Hallo Liste, um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen. Sind meine Spekulationen richtig, dass 1. LDAP _sehr_ viel sicherer ist als NIS (was wohl nicht schwer ist)? 2. der Server als Samba-PDC laufen kann und 3. die User ihre Homeverzeichnisse mounten können (über NFS oder ggf. einen sichereren Dienst)? Hat da jemand Erfahrungen gesammelt? Viele Grüsse Joachim
On Sat, Mar 22, 2003 at 09:17:03PM +0100, Joachim Kieferle wrote:
1. LDAP _sehr_ viel sicherer ist als NIS (was wohl nicht schwer ist)?
LDAP ohne SSL ist genauso unsicher wie NIS. LDAPS verwendet SSL und ist im Vergleich zu NIS und LDAP sehr viel sicherer. ftp://ftp.kalamazoolinux.org/pub/ "Jede Menge gutes Zeug (und eine Menge mittelgutes Zeug)" ftp://ftp.kalamazoolinux.org/pub/pdf/ldapv3.pdf "Alles, was Sie schon immer über LDAP wissen wollten (und noch 300 Folien extra mit grauenhaften Dingen, die man über LDAP nicht wissen will)" Kristian
Hallo,
Kristian Koehntopp
On Sat, Mar 22, 2003 at 09:17:03PM +0100, Joachim Kieferle wrote:
1. LDAP _sehr_ viel sicherer ist als NIS (was wohl nicht schwer ist)?
LDAP ohne SSL ist genauso unsicher wie NIS. LDAPS verwendet SSL und ist im Vergleich zu NIS und LDAP sehr viel sicherer.
Deine Aussage ist zwar prinzipiell richtig, aber in RFC 2251-2256 steht nichts mehr von SSL. Du solltest dein ohne Zweifel vorhandenes Wissen über LDAP mal dringend auffrischen. SSL ist nur für ldapv2, ldapv3 nutzt TLS. Das sind zwei verschiedene Paar Schuhe. Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte. [...] -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
On Sun, Mar 23, Dieter Kluenter wrote:
Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.
Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist. Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht. Thorsten -- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE Linux AG Deutschherrnstr. 15-19 D-90429 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B
Thorsten Kukuk wrote:
On Sun, Mar 23, Dieter Kluenter wrote:
Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.
Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist. Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht.
Hallo Thorsten, was mach' ich nun in einer "unsicheren" Umgebung (weil z.B. unser Fachbereich mit einem anderen ein gleiches Netz teilt und damit zumindest "potenzielle" Angriffe möglich wären)? Nehme ich NIS/NFS oder LDAP oder doch besser Windows-Clients, weil die zumindest (soweit ich weiss) eine gewisse Verschlüsselung verwenden? Wenn es nämlich so wäre, dass ich mir mit den neu zu kaufenden Linux-Clients ein riesen Sicherheitsloch aufreisse, erscheint es mir fast besser zu sein, mit Windows (Browser + Office) weiterzumachen. Wobei es doch möglich sein sollte, ein sicheres Linux-Netz aufzubauen? Könntest Du mir evtl. in Stichworten mailen, wie ich das machen müsste (z.B. 1. LDAP, 2. TLS für LDAP, .... )? ... oder kommt mit der 8.2-er eventuell DIE Lösung für mein Problem? Viele Grüsse Joachim
On Sun, Mar 23, Joachim Kieferle wrote:
Thorsten Kukuk wrote:
On Sun, Mar 23, Dieter Kluenter wrote:
Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.
Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist. Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht.
Hallo Thorsten,
was mach' ich nun in einer "unsicheren" Umgebung (weil z.B. unser Fachbereich mit einem anderen ein gleiches Netz teilt und damit zumindest "potenzielle" Angriffe möglich wären)? Nehme ich NIS/NFS oder LDAP oder doch besser Windows-Clients, weil die zumindest (soweit ich weiss) eine gewisse Verschlüsselung verwenden?
Hm, hat Windows den inzwischen eine Einwegverschlüsselung, oder kann man aus dem verschlüsselten Passwort noch immer das Klartext Passwort berechnen? Allgemein würde ich nicht sagen, das Windows-Clients sicherer sind. Ansonsten kannst Du sowohl LDAP mit Verschlüsselung benutzen oder NIS mit z.B. blowfish Verschlüsselten Passwörtern.
Wenn es nämlich so wäre, dass ich mir mit den neu zu kaufenden Linux-Clients ein riesen Sicherheitsloch aufreisse, erscheint es mir fast besser zu sein, mit Windows (Browser + Office) weiterzumachen.
Also, ich halte plain NIS noch immer für sicherer als Windows allgemein. Aber wie immer ist das Ergebnis eine Frage der richtigen Konfiguration. Thorsten -- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE Linux AG Deutschherrnstr. 15-19 D-90429 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B
Hallo,
Joachim Kieferle
Thorsten Kukuk wrote:
On Sun, Mar 23, Dieter Kluenter wrote:
Auch ohne Verschlüsselung der übertragenen Daten ist ldapv3 Sicherer als NIS. Gründe sind 1. die Fähigkeit des strong bind mittels SASL Mechanismen, 2. die Möglichkeit der Granulierung der Zugriffsrechte.
Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS. Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist. Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht.
Hallo Thorsten,
was mach' ich nun in einer "unsicheren" Umgebung (weil z.B. unser Fachbereich mit einem anderen ein gleiches Netz teilt und damit zumindest "potenzielle" Angriffe möglich wären)? Nehme ich NIS/NFS oder LDAP oder doch besser Windows-Clients, weil die zumindest (soweit ich weiss) eine gewisse Verschlüsselung verwenden?
Wenn es nämlich so wäre, dass ich mir mit den neu zu kaufenden Linux-Clients ein riesen Sicherheitsloch aufreisse, erscheint es mir fast besser zu sein, mit Windows (Browser + Office) weiterzumachen.
Wobei es doch möglich sein sollte, ein sicheres Linux-Netz aufzubauen? Könntest Du mir evtl. in Stichworten mailen, wie ich das machen müsste (z.B. 1. LDAP, 2. TLS für LDAP, .... )?
... oder kommt mit der 8.2-er eventuell DIE Lösung für mein Problem?
Es ist zwar wenig bekannt und auch kaum dokumentiert, aber cyrus-sasl und damit alle damit möglichen Mechanismen können auch auf W2K und NT kompiliert und installiert werden. Damit bietet sich dann auch eine DIGEST-MD5 Challenge oder GSSAPI an. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo,
Thorsten Kukuk
On Sun, Mar 23, Dieter Kluenter wrote: [...]
Ohne Verschlüsselung der übertragenen Daten kann ich im Netz die Daten abhören und LDAP wird genauso unsicher wie NIS.
Dem Stimme ich zu, aber ldapv3 bietet die Möglichkeit der Verschlüsselung.
Ein gescheit aufgesetztes NIS Setup ist ungefähr genauso sicher wie ein gut aufgesetzter LDAP Server ohne Verschlüsselung. Teilweise ist NIS sogar sicherer, weil so etwas wie Passwort Aging mit LDAP mit den aktuell existierenden Standard-Schema und Tools nicht machbar ist.
Das ist Unsinn, mit Verlaub. Passwort Aging, d.h. die Gültigkeitsdauer eines Paßwortes zu begrenzen, ist z.B. mit allen SASL Mechanismen möglich. Was heißt hier Standard-Schema. Wenn du damit ein durch eine RFC definiertes Schema meinst, ist das bisher richtig, es gibt allerdings einige Drafts. Es bleibt aber jedem Administrator überlassen, eigene Subschemas zu schreiben, was ja auch in umfangreichem Maße gemacht wird.
Auch ein LDAP server mit Verchlüsselung hat noch so manche Probleme und kann nicht in allen Belangen einen NIS Setup ersetzen. Da hat halt jemand bei den entsprechenden Schemas nicht gut genug nachgedacht.
Sicherlich richtig, aber wie schon gesagt, es bleibt doch jedem überlassen sein eigenes Schema zu schreiben, wenn dafür ein Bedarf besteht. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
On Sun, Mar 23, Dieter Kluenter wrote:
Das ist Unsinn, mit Verlaub. Passwort Aging, d.h. die Gültigkeitsdauer eines Paßwortes zu begrenzen, ist z.B. mit allen SASL Mechanismen möglich.
Nicht wirklich.
Was heißt hier Standard-Schema. Wenn du damit ein durch eine RFC definiertes Schema meinst, ist das bisher richtig, es gibt allerdings einige Drafts. Es bleibt aber jedem Administrator überlassen, eigene Subschemas zu schreiben, was ja auch in umfangreichem Maße gemacht wird.
