Was kann ich mit OpenLdap?

[weshalb]

Hallo, ich überlege gerade, wie OpenLdap funktioniert. Da es sich dabei um eine globale Benutzerverwaltung handelt, frage ich mich, inwieweit es mir in größeren Umgebungen hilft, Samba, Postfix, Dovecot, Horde und die User selbst in einem Rutsch zu verwalten.

Heißt das beispielsweise, dass wenn ich einen User auf einem Extraserver in OpenLdap angelegt habe, ich bei einem Neuinstall eines Systems, nur noch die genannten Programme installieren/konfigurieren muss und die sich dann alle Daten (auch SMTP Server und Co., Sambaanmeldung etc.) aus dem Ldap ziehen oder liege ich da grundsätzlich falsch?

Praktisch wäre das schon, da ich sonst immer alles wieder neu anlegen muss.

[Meillo]

Hallo, ich überlege gerade, wie OpenLdap funktioniert. Da es sich dabei um eine globale Benutzerverwaltung handelt, frage ich mich, inwieweit es mir in größeren Umgebungen hilft, Samba, Postfix, Dovecot, Horde und die User selbst in einem Rutsch zu verwalten.

Heißt das beispielsweise, dass wenn ich einen User auf einem Extraserver in OpenLdap angelegt habe, ich bei einem Neuinstall eines Systems, nur noch die genannten Programme installieren/konfigurieren muss und die sich dann alle Daten (auch SMTP Server und Co., Sambaanmeldung etc.) aus dem Ldap ziehen oder liege ich da grundsätzlich falsch?

Praktisch wäre das schon, da ich sonst immer alles wieder neu anlegen muss.

Ja, du kannst die gesamte Benutzerverwaltung an zentraler Stelle machen. Die Authentifizierung in den verschiedenen Systemen laeuft dann zentral ueber LDAP. Userdaten und Passwoerter liegen dann nur einmal da. Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.

[weshalb]

Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.

Danke Meillo, doch wie kann ich mir das dann vorstellen?

Benötige ich dann auf einem neuen System gar keinen User mehr, muss dann aber die Home-Ordner für die einzelnen User händisch anlegen und die richtigen Rechte vergeben? Auch im Falle von Postfix muss ich dann die sasl_password, relaymaps und smtpdsender etc. ebenfalls händisch in der Postfixconfig für den einzelnen User konfigurieren?

Schade, dass man sowas nicht gleich in OpenLdap hinterlegen kann. Ich denke, der Vorteil liegt dann doch eher wie immer beschrieben in der Verwaltung von großen Unternehmen.

[Meillo]

Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.

Danke Meillo, doch wie kann ich mir das dann vorstellen?

Leider kann ich dir nur die Theorie und ein paar Beobachtungen bieten, weil ich solche Systeme selber noch nicht aufgesetzt und administriert habe.

Wir haben in einem Umgebung ein phpBB-Forum und eine Gitlab-Instanz, die beide an's LDAP angebunden sind. Die Authentifizierung geht da ueber LDAP. D.h. wenn sich jemand einloggt, werden die Logindaten gegen per LDAP geprueft. Wenn ich ein User zum ersten Mal anmeldet, dann wird automatisch ein Useraccount in der Anwendung (phpBB bzw. Gitlab) angelegt. Wenn er dort dann vorhanden ist, kann man ihm dort dann auch weitere Rechte zuweisen (z.B. ihm zum Mod machen oder zum Developer eines Projekts). Ich glaube aber, dass wir sowas eingerichtet haben, dass alle LDAP-User, die einer bestimmten LDAP-Gruppe oder so angehoeren automatisch bestimmte Rechte in Gitlab haben. Sicher bin ich mir nicht, aber ich meine, dass es so ist. Was da moeglich ist, haengt von der jeweiligen Anwendung ab.

An der Stelle hoert mein Wissen auf. Jetzt muessen andere uebernehmen ...

[novalix]

Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.

Danke Meillo, doch wie kann ich mir das dann vorstellen?

Benötige ich dann auf einem neuen System gar keinen User mehr, muss dann aber die Home-Ordner für die einzelnen User händisch anlegen und die richtigen Rechte vergeben? Auch im Falle von Postfix muss ich dann die sasl_password, relaymaps und smtpdsender etc. ebenfalls händisch in der Postfixconfig für den einzelnen User konfigurieren?

Schade, dass man sowas nicht gleich in OpenLdap hinterlegen kann. Ich denke, der Vorteil liegt dann doch eher wie immer beschrieben in der Verwaltung von großen Unternehmen.

Kann man alles machen, muss man aber erst mal so konfigurieren.
Für Postfix gibt es ein Modul zur LDAP-Anbindung (postfix-ldap). Dovecot kann man ebenso derart konfigurieren, dass es auf einen LDAP-Tree zugreift.
User Accounts lassen sich über LDAP verwalten, indem man die plugable authentication mechanisms (pam) mit dem Tree verbandelt. PAM besitzt auch ein plugin zur automatischen Erstellung von homes.

Tutorials dazu gibt es einige.

[wanne]

So zur klarstellung: LDAP beinhaltet immer nur die Daten über einen User (Also Name, Gruppen, UID etc.) Es ersetzt im Großen und ganzendie /etc/passwd-Datei.
Die eigentlichen Nutzdaten müssen dann getrennt angelegt werden.
Der Pfad ist aber extrem ausgetreten. Jedes Programm bietet irgend welche Automatisierungsmethoden um die passenden Ordner/Configs/Daten für LDAP-User anhand der Eigenschaften dieses Users zu erzeugen.
Du musst dich aber ein bisschen von der Manuellen Arbeitsweise abwenden. Wenn du bis dahin 5 Schritte unternommen hast, um einen User anzulegen, dann geht das so nicht mehr. Du musst die irgend wie automatisieren. Das kann ein kleines Bashskript beim Login sein, dass die weitestgehend wie früher abfrühstückt. Oft wird das aber eher auf völlig andere Arbeitswesen hinauslaufen.
Z.B. hat man die /home-Ordner ganz gerne auf remote-Dateisystemen um sich das erzeugen auf jedem einzelnen PC ersparen zu können. (Prinzipiell wäre es aber natürlich auch möglich, das anders zu machen und automatisch home order zu erzeugen, wenn der Nutzer sich einlogged/erstellt wird.)

[weshalb]

Danke, ich schaue mir das mal Stück für Stück bei Gelegenheit an.

[Livingston]

LDAP ist zum Einstieg echt harter Stoff, und ich kann mich gut daran erinnern, wie knifflig das Einarbeiten war: Tausend Anleitungen und Tutorials, die alle irgendwie über was ähnliches sprachen, und es gab hundertzwölfunddrölfzig verschiedene Arten, den Zugang zum Thema nahezubringen. Und kein Chef in Reichweite, der mir 'nen Kurs sponsoren wollte. Nach vielen Jahren stolperte ich über das, was ich früher schon gerne zwischen den Fingern gehabt hätte:
http://www.mitlinx.de/ldap/ <--- nein, keine Version in https, wahrscheinlich schon uralt, aber es geht um die Basics, und die gelten für die Ewigkeit.

Ob das Deinem Geschmack entspricht, weiß ich nicht, aber ich halte es für durchaus gelungen.
Der Trick bei LDAP ist: Erst mal viel lesen und ausprobieren, bis man die Chemie versteht. Das Konzept von LDAP halte ich nicht für intuitiv, aber wenn man erst mal die Hintergründe kennt und einige Trockenübungen gemacht hat, macht's plötzlich Klick, und dann kann man damit arbeiten.

EDIT: Noch ein Guide
http://www.zytrax.com/books/ldap/
Das Ding ist mal richtig ausführlich. Hab ja keine Ahnung, wieviel Zeit Du hast, aber nach dem Lesen dieser Anleitung, weißt Du alles