zentrale userverwaltung (incl. mail, ftp, ssh etc.)

[Belgarad]

gibt es ein tool welches erlaubt userrechte und konfigurationen zentral zu verwalten.
beispiel:
user belgarad

ftp ja/nein login / passwd
ssh ja/nein login passwd
email ja/nein alias
etc.

halt ein zentrale benutzerdatenbank...
ich denke es laueft auf ldap hinaus, aber da kenne ich mich nicht aus, bin aber bereit zu lernen

ich weiss dass es zu allem einzelne "inselloesungen" gibt, baer mir schwebt eine zentrale verwaltung vor.

[pdreker]

Als ich das Subject gelesen habe, war mein erster Gedanke LDAP. Nach dem Lesen des Body bin ich mir relativ sicher, dass Du LDAP willst.

Allerdings ist das nicht ganz trivial einzurichten, aber wenn es einmal geht ist es extrem flexibel (daher ist es auch so kompliziert einzurichten).

Patrick

[fabske]

du willst aber die user nicht unbedingt als systemuser haben? -> gibt es auch user die z.b. nur ftp haben, also gar keine system user sein müssen??

wie wäre es da dann mit pam?

[tylerD]

Aber die Einrichtung bei soetwas geschieht doch komplett von Hand, oder?Gibt es da schon Vorgehensweisen oder Umsetzungen (Schemen), so dass man vorhandene Admintools/Frontends (skripte, guis) fürs tägliche arbeiten benutzen kann oder wäre das eine spezielle Lösung für die speziellen Anforderungen die man für sich definiert?

Für ein hetrogenes Netz müßte das selbe gelten, oder?

cu

ps: Sorry Belgrad, das ich mich mit meinen Fragen reinhänge, denke aber mal die sind auch für dich interessant

[floschi]

Wie wär''s mit Confixx??

Solange deiner Userzahl klein ist, sollte LDAP etwas Oversize sein. Alternativ geht auch MySQL & Co., alle großen Dienste haben Module dafür, oder können über PAM gehen.

[pdreker]

@olfi: Confixx ist doch Löhnware oder?

Es gibt LDAP Standart Schemata für UNIX Userverwaltung. Was man da dann noch an zusätzlichen Felder reinpackt ist ja egal...

Patrick

[floschi]

@olfi: Confixx ist doch Löhnware oder?

Jepp. Nur mit Blick auf diesen Thread http://www.debianforum.de/forum/viewtopic.php?t=26926 denke ich, warum sich das Leben extra schwer machen?

Ich habe das zwar damals nie genommen und sobald Debian drauf war (SuSE war Standard) mich nicht mehr dafür interessiert, aber es soll durchaus geeignet sein. Natürlich nur dann, wenn man sich mit der anderen Welt (Admin über Konsole) auch auskennt

[Belgarad]

ich bin wirklich unsicher welches der beste weg ist.

zugegebenermassen habe ich letztens neidisch auf einen windows 2003 adv. server geschaut und fand die userverwaltung ueber ads schon toll.
so haben z.b. neue programme wie faxware sich nahtlos in die userverwaltung integriert, exchange erlaubt das festlegen der emailadressen, ueber die gruppen regelt man den zugriff auf freigaben....
ich glaube auch dass die ads eine kombi aus ldap und kerberus ist und das deswegen neue serverdienste einfach das schema nach bedarf erweitern koennen.

fuer mich ist es nicht zwingend notwendig dass die user, welche dienste nutzen, als systemuser eingerichtet werden muessen. viel wichtiger ist fuer mich die zentrale verwaltung von rechten.

idealerweise wuerde ich "kuser" aufrufen, und koennte dann festlegen, was der user darf bzw. welche konfig ihm/ihr entspricht:
beispiel: emailadresse, ftp, ssh, squid, telnet, vnc, imap, pop3, samba freigaben usw.

die "inselloesungen" einzelner dienste z.b. mit sql zu arbeiten finde ich schon spannend, jedoch erscheint mir die administration zu umstaendlich, da man fuer jeden dienst ein spezifisches datenbank frontend verwendet.

pam scheint eine abstraktionsebene zur authentifizierung von usern fuer dienste zur verfügung zu stellen, jedoch verstehe ich die zusammenhaenge noch nicht ganz.
z.b. ob pam mit ldap zusammenarbeitet oder ob ldap eine alternative zu pam ist, oder...

deshalb entnehme ich dem bisher gesagten (und im inet gelesenem) , dass die antwort auf dieses thema wohl ldap heisst - und da kenne ich mich zur zeit <0 aus - also garnicht.


-gibt es da etwas fertiges? (pdreker erwähnte fertige schemata...)
-bzw. - liege ich mit meiner annahme ueber die moeglichkeiten einer zentralen userverwaltung unter linux falsch?

[fago]

dieses thema interessiert mich auch sehr

ich denke man kann ldap als "backend" zu pam verwenden, oder eben mit allen apllikationen direkt auf den ldap server zugreifen, wenn die das können. hab ich das so richtig verstanden?

mit pam kannst du eigentlich gegen alles mögliche authentifizieren.
nur würd mich dass dan auch interessieren, inwieferin/ob man damit versch. passwörter für versch. dienste umsetzen kann?

