Hi! Gut, damit kann ich mich abfinden, wenn ein Profi mir das sagt. Bin zwar nicht schlauer, aber... ;-) Nehmen wir an LDAP klingt interessant. Weiterhin angenommen, hier liefe ein Domino 6 server, der ja LDAP Dienste bereitstellt. Ist es moeglich den problemlos einzubinden? oder macht es mehr sinn, gleich einen zweiten Rechner mit OpenLDAP auszustatten und diesen zu benutzen? Wie sieht es mit der SSL unterstuetzung unter Linux aus (im zusammenspiel mit Samba 2)? Wieviel Aufwand (nur gaaaanz grob: 1 Tag, 1 Woche, 1 Monat, 1 Jahr...) waere es, ein heterogenes Netz mit Samba, Notes, Web, Linux, Windows 2000, Windows 95, IPSEC, Druckdiensten (CUPS, Netzwerkdrucker, LPD), VPN, SQUID, DSL etc. konsistent auf LDAP umzustellen (ohne accountmigration)? Und zwar administrationsfreundlich und sicher? Bisher ist ein NIS-server/client, smbpasswd, domino accounts, mailaccounts etc. alles separat zu pflegen. Insbesondere ist es noetig jedem Nutzer rechte wie web-zugang, mail, domino, samba etc. unterteilt. Das macht die Administration nicht einfach. Danke + gruss T On Thu, 29 Apr 2004 14:57:31 +0200, Thorsten Kukuk wrote:

On Thu, Apr 29, Dr. Thorsten Brandau wrote:

...

Hi!

Gibt es eigentlich bei der SuSE 9.0 pro oder 9.1 auch einen NIS+ Server? Wenn nein, wo gibt es so etwas, bzw. wo sind die vorteile gegenueber NIS?

Fuer Linux gibt es keinen NIS+ Server. Das willst Du auch gar nicht, vor allem, wenn Du nach den Vorteilen gegenueber NIS fragst.

Schau Dir lieber LDAP an.

-- Thorsten Kukuk http://www.suse.de/~kukuk/ kukuk@suse.de SuSE Linux AG Maxfeldstr. 5 D-90409 Nuernberg -------------------------------------------------------------------- Key fingerprint = A368 676B 5E1B 3E46 CFCE 2D97 F8FD 4E23 56C6 FB4B

-- Um die Liste abzubestellen, schicken Sie eine Mail an: suse-linux-unsubscribe@suse.com Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: suse-linux-help@suse.com

"Dr. Thorsten Brandau" <mailing@brace.de> writes:

Hi!

Gut, damit kann ich mich abfinden, wenn ein Profi mir das sagt. Bin zwar nicht schlauer, aber... ;-)

Nehmen wir an LDAP klingt interessant.

Weiterhin angenommen, hier liefe ein Domino 6 server, der ja LDAP Dienste bereitstellt. Ist es moeglich den problemlos einzubinden?

Domino ist hat die seltsame Angewohnheit ein Authentifizierungmodell zu nutzen, daß sonst keiner beherrscht und Domino ist nicht sehr kooperativ in Bezug auf fremde Authentifizierungsmethoden. Sonst spricht nichts gegen Domino, es sei denn. du legt auch noch Wert auf ein bischen Performance, sagen wir mal 100 bis 150 Suchaufträge in der Sekunde, auch dann kannst du den LDAP-Teil von Domino vergessen.

oder macht es mehr sinn, gleich einen zweiten Rechner mit OpenLDAP auszustatten und diesen zu benutzen? Wie sieht es mit der SSL unterstuetzung unter Linux aus (im zusammenspiel mit Samba 2)?

Ich würde zu OpenLDAP raten, das funktioniert auch besser mit Samba. SSL/TLS ist kein Problem, wenn du es richtig aufsetzt, wobei ich persönlich TLS bevorzuge. Nicht jeder Client kennt ohne zusätzlichen Konfigurationsaufwand den Secureport von ldaps.

