Dieter Kluenter wrote:
Sven Schiwek
writes: ich habe unter SuSE 9.0 einen LDAP Server mit mehreren BaseDNs aufgesetzt. Die LDAP Datenbank hat somit dieses aussehen:
----8<---- dc=firma1,dc=de ou=People,dc=firma1,dc=de uid=user1,ou=People,dc=firma1,dc=de
dc=firma2,dc=de ou=People,dc=firma2,dc=de uid=user1,ou=People,dc=firma2,dc=de ---->8----
Das geht so nicht. Du kannst nur einen Suffix, sprich eine Base DN verwenden, alles andere würde gegen das X.500 Protokoll verstoßen.
Wenn du Lust hast, kannst du aber drei LDAP Server auf deinem Host laufen lassen, zwei jeweils mit einer anderen Base DN, den dritten als Meta Server, der die beiden unterschiedlichen Bases nach außen als eine gemeinsame Basis darstellt, also ein LDAP Proxy-Server.
Eine andere Möglichkeit wäre, die Base DN zu verändern, etwa in der Art:
cn=firma1,o=alle firmen,c=de cn=firma2,o=alle firmen,c=de
Meine Frage: Ist es möglich PAM-LDAP so zu konfigurieren, dass zur Authentifizierung mehrere BaseDNs herangezogen werden können? Ich könnte mir auch vorstellen mehrere LDAP Server laufen zu lassen, wenn das Problem dadurch behoben werden kann.
Nein, aber anders herum wird ein Schuh daraus, wie schon oben skizziert, kannst du mehrere LDAP Server laufen lassen, die sich nach außen als eine einheitliche Basis darstellen, dann kann die Authentifizierung durch pam_ldap über diese virtuelle Basis erfolgen. Oder die Base DN modifizieren, allerdings treibt das die Last in ungeahnte Höhen, inbesondere in Verbindung mit PAM. Es müssen dann nämlich alle Teilbäume geparsed werden.
-Dieter
Hallo, ja, solch eine Idee hatte ich auch schon, das würde dann als Baum so aussehen: dc=de +-dc=firma1 | `-ou=People | | +-dc=firma2 | `-ou=People So kommt aber ein neues Problem auf: Ein User aus firma1 kann sich auch unter firma2 anmelden, da PAM-LDAP nur die BaseDN "dc=de" kennt und dort nach dem Loginnamen sucht. Ich habe vor auf einem Server mehrere unabhängige Imap-Server laufen zu lassen, die je zu einer Firma gehören, es laufen dazu auch je ein SMTP-Server (Postfix). Ist es überhaupt möglich dieses Szenario mit der Software: IMAP - Cyrus SMTP - Postfix Authentifizierung - LDAP aufzubauen? Ich brenne nicht darauf LDAP zu nutzen, es kommt mir nur logisch vor LDAP für diese Zwecke zu nutzen. Gibt für dieses Szenario Alternativsoftware? Ich habe eine veränderte libnss bei Debian gefunden, ich werde mir die Software mal etwas genauer ansehen. http://packages.debian.org/stable/libs/libnss-multidomain Danke. Gruß Sven -- You can verify the SMIME signature on http://thawte.com/ This key is valid till 2004-09-06 Public PGP Key: B409B4DF This key is valid till 2005-03-18 ======================================================================== Sven Schiwek Netzwerkbetreuung AIS Automations- und Informationssysteme GmbH Rheinweg 7 Crellestraße 12 D-34131 Kassel D-10827 Berlin Tel: +49-561-30859-29 Tel: +49-30-787728-0 Fax: +49-561-30859-39 Fax: +49-30-787728-39 http://www.ais-ag.de