AW: Gemeinsame Benutzerverwaltung?

To: "'Debian-User-german'" <debian-user-german@lists.debian.org>
Subject: AW: Gemeinsame Benutzerverwaltung?
From: "Miro Dietiker, MD Systems" <miro.dietiker@md-systems.ch>
Date: Wed, 21 Dec 2005 17:27:30 +0100
Message-id: <[🔎] 005801c6064b$7100f5c0$4001a8c0@MDSYSPORT>
In-reply-to: <[🔎] 20051220110458.GE24216@chemie.uni-hamburg.de>

Hi Christian :)

>Von: Christian Schmidt [mailto:christian.schmidt@chemie.uni-hamburg.de]
>Gesendet: Dienstag, 20. Dezember 2005 12:05

>SMTP-Auth stuende hier primaer nicht zur Debatte...
Gut so: Ein Problem weniger ;)

>Naja - ich bilde mir ein, dass sich die Lookups im Zusammenhang mit dem

>MTA doch eigentlich auf Nachfragen der Art "Gibt es den Benutzer?" 
>sowie "Gibt es den Alias?" beschraenken sollten, oder?

Dem ist ziemlich anders...
Da pro Lookup-Tabelle mehrer Notationsvarianten möglich sind, werden
auch pro Variante ein Lookup abgesetzt. Wenn also z.B. Ziel
christian.schmidt@chemie.uni-hamburg.de ist, passieren (bei Misserfolg)
folgende Abfragen:
 - christian.schmidt@chemie.uni-hamburg.de
 - @chemie.uni-hamburg.de
 - christian.schmidt
Natürlich wird das abgebrochen wenn eines zutrifft...

Auf dem Weg eines Mails (via virtual aliases) wird das Mail nun also
diverse Lookups durchgehen:
 - myorigin (statische liste bei mir)
 - virtual_domains (LDAP)
 - virtual_aliases (LDAP, allenfalls mehrere, da man häufig
   so was wie alias -> alias -> mailbox hat in Realität)
 - local_recipients (LDAP)
 - allenfalls transport_maps (LDAP)
... Mit jeder Erweiterung des Schemas eine mehr ;-)

Irgendwie mag ich diesen Wald voll Anfragen wegen jedem Mail einfach
nicht, aber das soll Geschmackssache sein, und wenn die Ressourcen-Frage
nicht gestellt wird ... was solls! Was mein Problem war mit den
LDAP-Lookups: Pro Lookup kann man nur einen Wert als Resultat nutzen. Da
LDAP Rollenbasiert ist, heisst das "Ein Query/Lookup pro Rolle" und
selbst dann sind gewisse Aufgaben unmöglich. Wenn man z.B. auf dem
LDAP-Server ein Schema einsetzt welches bei aliasen andere Felder für
das from/to verwendet wie bei mailboxen, wird man bei den aliases einmal
nach mailboxen einen lookup machen (wenn man keine Blindeinträgt pro
Mailbox in den aliases hat) um auch catchalls zu supporten. Danach wird
man nach aliases ein lookup machen. Dabei ist zu bemerken: Heisst das
addressierte Ziel gleich wie die Zieladresse, wird man mit "aliases"
niemals ein Mail duplizieren können und an weitere Ziele senden, da das
zweite aliases-Lookup nie gemacht würde. Wenn man noch andere
konzeptionelle solche Tabellen hat, kann es durchaus sein, dass weitere
Lookups hinzukommen könnten, welche dann gegeineinander ausgeschlossen
würden aufgrund der lookup-methode. Deshalb habe ich das Script für das
"zusammenbacken aller Quellen in einen indexierten lokalen hash"
gewählt. Schema ändern, script ändern ... fertig Neue Idee, Neue
Entität, script ergänzen ... fertig Der MTA Funktioniert dabei immer
gleich. MTA austauschen, script ändern ... fertig ;-) (hab ich aber
nicht vor)!

>> :-) Ansatz deckend mit deinen Gedanken?

>Gute Frage... Auf jeden Fall hast Du eine interessante Variante 
>praesentiert. Danke!

Na denn viel Spass!

Miro

Reply to:

References:
- Re: Gemeinsame Benutzerverwaltung?
  - From: Christian Schmidt <christian.schmidt@chemie.uni-hamburg.de>

Prev by Date: mnogosearch - htdig?
Next by Date: 3Ware 7506-04 - Raid 5 - Performanceprobleme
Previous by thread: Re: Gemeinsame Benutzerverwaltung?
Next by thread: SVN und mediawiki: identische Passwoerter ... Fehler mit libapache2-mod-auth-mysql
Index(es):
- Date
- Thread