Hallo,
ich plane im Moment für ein kleines Projekt ein Netzwerk. Im Rahmen von notwendigen Kosteneinsparungen stehen deutlich weniger Rechner zur Verfügung als Benutzer. Da jedoch nie alle Benutzer gleichzeitig Rechner nutzen stellt dies kein Problem dar, solange jeder Nutzer an jedem Rechner arbeiten kann. Soweit, so gut. Das sollte sich mit einem LDAP-Verzeichnis und Home-Verzeichnissen per NFS lösen lassen. (LDAP ist für mich zwar relatives Neuland, aber ich habe noch einige Zeit das vorher ausgiebig zu lernen und testen)
Wie aber kann ich hierbei mit Notebooks umgehen die nur zeitweise mit dem Netzwerk verbunden sind?
Wie kann man sicherstellen, dass ein login auf dem Notebook mit dem selben Passwort möglich ist wie an den Workstations(insbesondere, wenn das Notebook wechselweise von mehreren Pesonen benutzt wird)?
Wie kann ich mit den Homeverzeichnissen auf den Notebooks umgehen? Synchronisieren mit rsync oder etwas Ähnlichem?
Vielen Dank,
alexfupp
Zentrale Nutzerverwaltung und Notebooks
Das Accountmanagement und die Homeverzeichnisse musst du auf den Laptops natürlich genauso konfigurieren, wie auf den Workstations. Der Unterschied bei Laptops ist ja nur, dass sie nicht zwingend an eben diesem LDAP-Netz hängen. Von daher muss man da eine Möglichkeit haben anzugeben, dass in Netz xxx.xxx.xxx.xxx LDAP verwendet werden soll, in allen anderen Fällen eben nur lokale Benutzer (mit lokalen Home-Verzeichnissen) einloggen können.
Eine Lösung dazu habe ich jedoch nicht. Welchen Networkmanager Six meint, weiß ich leider auch nicht.
Ansatz: Der Unterschied liegt hier hauptsächlich in der Benutzerverwaltung. Vlt. existiert ein PAM-Modul, was derartiges erledigt. Problematisch würde es nur werden, wenn im LDAP Benutzer existieren, die auch lokal auf dem Laptop vorhanden sind. Insbesondere hättest du dann das Problem, dass ein Home lokal und eines per NFS existiert. Das müsstest du also dann ausschließen können. Wie gesagt, nur ein Ansatz, bzw. eher eine Gedankenspielerei.
Eine Lösung dazu habe ich jedoch nicht. Welchen Networkmanager Six meint, weiß ich leider auch nicht.
Ansatz: Der Unterschied liegt hier hauptsächlich in der Benutzerverwaltung. Vlt. existiert ein PAM-Modul, was derartiges erledigt. Problematisch würde es nur werden, wenn im LDAP Benutzer existieren, die auch lokal auf dem Laptop vorhanden sind. Insbesondere hättest du dann das Problem, dass ein Home lokal und eines per NFS existiert. Das müsstest du also dann ausschließen können. Wie gesagt, nur ein Ansatz, bzw. eher eine Gedankenspielerei.
Ich würde es wie folgt machen:
LDAP Authentifizierung per PAM. Das hat den Vorteil, dass wenn der LDAP Server nicht erreichbar ist, man sich immer noch über andere Module einloggen kann, z.B. die lokale /etc/passwd
So, damit ist schon sichergestellt, dass sich Notebooks auch authentifizieren können, wenn sie nicht am Netzwerk angeschlossen sind.
Dann würde ich bei den Notebooks ein Skript schreiben, was nach einem erfolgreichem Login am LDAP die /etc/passwd mit den Credential füllt, z.B. (nur ein Beispiel, muss noch viel weiter ausgebaut werden!)
getent passwd | grep $USER >> /etc/passwd
getent shadow | grep $USER >> /etc/shadow
Das hat den Vorteil, dass nur Leute das Notebook benutzen können, die sich damit am Netzwerk authentifiziert haben.
LDAP Authentifizierung per PAM. Das hat den Vorteil, dass wenn der LDAP Server nicht erreichbar ist, man sich immer noch über andere Module einloggen kann, z.B. die lokale /etc/passwd
So, damit ist schon sichergestellt, dass sich Notebooks auch authentifizieren können, wenn sie nicht am Netzwerk angeschlossen sind.
Dann würde ich bei den Notebooks ein Skript schreiben, was nach einem erfolgreichem Login am LDAP die /etc/passwd mit den Credential füllt, z.B. (nur ein Beispiel, muss noch viel weiter ausgebaut werden!)
getent passwd | grep $USER >> /etc/passwd
getent shadow | grep $USER >> /etc/shadow
Das hat den Vorteil, dass nur Leute das Notebook benutzen können, die sich damit am Netzwerk authentifiziert haben.
Der Ansatz von pawel klingt schon so wie ich mir das vorstelle. Danke pawel.
Da sich ein Nutzer, der ein Notebook ausserhalb des Netzes nutzen will, sowieso einmal im Netzwerk einloggen muss um zu überprüfen ob er alle Dateien die er benötigt lokal auf dem Notebook hat, ist der notwendige login am Netzwerk auf dem Notebook nicht schlimm und nur ein zusätzlicher Sicherheitsfaktor.
Aber wie kann man dann mit den Home-Verzeichnissen verfahren?
Eine Möglichkeit wäre es unterschiedliche Homeverzeichnisse im LDAP und in der localen /etc/passwd zu verwenden. Dann kann und muss der Benutzer diese selbst abgleichen.
Was würde dann passieren wenn man sich im WLAN einloggt und dann die WLAN-Reichweite verlässt? Dann ist das home-Verzeichnis weg?
Oder wäre es sinnvoll ein homeverzeichnis lokal auf dem Notebook einzurichten und dieses immer zu nutzen (egal ob per ldap angemeldet oder lokal). So hat man auf dem Notebook seine eigenen Konfigurationsdateien etc.(andere als im LDAP)
Wenn man dann ein Verzeichnis /home/nfs/username erzeugt, in das man bei Anmeldungen am LDAP das nsf-home mounted, hat man bei bestehender Netzwerkverbindung auch sein home-Verzeichnis vom Server zur verfügung.
Oder man erstellt ~/nfs als Symlink auf /home/nfs/username. Bei einer LDAP-anmeldung mounted man das nfs-home nach ~/nfs und synchronisiert von da aus nach /home/nfs/username. Dann hat man unter ~/nfs entweder den aktuellen stand aus dem nfs oder den letzten bekannten. Dies kann man dann auch zum verlinken der Konfigurationen nutzen.
Oder gibt es noch elegantere Methoden?
Da sich ein Nutzer, der ein Notebook ausserhalb des Netzes nutzen will, sowieso einmal im Netzwerk einloggen muss um zu überprüfen ob er alle Dateien die er benötigt lokal auf dem Notebook hat, ist der notwendige login am Netzwerk auf dem Notebook nicht schlimm und nur ein zusätzlicher Sicherheitsfaktor.
Aber wie kann man dann mit den Home-Verzeichnissen verfahren?
Eine Möglichkeit wäre es unterschiedliche Homeverzeichnisse im LDAP und in der localen /etc/passwd zu verwenden. Dann kann und muss der Benutzer diese selbst abgleichen.
Was würde dann passieren wenn man sich im WLAN einloggt und dann die WLAN-Reichweite verlässt? Dann ist das home-Verzeichnis weg?
Oder wäre es sinnvoll ein homeverzeichnis lokal auf dem Notebook einzurichten und dieses immer zu nutzen (egal ob per ldap angemeldet oder lokal). So hat man auf dem Notebook seine eigenen Konfigurationsdateien etc.(andere als im LDAP)
Wenn man dann ein Verzeichnis /home/nfs/username erzeugt, in das man bei Anmeldungen am LDAP das nsf-home mounted, hat man bei bestehender Netzwerkverbindung auch sein home-Verzeichnis vom Server zur verfügung.
Oder man erstellt ~/nfs als Symlink auf /home/nfs/username. Bei einer LDAP-anmeldung mounted man das nfs-home nach ~/nfs und synchronisiert von da aus nach /home/nfs/username. Dann hat man unter ~/nfs entweder den aktuellen stand aus dem nfs oder den letzten bekannten. Dies kann man dann auch zum verlinken der Konfigurationen nutzen.
Oder gibt es noch elegantere Methoden?