Re: LDAP Multidomain Authentifizierung

23 Feb 2004

      Dieter Kluenter wrote:
...
Sven Schiwek  writes:
...
ich habe unter SuSE 9.0 einen LDAP Server mit mehreren BaseDNs
aufgesetzt.
Die LDAP Datenbank hat somit dieses aussehen:
----8<----
dc=firma1,dc=de
ou=People,dc=firma1,dc=de
uid=user1,ou=People,dc=firma1,dc=de
dc=firma2,dc=de
ou=People,dc=firma2,dc=de
uid=user1,ou=People,dc=firma2,dc=de
---->8----
Das geht so nicht. Du kannst nur einen Suffix, sprich eine Base DN
verwenden, alles andere würde gegen das X.500 Protokoll verstoßen.
Wenn du Lust hast, kannst du aber drei LDAP Server auf deinem Host
laufen lassen, zwei jeweils mit einer anderen Base DN, den dritten als
Meta Server, der die beiden unterschiedlichen Bases nach außen als
eine gemeinsame Basis darstellt, also ein LDAP Proxy-Server.
Eine andere Möglichkeit wäre, die Base DN zu verändern, etwa in der
Art:
cn=firma1,o=alle firmen,c=de
cn=firma2,o=alle firmen,c=de
...
Meine Frage:
Ist es möglich PAM-LDAP so zu konfigurieren, dass zur Authentifizierung
mehrere BaseDNs herangezogen werden können?
Ich könnte mir auch vorstellen mehrere LDAP Server laufen zu lassen,
wenn das Problem dadurch behoben werden kann.
Nein, aber anders herum wird ein Schuh daraus, wie schon oben
skizziert, kannst du mehrere LDAP Server laufen lassen, die sich nach
außen als eine einheitliche Basis darstellen, dann kann die
Authentifizierung durch pam_ldap über diese virtuelle Basis
erfolgen. Oder die Base DN modifizieren, allerdings treibt das die
Last in ungeahnte Höhen, inbesondere in Verbindung mit PAM. Es müssen
dann nämlich alle Teilbäume geparsed werden.
-Dieter
Hallo,

ja, solch eine Idee hatte ich auch schon, das würde dann als Baum so 
aussehen:

dc=de
  +-dc=firma1
  |   `-ou=People
  |
  |
  +-dc=firma2
  |   `-ou=People

So kommt aber ein neues Problem auf:
Ein User aus firma1 kann sich auch unter firma2 anmelden, da PAM-LDAP
nur die BaseDN "dc=de" kennt und dort nach dem Loginnamen sucht.

Ich habe vor auf einem Server mehrere unabhängige Imap-Server laufen zu
lassen, die je zu einer Firma gehören, es laufen dazu auch je ein
SMTP-Server (Postfix).

Ist es überhaupt möglich dieses Szenario mit der Software:

   IMAP              - Cyrus
   SMTP              - Postfix
   Authentifizierung - LDAP

aufzubauen? Ich brenne nicht darauf LDAP zu nutzen, es kommt mir nur
logisch vor LDAP für diese Zwecke zu nutzen.

Gibt für dieses Szenario Alternativsoftware?
Ich habe eine veränderte libnss bei Debian gefunden, ich werde mir
die Software mal etwas genauer ansehen.

   http://packages.debian.org/stable/libs/libnss-multidomain

Danke. Gruß
Sven

-- 
You can verify the SMIME signature on http://thawte.com/
This key is valid till 2004-09-06

Public PGP Key: B409B4DF
This key is valid till 2005-03-18
========================================================================

Sven Schiwek
Netzwerkbetreuung
AIS Automations- und Informationssysteme GmbH
Rheinweg 7              Crellestraße 12
D-34131 Kassel          D-10827 Berlin
Tel: +49-561-30859-29   Tel: +49-30-787728-0
Fax: +49-561-30859-39   Fax: +49-30-787728-39
http://www.ais-ag.de