Re: Gemeinsame Benutzerverwaltung?

To: "'Debian-User-german'" <debian-user-german@lists.debian.org>
Subject: Re: Gemeinsame Benutzerverwaltung?
From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
Date: Tue, 20 Dec 2005 12:04:59 +0100
Message-id: <[🔎] 20051220110458.GE24216@chemie.uni-hamburg.de>
Mail-followup-to: 'Debian-User-german' <debian-user-german@lists.debian.org>
In-reply-to: <[🔎] 034001c604f3$9506e960$4001a8c0@MDSYSPORT>
References: <[🔎] 20051219164336.GB7437@server.linau.de> <[🔎] 034001c604f3$9506e960$4001a8c0@MDSYSPORT>

Hallo Miro,

Miro Dietiker, MD Systems, 20.12.2005 (d.m.y):

> Ich habe gerade ein solches Setup hinter mir..
> LDAP verwende ich dabei als Directory, jedoch habe ich einige Services
> (obwohl sie teils direkt auf LDAP zugreifen könnten) nicht so
> konfiguriert, sondern einige Perl-Scripts geschrieben, welche die
> Maschinen regelmässig "synchronisieren".

Interessant.

> Als MTA verwende ich Postfix und Cyrus für die Boxen.
> Da Postfix hässlich viele LDAP lookups generieren würde, habe ich mich
> entschieden alle diese Lookups via Hashtables zu machen und die
> Hashtables in einem Loop zu dumpen / inkrementell erweitern.
> Ebenfalls die Mailboxen in Cyrus muss man "von hand" - sprich also mit
> einem solchen Script erstellen.
> 
> Die Systemuser habe ich direkt im LDAP server drin und mit libnss-ldap
> und das login mit libpam_ldap an den LDAP server gebunden.
> Dieselbe Authentication im MTA habe ich mit saslauthd implementiert.

SMTP-Auth stuende hier primaer nicht zur Debatte...

> Sämtliche Passwortdaten sind demnach immer im LDAP server und werden nie
> irgendwo hin synchronisiert. Damit wäre das Hauptproblem gelöst und die
> Tools verhalten sich optimal schnell als wäre das lookup lokal.
> 
> Mag sein, dass einige finden das sei der falsche Ansatz, aber ich finde
> es toll..
> Mitunter ein Grund für diesen Ansatz ist, dass häufig die Gestaltung der
> Datensätze im LDAP Server man sich an der Applikation ausrichten muss.
> Wenn man es dumpt, kann man auf dem LDAP-Server konzeptionell korrekt
> bleiben und entsprechend Konzeptionelle Entitäten (Mailbox, Alias, ...)
> bilden, und nicht solche welche Exim/Postfix-Orientiert sind. Die
> Lookup-Fähigkeiten sind nämlich häufig beschränkt.

Naja - ich bilde mir ein, dass sich die Lookups im Zusammenhang mit
dem MTA doch eigentlich auf Nachfragen der Art "Gibt es den Benutzer?"
sowie "Gibt es den Alias?" beschraenken sollten, oder?

> Wenn man mal ein Teilchen austauscht, braucht man dann nicht das
> Directory anzupassen, sondern das sync-script.
> 
> Apache synchronisiere ich auch so... (Schreiben von virtualhosts in
> configs)
> 
> Gewisse Services sind dadurch auch nicht mehr so eng an LDAP gebunden,
> dass sie noch gut funktionieren wenn das Directory sich mal verschluckt
> hat und das gefällt auch so.
> 
> Auf LDAP greife ich zu mit: libnet-ldap-perl
> 
> :-) Ansatz deckend mit deinen Gedanken?

Gute Frage... Auf jeden Fall hast Du eine interessante Variante
praesentiert. Danke!

Gruss,
Christian Schmidt

-- 
Christian Schmidt | Germany 
No HTML Mails, please!

Reply to:

Follow-Ups:
- AW: Gemeinsame Benutzerverwaltung?
  - From: "Miro Dietiker, MD Systems" <miro.dietiker@md-systems.ch>

References:
- Gemeinsame Benutzerverwaltung?
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>
- AW: Gemeinsame Benutzerverwaltung?
  - From: "Miro Dietiker, MD Systems" <info@md-systems.ch>

Prev by Date: Re: apt-sourcen eintragen
Next by Date: hylafax - mail2fax - leider nur ohne Anhang möglich
Previous by thread: AW: Gemeinsame Benutzerverwaltung?
Next by thread: AW: Gemeinsame Benutzerverwaltung?
Index(es):
- Date
- Thread