[Belgarad]

wer suchet der findet

aktuell am kiosk linuxmagazin sonderheft 3/2004 "Linux im Netz" schwarz/ gruenes cover.
dort wird exakt dieses thema behandelt - zentrales userverzeichnis mit openldap und pam.

[tylerD]

aktuell am kiosk linuxmagazin sonderheft 3/2004 "Linux im Netz" schwarz/ gruenes cover.
dort wird exakt dieses thema behandelt - zentrales userverzeichnis mit openldap und pam.

Gib mal dann bitte nen Erfahrungsbericht durch, wie gut das ist. Dann muß ich mir ja auch gleich noch nen Zeitungskiosk suchen...

cu

[Belgarad]

Also ich finde die ausgabe sehr gut:

ralf spenneberg behandelt ziemlich nachvollziehbar die grundlagen zu openldap und zeigt wie man ein minimales ldap system aufsetzt. auch der zusammenhang mit pam wird erklaert.
ausserdem:
-linux als wireless ap
-funktionsweise von dhcp und dns incl. einfuehrung in zonen etc.
-wlan meshing (wer damit was zu tun hat - ich nicht),
-beschreibung von nms tools wie scotty, nagios, mrtg
-samba 3.0 neuerungen und der einsatz als nt4 pdc sowie die intergration in die ADS (jedoch eher oberflächlich)

und wer es braucht weil keine flat: sarge mit kernel 2.6 und kde 3.2 liegen auf dvd bei.

@pdreker
du hattest recht - ich will ldap!
(jedoch muss ich dazu wohl mein system komplett umstellen...)

[tylerD]

Danke...

Werd ich mir wohl auch mal gönnen. Muss bloß noch den Weg zum Zeitungskiosk finden.

cu

[ThoWaBu]

Fällt da nicht auch noch NIS mit rein ??
Ist das nicht einfacher als LDAP zu konfigurieren ???

[McAldo]

Hallo

Ich möchte mich nun mal der LDAP-Diskussion anschließen.

Die letzte Frage war zu NIS. Das hatte ich mal kurz angetestet, ist aber nicht so geeignet finde ich. Passwörter werden im Klartext übertragen und können sogar angezeigt werden. Es sind zwar die verschlüsselten, aber mit entsprechenden Programmen ...
Um das sicher zu machen benötigt man wohl so etwas wie Kerberos.
Also bin ich bei LDAP gelandet und habe nach wochenlanger Bastelei mit entsprechendem nachlesen meinen Server fast fertig. Es fehlt nun noch SSL, damit die Kommunikation verschlüsselt abläuft.
Viele meinen, für wenig User ist das zu überzogen. Ich verwalte derzeit 2 User. Aber es sollen mal mehr werden und die Verwaltung soll zentral auch für mehrere Dienste sein. Und da biete sich LDAP an, wegen der einfachen Erweiterbarkeit.

PAM wird zur Authentifizierung genommen. In /etc/pam.d/ richtet man ein, wie die PW-Abfragen (z.B.) erfolgen sollen.

Ich wünsche viel Spaß beim einrichten und würde mich freuen, wenn hier Beiträge dazu stehen würden, damit andere anhand dessen vielleicht leichter LDAP verstehen und einrichten können. Ich werde mich auch gerne beteiligen.

Gruß
McAldo

[Belgarad]

Es freut dass die Frage bzgl. einer zentralen Userverwaltung doch auf Interesse stoesst. LDAP erscheint mir zwar komplexer als NIS, jedoch glaube ich dass der Mehraufwand lohnenswert ist.

@Mcaldo
Welche Dienste hast du bisher in LDAP eingebunden?
Welches Schema hast Du verwendet, bz. hast Du ein Schema erweitert?

Gruss

Belgarad

[g-henna]

Hi!

Die letzte Frage war zu NIS. Das hatte ich mal kurz angetestet, ist aber nicht so geeignet finde ich. Passwörter werden im Klartext übertragen und können sogar angezeigt werden. Es sind zwar die verschlüsselten, aber mit entsprechenden Programmen...

Also doch. Dann werd ich wohl mein NIS-Netz, wo ich da bin, mal langsam aber sicher auf LDAP umstellen. Geht um ein Schulnetz, sollte sich wohl also lohnen, wenn jeder Schüler nen Account hat, oder?
Hat auch ewig gedauert, bis ich (in Berlin!!) mal nen Zeitungsladen gefunden habe, der das Linux-Magazin verkauft... unglaublich. Und... na ja, 9,80 EUR sind zwar etwas happig, aber schon für die DVD lohnt sich das, da ist ja ne DVD von einem Nur-iso-Vertreiber teurer...

Bye
g-henna

[McAldo]

@Mcaldo
Welche Dienste hast du bisher in LDAP eingebunden?
Welches Schema hast Du verwendet, bz. hast Du ein Schema erweitert?

