[CLOSED] "single sign on" mit NTLM - Runde 2
Hallo Magnus,
Am 29.01.2012 01:01, schrieb Magnus Wagner:
Am Samstag, 28. Januar 2012, 21:01:11 schrieb Hans-Dietrich Kirmse:
ich hatte damit nicht gerechnet, dass es mit dem Server, der am Internet
hängt, auch ein Problem dieser Art gibt. Denn das hat m.E. nichts mit
meinen Konfigurationsversuchen zu tun.
ein Tipp:
nimm den server ganz schnell weg vom Internet.
Dieser Tipp ist wenig hilfreich und außerdem falsch.
Es ist ja geradezu grob fahrlässig mit diesem Kentnissstand einen Server auf
dem sich auch noch persönliche Daten von Schülern befinden "am Internet hängen"
zu haben.
Ich betreue seit 1999 an meiner Schule einen Linux-Server. Allerdings
war das ein ganz spezieller für Schulen, der ct-ODS-Server Arktur. Wenn
man bei der Installation da die (wenigen) notwendigen Eingaben gemacht
hat, dann war der Server (die sprichwörtliche "eierlegende
Wollmilchsau") mit allen benötigten Diensten eingerichtet und zwar
sicher! Der Admin hatte damit nichts zu tun. Er hat und konnte sich
darauf genauso verlassen wie z.B. bei einem neu gekauften Auto, das
einfach zu gehen hat. Und es gab eine _verständliche_ Doku:
http://arktur.schul-netz.de/doc/arkturdok/
Nun ist es aber so, das an manchen Schulen die Möglichkeiten dieser
"eierlegende Wollmilchsau" trotzdem nicht ausgereicht hatten. z.B. auch
an meiner Schule. Ich hatte von 1996 bis 98 ein Fernstudium Informatik
an der Uni Jena absolviert, um auch Leistungskurse Informatik zu
unterrichten. Jedenfalls hatte ich schon gute Gründe gesehen, an manchen
Schrauben zu drehen, damit dieser Server "meinen" Ansprüchen genügt.
Kurz und gut, ich hatte es dann übernommen, die FAQ zu Arktur(3.3) zu
erstellen und zu betreuen. http://www.arktur.th.schule.de/faq (geht
hoffentlich morgen)
Bei der Erstellung der (einzigen) "finalen" Version Arktur 3.5 war ich
verantwortlich für die Überarbeitung der Doku.
http://arktur.schul-netz.de/doc/ods-v35/
Dabei hatte ich auch neue Beiträge erstellt, dort die Punkte 8.4, 11.3,
11.4, 11.7, 11.10.
Unabhängig davon, ich habe bis dahin nie DNS etc. konfigurieren müssen,
denn das haben die Entwickler dieses Schulservers getan. und ich sehe da
keine Fahrlässigkeit, einen solchen *produktiven* Server zu betreuen,
auch wenn man von DNS absolut keine Ahnung hat.
Leider ist die Entwicklung dieses Servers stehen geblieben (geschätzte
Anzahl von 2000 Installationen in Deutschland). Es gab Bemühungen, einen
neuen Server zu erstellen. Von den vielen, die hier mitarbeiten wollten
ist nur eine reichliche handvoll Leute geblieben und wir versuchen das
auf der Basis von Debian. Wir hatten unser Zielsetzung mangels Man-Power
und auch wegen fehlenden Know-How zwischenzeitlich runtergefahren auf
das Erstellen einer Installationsanleitung.
http://www.delixs.de/dwiki/index.php/Installation:Entwicklungsumgebung
Dort gibt es den Punkt DNS-Server. Ursprünglich war die Seite von mir
erstellt, wurde dann zum Glück für mich (als es um DDNS ging) von
Experten übernommen (Namen sind angegeben).
Diese Konfiguration wird natürlich bei unserer Distribution keinen Admin
zugemutet. Stattdessen wurde ein Paket erstellt, welches über die
Abhängigkeiten die eigentlichen Debian-Pakete reinzieht und das
postinst-Script konfiguriert das DNS-System genau so, wie es in der
Anleitung angegeben wurde. Das Paradoxe an dieser Situation: dieses
Paket habe ich erstellt. Du findest das in unserem Repository unter
http://deb.delixs.de/testing/
oder im SVN unter
http://dev.delixs.de/wsvn/delixs/delixs-dns/tags/0.6/debian/
Was will ich damit sagen:
1. ein klein bißchen habe ich mich schon mit DNS beschäftigt
2. aber ich kann nicht und ich will nicht alles können, sondern ich
bringe mich da ein, wo ich meine Stärken habe.
3. Teamarbeit heißt erstmal "Vertrauen in die Arbeit des anderen". Jedes
"Teil" der Lösung wurde von jemanden erstellt, der sich intensiv damit
beschäftigt hat und sich auskennt. Ich vertraue darauf, das er das nach
bestem Wissen gemacht hat. Warum soll dann aber das System nicht sicher
sein?
Danach schaust du mal wie auf deinem Server DNS konfiguriert werden muss, vor
allem der DNS-Server.
nein, hier geht es nicht darum, das ich in einer Art Manufaktur- oder
Handwerksbetrieb alles selbst erstellen will. Ich kann und will mich nur
auf wenige Dinge konzentrieren und die will ich richtig machen.
ich will hier SSO. Und nur weil das an Winbind gebunden ist und dieses
wiederum nicht für die gleiche Domäne konzipiert ist/war muss ich eben
erstmal notgedrungen ein 2-Server-System haben. Als Testsystem!
und selbst wenn ich das nicht perfekt hinbekomme oder/und nicht
vollständig verstehe, Hauptsache es läuft, damit ich mit Winbind
experimentieren kann und wenn es läuft, dass ich das in ein Paket
stecken kann, damit die Installation automatisch abläuft (später).
Hier in der Liste kam, dass ich keine Chance habe. Nochmal zu der oben
angegebenen Doku: auch die Seite zu Samba, LDAP und Squid ist auf meinen
Mist gewachsen, ebenso wurden von mir die Pakete dazu erstellt, ebenso
das Paket delixs-squid-ldapauth. Ich denke deshalb schon, dass ich so
ungefähr einschätzen kann, was mich da erwartet. Und ich wußte auch,
dass (nach meinem jetzigen Kenntnisstand) diese Anbindung der 2 Server
für mich das Kernproblem ist - was ich so angegeben habe und was sich
leider auch bewahrheitet hat.
Ich habe hier auf Hilfe gehofft, nicht auf Wertungen. Wenn die
Konfiguration mit dem DNS (für euch) so einfach ist, dann sollte es doch
kein Problem sein, mir zu sagen, in welche Richtung ich suchen muss, was
ich testen muss oder welche Dateien mal in Augenschein genommen werden
sollten. Aber nicht zu helfen, stattdessen sich die Zeit für (abfällige)
Wertungen zu nehmen - das liebe ich. Und: es gibt auch noch andere
Ansätze als "einer macht alles" - sprich Teamarbeit.
Demzufolge ist dein "Vorschlag" keine Hilfe, sondern m.E. einfach nur
daneben.
Hans-Dietrich
PS: ich denke es macht keinen Sinn, in dieser Liste hier weiter an dem
Thema zu arbeiten - leider. Deswegen dieses [CLOSED] im Betreff.
Reply to: