Fragen für eine zentrale Benutzerverwaltung im Heimnetzwerk

butonic · Beitrag von **butonic** » 08.04.2003 14:13:25

Situation:
Es existiert ein voll funktionsfähiges Heimnetzwerk mit momentan 3-5 Rechnern und DSL-Anbindung. Die Internetverbindung wird über einen Linuxrechner hergestellt, der nebenbei auch als FileServer fungiert, und noch einige andere DIenste bereitstellt (overnet, teamspeak, apache ...). Zwecks Spielen ist auf den Clients neben Linux auch Windows 2000 installiert.
Ausserdem existieren diverse Samba Freigaben auf dem Server für Entwicklungs- und Mediendateien.

Geplante Benutzerverwaltung:
Für eine einheitliche und zentrale Benutzerverwaltung könnten mit Hilfe von LDAP / SAMBA / PAM_SSL Benutzerkonten eingerichtet werden, die unter Windows und Linux identisch sind.

Fragen:
Wer mitgelesen hat, dem ist aufgefallen, das ich 3-5 geschrieben habe. Das liegt daran, das mehrere Rechner von meinen Kumpels zu mini LANs angeschleppt, und wieder weggebracht werden und ich noch einen alten Laptop habe.

Was passiert mit den Rechnern, wenn sie nicht am Netz sind, und deshalb den LDAP Server nicht erreichen können

Soweit ich mich informiert habe (nehmen wir mal den Laptop) kann ich mich nicht am System anmelden, sobald die Netzwerkverbindung getrennt wird.

Wie kann ich das verhindern

Eine andere Boot option (kommt mir grade so in den Sinn)?
Einrichten eines slave LDAP servers auf jedem Client und Replizieren (overkill, oder)?

Hat schon jemand in diese Richtung Erfahrungen gemacht? Wie habt ihr euer Heimnetzwerk organisiert

Wie kann ich das Mounten von Benutzerlaufwerken auf dem Server auf deren Eigentümer beschränken (SAMBA wg. Windows):?:
Da muss es doch eine einfache Lösung geben, oder?

Vielen Dank im Voraus

butonic

fips · Beitrag von **fips** » 13.04.2003 18:58:41

hört sich nach einem interessanten projekt an.
Ne zentrale Benutzerverwaltung für drei Rechner über LDAP ist
vielleicht einen Tucken zu überdimensioniert - aber was solls -
macht ja auch Spass so was mal zu realisieren.

Zu deinen Fragen:
Auf der Windowsseite kenn ich mich nicht so gut aus - soweit ich weiss kannst du
den SAMBA als DOMAINCONTROLER einsetzen. Auf den Windowsclients richtetes
du dann einen lokalen Account ein, um immer auf den eigenen Rechner zugreifen zu können. Zusätzlich kannst du dann noch einen Account für die DOMAIN einrichten. Die Authentifizierung geht dann über SAMBA und du erhälst die Freigaben in der DOMAIN.
LDAP benutzt du dann um die Einstellungen für Samba zu speichern - also z.B. Benutzername/PW und was die Windowsclients noch so alles brauchen. Dafür findest Du ein ganz bestimmtes Schema beim LDAP Server.
Ein Replizieren auf alle Clients ist nicht empfehlenswert - wirklich nicht empfehlenswert.

Ich hoffe ich habe deine Fragen richtig verstanden und meine Antwort hilft dir ein bisschen weiter.
Die letzte Frage versteh ich nicht - was sind benutzerlaufwerke? Vielleicht hilft dort ein Beispiel zur Aufklärung.

Du kannst den LDPA server noch dazu benutzen, deine kontakte zu pflegen. Also in kombination mit den den email progs wie outlook(express), mozilla etc...

Lass mal hören, wie du mit deinem Projekt voran kommst,
viel Erfolg und Spass, Fips

butonic · Beitrag von **butonic** » 14.04.2003 13:07:45

fips hat geschrieben: Ne zentrale Benutzerverwaltung für drei Rechner über LDAP ist
vielleicht einen Tucken zu überdimensioniert - aber was solls -
macht ja auch Spass so was mal zu realisieren.

genau!

fips hat geschrieben: Zu deinen Fragen:
Auf der Windowsseite kenn ich mich nicht so gut aus - soweit ich weiss kannst du
den SAMBA als DOMAINCONTROLER einsetzen.

ja, um die windowsseite mache ich mir auch keine sorgen. wenn ein windowsrechner den zentralen domaincontroller mal nicht findet nimmt er das lokale benutzerprofil, und gut ist...

Aber was passier mit einem linuxrechner. kann ich den dann irgendwie nutzen, oder bin ich vom system 'ausgesperrt'?!?

fips hat geschrieben: Ein Replizieren auf alle Clients ist nicht empfehlenswert - wirklich nicht empfehlenswert.

ok, das war jetzt mein erster gedankenansatz, um die linuxclients unabhängig vom zentralen server zu machen...

fips hat geschrieben: Die letzte Frage versteh ich nicht - was sind benutzerlaufwerke? Vielleicht hilft dort ein Beispiel zur Aufklärung.

Wer sich an einem Rechner anmeldet soll einen lokalen ordner zum speichern von daten erhalten, und einen ordner, der auf dem server liegt. außerdem soll er noch einen weiteren ordner vom server als nur lesen bekommen, in dem mp3s liegen.
unter linux ließe sich das mit smbmount lösen.
unter windows muss das mit 'netzlaufwerk verbinden' passieren, da muss ich mich aber noch schlau machen. schließlich will ich das nicht für jeden zu fuß machen (genauso unter linux, wo muss ich dnn da so ein skript hinterlegen?)

fips · Beitrag von **fips** » 14.04.2003 13:55:34

ok, jetzt versteh ich im detail deine fragen.

du kannst linux so konfigurieren, dass er einen ldap nicht zwingend braucht, um sich
einzuloggen.
die dienste unter linux, die eine authentisierung benötigen, werden durch die pam
module gesteuert. schau mal die datei /etc/pam.conf

bei mir:

#
# Authentication management
#
login auth sufficient /lib/security/pam_ldap.so.1
login auth required /lib/security/pam_unix.so.1 try_first_pass
login auth required /lib/security/pam_dial_auth.so.1

ssh auth sufficient /lib/security/pam_ldap.so.1
ssh auth required /lib/security/pam_unix.so.1 try_first_pass

rlogin auth sufficient /lib/security/pam_rhosts_auth.so.1
rlogin auth sufficient /lib/security/pam_ldap.so.1
rlogin auth required /lib/security/pam_unix.so.1 try_first_pass

dtlogin auth sufficient /lib/security/pam_ldap.so.1
dtlogin auth required /lib/security/pam_unix.so.1 try_first_pass

rsh auth required /lib/security/pam_rhosts_auth.so.1

su auth required /lib/security/pam_ldap.so.1
#su auth required /lib/security/pam_unix.so.1 try_first_pass

other auth sufficient /lib/security/pam_ldap.so.1
other auth required /lib/security/pam_unix.so.1 try_first_pass

#
# Account management
#
login account required /lib/security/pam_ldap.so.1
login account required /lib/security/pam_unix.so.1

dtlogin account required /lib/security/pam_ldap.so.1
dtlogin account required /lib/security/pam_unix.so.1

other account required /lib/security/pam_ldap.so.1
other account required /lib/security/pam_unix.so.1

#
# Session management, not implemented by pam_ldap
#
other session required /lib/security/pam_unix.so.1

#
# Password management
#
#other password required /lib/security/pam_unix.so.1
other password required /lib/security/pam_ldap.so

und schau mal im verzeichnis /etc/pam.d/
#%PAM-1.0
#auth required pam_nologin.so
auth sufficient pam_ldap.so
#auth required pam_unix_auth.so try_first_pass
#auth required pam_env.so # [1]

account sufficient pam_ldap.so
#account required pam_unix_acct.so

session required pam_unix_session.so
#session optional pam_lastlog.so # [1]
#session optional pam_motd.so # [1]
#session optional pam_mail.so standard noenv # [1]
#session required pam_limits.so

#password required pam_cracklib.so
password sufficient pam_ldap.so
#password required pam_unix.so
#password required /lib/security/pam_pwdb.so use_first_pass

#password required pam_unix.so

# Alternate strength checking for password. Note that this
# requires the libpam-cracklib package to be installed.
# You will need to comment out the password line above and
# uncomment the next two in order to use this.
#
# password required pam_cracklib.so retry=3 minlen=6 difok=3
# password required pam_unix.so use_authtok nullok md5

bei mir z.B ssh

die mit den optionen required/optional/sufficient kannst du dann die rechte für dein netzwerk einrichten. wenn du pam_unix benutzt nimmt er sich die infos aus den config dateien in /etc/passwd etc
pam_ldap holt sich die infos aus dem ldap_server

bei /etc/pam.d/su musst du ein bisschen aufpassen - die hatte ich mir schon mal so konfiguriert, dass mein system nicht mehr booten wollte:
wichtig ist dort der eintrag:
auth sufficient pam_rootok.so
manche startup scripte brauchen es....

für die groups musst du noch andere sachen in deinem system umkonfigurieren.
wenn du soweit bist - sag bescheid.

gruss, viel spass

butonic · Beitrag von **butonic** » 14.04.2003 19:12:45

na dann werd ich jetzt erst mal pam doku lesen

mittwoch hab ich frei, dann werd ich mir mal den server und meinen alten laptop als probesysteme nehmen...

fips · Beitrag von **fips** » 15.04.2003 12:16:45

zu der freigabe von den laufwerken unter linux:
du kannst auch nfs nehmen - dann sparst du dir den umweg über samba.
musst aber dafür zwei systeme administrieren.
(samba und nfs)
die administration von nfs ist aber wirklich sehr einfach und schnell erledigt.
schau dir mal die doku zu der /etc/fstab an - hier kannst du den clients sicherlich
sagen, dass sie ein smbverzeichnis/nfsverzeichnis bei jedem booten in
eine bestimmte stelle im system mounten sollen. zugriffsrechte musst du erst
auf dem server einstellen und kannst dann noch zusätzliche optionen in samba
angeben.
ob man zusätzliche zugriffsrechte bei nfs angeben kann, weiss ich nicht.

gruss

butonic · Beitrag von **butonic** » 15.04.2003 14:06:31

Ich hab bisher nfs mounts für Linux, und das ist wirklich recht einfach, aber da ich eh meist Win boote, um zu zocken, denke ich es ist sinnvoller nur samba zu benutzen, um nicht zwei Systeme administrieren zu müssen.

das mit den zusätzlichen zugriffsrechten unter nfs ist möglich, mann kann eigentlich alles mögliche damit anstellen, wenn man nNISoder etwas anderes (ldap) benutzt, um die User- und Gruppenid's auf allen Systemen synchron zu halten.

Allerdings kann Windows damit nichts anfangen, darum werde ich mich auf samba beschränken.