Bisher ist habe ich nur User-Verwaltung. Es soll aber mal erweitert werden für squid, samba und einige weitere Dienste. Leider fehlt immer die Zeit. Es lohnt sich aber, weil man etwas hat, was auch in Zukunft geht. Mache dich da aber auch parallel mit der SSL-Einbindung vertraut. Die Kommunikation verläuft normal unverschlüsselt zwischen Server und Client (default Port 389, SSL dann Port 636). Ich habe es bisher noch nicht geschafft, dass es bie mir funktioniert, bin aber dran. Vielleicht können wir unsere Erkenntnisse hier zusammentragen.

@g-henna:
Die DVD ist nicht schlecht. Nur hat da leider die PCMCIA-Unterstützung nicht funktioniert, oder ich habe nicht die nötige Einstellung gefunden. Aber dafür hat man einem Server im Netz, wo die benötigten Pakete drauf sind. :-)

Woschak

[pugnacity]

ich darf mich ab august auch mit LDAP aus einander setzen.
als dienste sollen samba moregroupware und später eventl noch postfix und ftp angeschlossen werden... anzahl der user wird sich so um 160-170 drehen also schon recht groß..... wenn jemand dazu gut und hilfreiche links hat würde ich mich echt freuen.....
da das für mein arbeitgeber ist wird das zwangsläufig sehr gut dokumentiert werden müssen..... sprich ich könnte ja nen dickes howto draus machen... alle firmengeheimnisse raus und gut is....

[McAldo]

@pugnacity

Nun, im Netz gibt es sehr viel Lektüre, die sich teilweise widerspricht. Ich habe die Erfahrung gemacht, daß ein Schriftstück nicht ausreicht und mehrere verwirren, wenn man noch keine Ahnung hat.

Als ersten Anlauf empfehle ich dir http://www.linux-magazin.de
Dort nach LDAP suchen. Es gibt da einige gute Artikel. Auf selflinux.org wird man auch fündig. Oder auch http://www.linuxnetmag.com/de/issue7/m7authldap1.html
Du solltest auf jedenfall vorher lesen, bevor du anfängst. Wenn man das Prinzip von LDAP verstanden hat, ist der Rest einfacher.
unter google.de findest du auch sehr viel zu LDAP.
Es gibt auch grafische Frontends dazu und natürliche unterschiedliche Meinungen, welches das Beste ist. Hier bin ich der Meinung, man sollte erst die Konsolentools verstanden haben, dann geht es auch einfacher mit den grafischen.
Auf jedenfall wäre eine Doku mal nicht schlecht. Diese sollte dann eine Art Schritt für Schritt Anleitung sein, wo dann auch alles gut erklärt wird. Das was ich bis jetzt gelesen habe ist für sich nicht hilfreich. Ich würde mich auch versuchen daran zu beteiligen.

McAldo

[pugnacity]

das problem dabei is ich brauch am ende doch nen dummes frontend...., nicht für mich, aber für meinen ausbilder..... in windows is er nen held, aber on linux hat er kaum nen plan... und er muss dann am ende halt auch noch selber in der lage sein user hinzu zufügen....
na ich lese ja jetzt schon immer aber was wirklich brauchbares hab ich nicht gefunden..... werd dann mal wahrscheinlich unsere tolle unibibliothek auf suchen...'über hilfe würde ich mich freuen.....

[tylerD]

Weil mich das Thema ja auch interessiert und ich das mal endlich umsetzen will bin ich gerade per apt-cache search auf gosa [1] gestoßen, wo (zumindest in sid) es schon debs, auch für das schema, gibt.
Sieht gar nicht schlecht aus. Und für den Anfang sicher gut.

cu

[1] https://gosa.gonicus.de/

[pugnacity]

is ja alt kenn ich schon lange..... das dürfte mein frontend werden....
http://www.sendung.de/ldap/ da gibbet viele links zum thema ldap scheinen ganz brauchbar zu sein... zumindest ist die sammlung sehr umfangreich.....
schon mal neuen papierstabel hol, damit ich das ganze auch in der s-bahn lesen kann...

edit: grade in der uni bibliothek gewesen... das einzige buch was die zum thema ldap haben ist natürlich spurlos verschwunden.... sonst haben die jeden sch.... da nur nicht das buch....

[fago]

boa. gosa schaut ja echt nett aus
erhöht meine motivation, mir das ganze endlich an zu tun, um einiges

[bgrah]

Hallo, die biherige Diskussion habe ich mit Interesse verfolgt. Ich denke, das für den ein oder anderen es interessant sein könnte, einen fertigen Server zu nehmen auf dem LDAP schon eingerichtet ist und die Userverwaltung mittels Webmin auch schon sehr weit fortgeschritten ist. Ich persönlich habe bei meinen ersten Gehversuchen mit Linux und LDAP versucht mich in das Thema einzulesen und LDAP zu verstehen.
Seit ich auf mehreren Servern nun LDAP am laufen habe, möchte ich nicht mehr darauf verzichten.
Schaut doch mal unter http://www.skolelinux.de und ladet euch die fertige Installations-CD. Dann noch einen Testrechner, CD einlegen und nach einer halben Stunde kann man schon Zugriffe testen.
Nur so ein Tipp zum kennenlernen.
Wer das machen möchte, bitte posten, kann weitere Infos geben.
Bernd