Ja, und dann darf er gleich noch die entsprechenden Tools dafuer mitliefern, weil die aktuellen damit nicht klar kommen. Nicht das richtig wahre. Thorsten -- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE Linux AG Deutschherrnstr. 15-19 D-90429 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B
Thorsten Kukuk
On Sun, Mar 23, Dieter Kluenter wrote:
Das ist Unsinn, mit Verlaub. Passwort Aging, d.h. die Gültigkeitsdauer eines Paßwortes zu begrenzen, ist z.B. mit allen SASL Mechanismen möglich.
Nicht wirklich.
Warum sollte ich ein X.509 Zertifikat nicht einer begrenzten Gültigkeit unterwerfen? Dieses dann mit dem EXTERNAL Mechanismus auswerten? Warum sollte ich ein Kerberos Ticket nicht in der Laufzeit begrenzen können? Warum sollte ich den Mechanismus OTP nicht nutzen können? Ich könnte hier noch etliche weitere Möglichkeiten auflisten.
Was heißt hier Standard-Schema. Wenn du damit ein durch eine RFC definiertes Schema meinst, ist das bisher richtig, es gibt allerdings einige Drafts. Es bleibt aber jedem Administrator überlassen, eigene Subschemas zu schreiben, was ja auch in umfangreichem Maße gemacht wird.
Ja, und dann darf er gleich noch die entsprechenden Tools dafuer mitliefern, weil die aktuellen damit nicht klar kommen. Nicht das richtig wahre.
Welches Tool? Man kann doch auch ein Schema dem Tool anpassen, das sollte also kein Argument sein. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo,
Joachim Kieferle
Hallo Liste,
um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen.
Sind meine Spekulationen richtig, dass
1. LDAP _sehr_ viel sicherer ist als NIS (was wohl nicht schwer ist)?
2. der Server als Samba-PDC laufen kann und
3. die User ihre Homeverzeichnisse mounten können (über NFS oder ggf. einen sichereren Dienst)?
Hat da jemand Erfahrungen gesammelt?
Ja, habe ich. Was möchtest du wissen? -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Dieter Kluenter wrote:
Hallo,
Joachim Kieferle
writes: Hallo Liste,
um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen.
Sind meine Spekulationen richtig, dass
1. LDAP _sehr_ viel sicherer ist als NIS (was wohl nicht schwer ist)?
2. der Server als Samba-PDC laufen kann und
3. die User ihre Homeverzeichnisse mounten können (über NFS oder ggf. einen sichereren Dienst)?
Hat da jemand Erfahrungen gesammelt?
Ja, habe ich. Was möchtest du wissen?
Hallo Dieter, .... was ich wissen möchte ist ganz einfach: wie geht's (sprich was muss ich wo und wie konfigurieren). Gibt es im Netz irgendwo eine "DAU"-Anleitung? Mein bisheriger Stand: Linux-Server mit Windows-Clients; SuSE 8.1 mit Samba 2.2.8. Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP Dazu braucht's wohl (bzw. ist hilfreich) ein LDAP-Server, der das gesammte Accounting übernimmt. Habe zwar das Buch "LDAP unter Linux" erstanden (und auch versucht zu lesen), aber so ganz klar ist's mir noch nicht. 1. wie sollte meine slapd.conf für den geplanten Einsatz aussehen? 2. wie muss die LDAP-Datenbank aussehen (sprich welche Einträge)? 3. hängen die Linux-Clients dann mit NFS am Server und vor allem: wie sicher ist das? 4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-). 5. etwas OT: aber wie sag' ich meinen Windows-Clients, dass sie zu der von LDAP verwalteten Domäne gehören. 6. Migration von shadow bzw. smbpasswd zu LDAP - geht das oder sollten die User neue Passwörter lernen? ... viele weitere Fragen kommen sicher noch beim Einrichten. Wie beurteilst denn Du meinen Plan, etwa 15 Windows- und 10 Linux-Clients mit ca. 550 Usern mit LDAP zu verwalten? Oder ist das Overkill und LDAP lohnt sich erst ab komplexeren Infrastrukturen? LDAP-mässig bin ich am Anfang bzw. Ausloten, die andere Dinge administriere ich seit Jahren. Viele Grüsse Joachim
Hallo,
Joachim Kieferle
Dieter Kluenter wrote:
Hallo,
Joachim Kieferle
writes: Hallo Liste,
um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen. [...] Hallo Dieter,
.... was ich wissen möchte ist ganz einfach: wie geht's (sprich was muss ich wo und wie konfigurieren). Gibt es im Netz irgendwo eine "DAU"-Anleitung?
Nein, das ist auch nichts für DAU's. :-)
Mein bisheriger Stand: Linux-Server mit Windows-Clients; SuSE 8.1 mit Samba 2.2.8.
Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP
Dazu braucht's wohl (bzw. ist hilfreich) ein LDAP-Server, der das gesammte Accounting übernimmt. Habe zwar das Buch "LDAP unter Linux" erstanden (und auch versucht zu lesen), aber so ganz klar ist's mir noch nicht.
Das Buch kannst du vergessen, das ist total veraltet, behandelt ldapv2 und OpenLDAP-1.x und davon ist heute nichts mehr zu gebrauchen.
1. wie sollte meine slapd.conf für den geplanten Einsatz aussehen?
Diese Frage kann erst zum Schluß beantwortet werden, wenn alle Parameter feststehen.
2. wie muss die LDAP-Datenbank aussehen (sprich welche Einträge)? 3. hängen die Linux-Clients dann mit NFS am Server und vor allem: wie sicher ist das?
Für Samba gibt es einige Doku, ist aber nicht weiter schwierig, zur Not kann ich dir als Start einige .ldif Muster bereitstellen.
4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-).
Was heißt Windows, W98 oder W2K? Beide können über Samba ihr Paßwort ändern, W2K zusätzlich mittels Kerberos 5
5. etwas OT: aber wie sag' ich meinen Windows-Clients, dass sie zu der von LDAP verwalteten Domäne gehören.
Das ist eine Frage der Konfiguration, von Samba und deiner Windows Clients.
6. Migration von shadow bzw. smbpasswd zu LDAP - geht das oder sollten die User neue Passwörter lernen?
Migration ist kein Problem, dazu gibt es sowohl Tools für Samba als auch für PAM. [...]
Wie beurteilst denn Du meinen Plan, etwa 15 Windows- und 10 Linux-Clients mit ca. 550 Usern mit LDAP zu verwalten? Oder ist das Overkill und LDAP lohnt sich erst ab komplexeren Infrastrukturen?
Das ist schon eine akzeptable Größenordnung. Obwohl einige Universitäten einige 100.000 Anwender und einige 10.000 Clients mit ldap verwalten. In meinem Testnetz habe ich nur 2 W2K, 3 Linux und einen SCO Host.
LDAP-mässig bin ich am Anfang bzw. Ausloten, die andere Dinge administriere ich seit Jahren.
Es gibt mehrere Themenbereiche, Samba+ldap, Samba+Kerberos, ldap+services, ldap+User, ldap+kerberos. Zum Thema ldap gibt es in Internet eine Vielzahl von Dokumentation. Der größte Teil dieser Doku hat einen Nachteil, sie ist total veraltet und nicht mehr zu gebrauchen, es sei denn du weißt genau was du suchst und wie du das Material interpretieren mußt. Zu deiner Information LDAP-Version 2 ist ein vveraltetes Protokoll, das aber noch von etlichen kommerziellen Produkten genutzt wird. LDAP Version 3 ist Ende 1997 als RFC 2251 veröfentlicht worden. OpenLDAP unterstützt seit Version 2.0.1 ldapv3. Aber OpenLDAP-2.0 ist aus anderen Gründen veraltet und eigentlich nicht wirklich zu verwenden. Ich selbst nutze u.Zt. OpenLDAP-2.1.14, es gibt aber schon die Version 2.1.16. Wenn du wirklich die Anwenderverwaltung auf einen Verzeichnisdienst übertragen möchtest, solltest du mit der aktuellen Version OpnLDAP beginnen, dazu benötigst du dann noch mindestens BerkeleDB-4.1.25, ältere BDB Versionen werden nicht von den neuen OpenLDAP Versionen unterstützt. Weiter benötigst du cyrus-sasl-2.1.12 oder besser, als Samba verwende ich samba-3.0alpha21, ich denke aber daß 2.2.8 mit einkompilierter ldap Unterstützung ausreicht. Wenn du ausschließlich W2K Clients hast, würde ich noch MIT Kerberos krb5-1.2.6 empfehlen, da W2K natives MIT Kerberos unterstützt und da dann in Verbindung mit OpenLDAP und Samba fast einen ActiveDirectory Ersatz hast. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Dieter Kluenter wrote:
[...]
Hallo Liste,
um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen.
[...]
Hallo Dieter,
.... was ich wissen möchte ist ganz einfach: wie geht's (sprich was muss ich wo und wie konfigurieren). Gibt es im Netz irgendwo eine "DAU"-Anleitung?
Nein, das ist auch nichts für DAU's. :-)
schade ;-)
Mein bisheriger Stand: Linux-Server mit Windows-Clients; SuSE 8.1 mit Samba 2.2.8.
Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP
Dazu braucht's wohl (bzw. ist hilfreich) ein LDAP-Server, der das gesammte Accounting übernimmt. Habe zwar das Buch "LDAP unter Linux" erstanden (und auch versucht zu lesen), aber so ganz klar ist's mir noch nicht.
Das Buch kannst du vergessen, das ist total veraltet, behandelt ldapv2 und OpenLDAP-1.x und davon ist heute nichts mehr zu gebrauchen.
hmmm, das hab' ich erst mit der 8.1-er SuSE gekauft. Gibt's ein anderes Buch / einen Tip? Ausserdem: wer braucht das Buch "LDAP unter Linux" - günstig abzugeben ;-)). [ ... ]
3. hängen die Linux-Clients dann mit NFS am Server und vor allem: wie sicher ist das?
Für Samba gibt es einige Doku, ist aber nicht weiter schwierig, zur Not kann ich dir als Start einige .ldif Muster bereitstellen.
... das wäre prima, dann hätte ich zumindest mal einen Anfang. Am besten per PM?
4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-).
XP [ ... ]
LDAP-mässig bin ich am Anfang bzw. Ausloten, die andere Dinge administriere ich seit Jahren.
Es gibt mehrere Themenbereiche, Samba+ldap, Samba+Kerberos, ldap+services, ldap+User, ldap+kerberos.
Zum Thema ldap gibt es in Internet eine Vielzahl von Dokumentation. Der größte Teil dieser Doku hat einen Nachteil, sie ist total veraltet und nicht mehr zu gebrauchen, es sei denn du weißt genau was du suchst und wie du das Material interpretieren mußt.
[ ...]
Ich selbst nutze u.Zt. OpenLDAP-2.1.14, es gibt aber schon die Version 2.1.16. Wenn du wirklich die Anwenderverwaltung auf einen Verzeichnisdienst übertragen möchtest, solltest du mit der aktuellen Version OpnLDAP beginnen, dazu benötigst du dann noch mindestens BerkeleDB-4.1.25, ältere BDB Versionen werden nicht von den neuen OpenLDAP Versionen unterstützt. Weiter benötigst du cyrus-sasl-2.1.12 oder besser, als Samba verwende ich samba-3.0alpha21, ich denke aber daß 2.2.8 mit einkompilierter ldap Unterstützung ausreicht. Wenn du ausschließlich W2K Clients hast, würde ich noch MIT Kerberos krb5-1.2.6 empfehlen, da W2K natives MIT Kerberos unterstützt und da dann in Verbindung mit OpenLDAP und Samba fast einen ActiveDirectory Ersatz hast.
[ ... ] Prima, das ist doch mal ein Anfang. Bin zwar jetzt erschlagen aber ich werde mich von hinten ranarbeiten. Samba sollte kein Problem sein. Ich verwende mal die mit der 8.1-er mitgelieferten CYRUS, ... , damit ich nicht auch noch die neu kompilieren, ... muss. Vielen Dank für Deine ausführlichen Antworten, Joachim
Hallo,
Joachim Kieferle
Dieter Kluenter wrote:
hmmm, das hab' ich erst mit der 8.1-er SuSE gekauft. Gibt's ein anderes Buch / einen Tip?
http://www.dpunkt.de --> Vorschau --> Juni Sonst gibt es weder eine deutschsprachige noch eine englischsprachige aktuelle Dokumentation. Halt , stimmt nicht ganz http://www.openldap.org/doc/admin21/ ist eine gute englische Einführung.
Für Samba gibt es einige Doku, ist aber nicht weiter schwierig, zur Not kann ich dir als Start einige .ldif Muster bereitstellen.
... das wäre prima, dann hätte ich zumindest mal einen Anfang. Am besten per PM?
Ja, kommt heute.
4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-).
XP
Dumm, damit habe ich keine Erfahrung. [...] -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Hallo, Am Sonntag, 23. März 2003 23:40 schrieb Joachim Kieferle:
Dieter Kluenter wrote:
[...]
Hallo Liste,
um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen.
Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP [ ... ]
4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-).
XP
Vielleicht ein hilfreicher Link. Ich selber habs noch nicht ausprobiert. Es müßte aber sicher einiges an das eigene Netz angepaßt werden http://technik.tsn.at/
[ ... ]
Joachim
Gruß Georg
participants (5)
-
Dieter Kluenter
-
Georg Wallner
-
Joachim Kieferle
-
Kristian Koehntopp
-
Thorsten Kukuk