- Auch eMail-Aliases sollen via LDAP verwaltet werden.
An Software soll eingesetzt werden: Debian Sarge, exim4, dovecot und
(auf "intern") eben samba.
Bekomme ich das auch als Einsteiger in das Thema LDAP hin? Oder
wuerdet Ihr eine komplett andere Herangehensweise empfehlen?
An Doku zur "Verheiratung" von (u.a.) Samba und LDAP habe ich ein IMO
recht gelungenes Howto auf <http://www.idealx.org> gefunden; was die
Zusammenarbeit mit exim anbelangt, bin ich noch auf der Suche...
Habt Ihr sonst noch Hinweise auf lesenswerte Anleitungen, Do-s,
Don't-s etc.?
Es sei Euch schon im Voraus gedankt.
Gruss,
Christian Schmidt
--
Ich bin nicht an allem schuld, sondern nur an einigem.
-- Klaus Knopper
Reply to: