Machbarkeit / Verständnisfrage zu LDAP und Zentralisierung

[m@ddin]

Hi Leute!

Ich habe eine oder mehrere Fragen zu LDAP in Verbindung mit weiteren Diensten. Zum Hintergrund: mich nervt es einfach, dass ich x-tausend verschiedene Dienste habe, für jeden ein eigenes Passwort, für jeden ein eigener Benutzer und doch alle mit dem gleichen Namen. Rechte müssen doppelt und dreifach gepflegt werden, obwohl sie am Ende doch das gleiche tun.

Dazu habe ich mich in letzter Zeit mit LDAP beschäftigt. Ich plane derzeit folgendes: ein LDAP-Verzeichnis soll die komplette "Konfiguration" der Dienste übernehmen. Dabei geht es um Benutzerkonten, Passwörter, E-Mail Konten, WebServer-Zugriffe, SVN-Zugriffe, etc. pp.

Mich interessiert dabei in erster Linie folgendes: es muss zentral realisierbar sein. Das heißt, im LDAP Verzeichnis gibt es zum Beispiel den Benutzer USER1. Dieser User hat Zugriff auf die Domäne und ein E-Mail Konto. Soll der Benutzer z.B. noch lesenden Zugriff auf ein SVN-Repository bekommen, so sollte auch im LDAP-Verzeichnis nur ein Eintrag hinterlegt werden.

Wenn ich im LDAP-Verzeichnis die Benutzer auch doppelt und dreifach anlegen muss, dann nützt mir das ganze Verzeichnis nicht wirklich.

Inwiefern ist mein Vorhaben möglich? Eine konkrete Vorstellung habe ich noch nicht, es geht hier eher um eine Art Machbarkeitsstudie. Was ist machbar und was nicht? Es handelt sich dabei nicht um ei großes Netzwerk, sondern vielmehr um einen Server, der mehrere Dienste verwaltet und der Zugriff auf diese Dienste zentral verwaltbar sein sollte.

Ich danke euch im Voraus und bin gespannt auf die Diskussion

Viele Grüße,
Martin

[mragucci]

Grüß Dich,

also, generell ist das natürlich möglich. Mein LDAP Server authentifiziert SSH, Samba, FTP, SVN, eMail und ein paar weitere Dinge.
"Machbarkeitsstudie" legt aber nahe, dass Du weißt, welche Dienste Du gegen LDAP authentifizeren möchtest. Die zugrunde liegende Applikation muss eine Authentifizierung gegen LDAP natürlich unterstützen. Viele Dienste unter Linux sind dazu in der Lage. Problematisch sind Applikationen, die von Haus aus keine LDAP Unterstützung mitbringen.

Im Zweifel solltest Du mal Deine Dienste zusammenschreiben und hier posten, da findet sich sicherlich der Eine oder Andere Spezialist

[m@ddin]

Hi!

Erstmal danke für die Antwort. Es gibt natürlich schon eine grobe Richtung, welche Dienste das sein sollen. Aber generell soll das ganze Konzept modular aufgebaut werden, so dass es ohne Weiteres möglich sein sollte weitere Dienste einzubinden, LDAP Unterstützung natürlich vorausgesetzt.
Im ersten Schritt werden das Dienste wie Postfix, Dovecot, SVN-Repositories, TRAC, Apache und weitere. Also die LDAP-Unterstützung der einzelnen Dienste ist natürlich vorausgesetzt.
Mich interessiert vielmehr, wie eine mögliche Konzeption und Konfiguration aussehen kann und ob die Vorstellung alles zentral zu verwalten überhaupt machbar ist.
Zum Beispiel - soweit ich das mit meinen noch geringen LDAP-Kenntnissen beurteilen kann - müsste ich für jeden Dienst eine Gruppe anlegen, innerhalb der sich die Benutzer für den jeweiligen Dienst befinden. Dadurch müsste ich aber einen Benutzer zweimal anlegen, um ihn für zwei Dienste zu registrieren. Das mach IMHO keinen Sinn. Ich stelle mir folgendes vor: ein Benutzer wird im LDAP-Verzeichnis angelegt. Zusätzlich dazu kann man angeben, auf welche Dienste er wie Zugriff hat. Zum Beispiel sollte man den Dienst "E-Mail" aktivieren können. Zusätzlich sollte man konfigurieren können, dass der Benutzer Zugriff auf ein bestimmtes SVN-Repository Zugriff hat und vor allem, welchen Zugriff er hat. Nur lesend, nur bestimmte Verzeichnisse, schreibend auf alle Verzeichnisse.
SVN ist natürlich nur ein Verzeichnis. Das ganze sollte so modular aufgebaut sein, dass ich beispielsweise auch eine Anwendung (LDAP-Unterstützung vorausgesetzt) so "einhängen" kann, dass ich den entsprechenden Nutzern nur noch die Rechte dafür geben muss.

Das ganze Konstrukt muss nicht nur aus LDAP bestehen, vielmehr kann es auch eine Anwendung sein die zwischen den Schichten vermittelt und die Einträge im LDAP anlegt. Ich denke aber, dass LDAP hier der richtige Weg ist und es deswegen auch eine zentrale Rolle spielen sollte.

Viele Grüße,
Martin

[mragucci]

In den Schema Dateien des LDAP Servers ist definiert, welche Attribute Du für einen User setzen kannst. Desweiteren kannst Du eigene Schema Dateien schreiben. Dies macht einen LDAP Server so genial, Du kannst so ziemlich alles darin speichern!

Was die Berechtigungen betrifft: Das hängt davon ab, welche Queries Du verwendest. Du könntest z.B. abfragen, ob der User ein bestimmtes Attribut besitzt, oder ob er Mitglied in einer Gruppe ist, oder ob er in einer bestimmten Organisationseinheit liegt, oder ....

PS: Du musst den User nicht 2x anlegen wenn er in eine Gruppe soll. Innerhalb der Gruppe wird eine Referenz auf das vorhandene Userobjekt gesetzt. Wie bei POSIX Gruppen unter Linux auch

[m@ddin]

Ah,

die Schema-Dateien, die hatte ich ganz vergessen Also von diesem Gesichtspunkt aus, müsste es machbar sein. Die eigentliche Leistung besteht dann darin, die Schema-Dateien zu definieren. Allerdings will ich das Rad auch nicht neu erfinden, es gibt ja bereits (gesehen im PHPLDAPAdmin) Schematas für bestimmte Dienste wie Samba-Authentifzierung, Adressbücher, Benutzerkonten, etc.

Warum also alles neu definieren? Kann man Schemas so anpassen, dass es von einem anderen Schema erbt (soweit ich weiß ist LDAP ja auch objektorientiert) und zusätzlich weitere Attribute definiert? So könnte man zum Beispiel ein Schema entwerfen, dass von den Schematas für Samba-Account, E-Mail-Konto, etc. erbt.

Danke & viele Grüße,
Martin

[mragucci]

Ich arbeite als Identity Management Consultant und habe schon viele Firmen von innen gesehen, sowohl große als auch kleine. Und mir ist noch keine Firma untergekommen, die keinen LDAP Server unterhalten hätte, aus gutem Grund
Und auch wenn es schon zig Attribute gibt, die bereits in Schemas definiert wurden, kann es trotzdem sein, dass "das Richtige" für Dich nicht dabei ist, dann ist die Zeit gekommen eine Schemaerweiterung vorzunehmen...

Desweiteren kannst Du in einem Userobjekt keine Samba-Daten speichern, nur weil das Schema existiert. Diesem User muss eine/mehrere "objectClasses" zugewiesen werden, erst kann sind diese Attribute für das Userobjekt verfügbar.

Am Besten, Du bemühst mal eine Suchmaschine und machst Dich ein wenig über LDAP schlau, sowohl über seine Funktionsweise als auch über mögliche Einsatzszenarien. Du wirst schnell feststellen, dass man damit verdammt viel erreichen kann!

[m@ddin]

Okay,

ich hab mich zwar schon mit dem Thema LDAP beschäftigt, aber wie du so schön festgestellt hast, ganz so tief drin bin ich in dem Thema nicht Aber mir reicht vorerst die Aussage, dass mein Vorhaben mit LDAP grundsätzlich möglich ist. Die größte Schwierigkeit sehe ich jetzt nicht an der Anbindung der einzelnen Dienste an LDAP, sondern vielmehr in der richtigen Konfiguration von LDAP.

Ich werd mich jetzt erstmal hinsetzen und meinen frisch installierten LDAP-Server testen und ausprobieren, was alles so machbar ist.

Danke dir und viele Grüße,
Martin

[6uellerBelästigungspanda]

kann dir dieses buch empfehlen...das geld absolut wert
http://www.amazon.de/OpenLDAP-Installat ... 336&sr=8-2