Wieviel Aufwand (nur gaaaanz grob: 1 Tag, 1 Woche, 1 Monat, 1 Jahr...) waere es, ein heterogenes Netz mit Samba, Notes, Web, Linux, Windows 2000, Windows 95, IPSEC, Druckdiensten (CUPS, Netzwerkdrucker, LPD), VPN, SQUID, DSL etc. konsistent auf LDAP umzustellen (ohne accountmigration)? Und zwar administrationsfreundlich und sicher? Bisher ist ein NIS-server/client, smbpasswd, domino accounts, mailaccounts etc. alles separat zu pflegen. Insbesondere ist es noetig jedem Nutzer rechte wie web-zugang, mail, domino, samba etc. unterteilt. Das macht die Administration nicht einfach.

Was verstehst du unter Accountmigration? Wenn du von NIS auf LDAP umsteigst, mußt du migrieren, Dominouser können nicht migrieren. In dem ganzen Konzert stört mich Domino, sonst läßt sich das mit einiger Erfahrung zügig umsetzen. Ohne Erfahrung, mindestens zwei Monate intensiv lesen, testen, lesen, üben, lesen. :-) -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

"Dr. Thorsten Brandau" <mailing@brace.de> writes:

Hi!

...

...

Wieviel Aufwand (nur gaaaanz grob: 1 Tag, 1 Woche, 1 Monat, 1 Jahr...) [...] VPN, SQUID, DSL etc. konsistent auf LDAP umzustellen (ohne accountmigration)? Und zwar administrationsfreundlich und sicher?

Was da ist, laesst sich leider schlecht wegdiskutieren, auch wenn ich andere loesungen besser faende. bisher aber nichts gefunden was domino ganz ersetzt, zumindest nicht ohne groeseren aufwand (wir nutzen nicht die email funktion, sondern in erster linie - bitte nicht schlagen - die datenbanken... geht so schoen schnell die einzurichten ;-) ). Am tollsten faende ich eine web/perl/php basierte loesung die alles kann was notes macht (ohne email) und dabei plattform unabhaengig ist und auf standards wie HTML basiert... ist aber wohl wunschdenken.

lesen: was? gibt es buecher die das gut rueberbringen? oder geht man besser gleich ins grosse, weite netz?

Es gibt schon jede Menge Groupwarelösungen auf PHP oder auch Java basierend, aber keine Lösung ist bisher wirklich zufriedenstellend. Es gibt zwei vernünftige Bücher, die das Protokoll LDAP eingehend beschreiben: ,----[ Bücher zu LDAP ] | Unerstanding and Deploying LDAP | Second Edition | Howes, Smith, Good | Addison Wesley | | LDAP Directories Explained | Brian Arkills | Addison Wesley `---- Das Buch von Tim Howes ist sehr ausführlich, um nicht zu sagen, breitgetreten und ist teilweise sehr Netscape zentriert. Aber das ist ja bei ihm zu erwarten :-) Brian Arkills beschreibt auf ca. 200 Seiten das Protokoll und noch mal auf ca. 100 Seiten die Vor- und Nachteile einiger Server. Das Abonnement der beiden Mailinglisten openldap-software@openldap.org ldap@umich.edu ist dann schon Pflicht, um frühzeitig die Haken und Ösen zu erkennen. http://www.openldap.org bietet noch einige Dokumentationen. Ich rate davon ab, im weltweiten Netz nach Informationen zu suchen. Es gibt zwar viele Sites, aber die meisten sind veraltet und enthalten irreführende Informationen. Hier ist noch eine vernünftige PDF Präsentation ftp://ftp.kalamazoolinux.org/pub/pdf/ldapv3.pdf -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de

Disclaimer: ich habe keinerlei Ahnung von NIS noch von LDAP.

ist nicht schlimm, von ldap habe ich auch nur gelesen ;-)

Das macht man dann per script... ;) AFAIK laesst sich LDAP per Kommandozeile "fuettern" und wenn sich NIS nicht per Kommandozeile auslesen laesst... Ob das script nun 10s oder 1000s laeuft sollte nicht weiter interessant sein... Zur Not muss man halt solange "locken" und keine Aenderungen zulassen.

ja, nein, vielleicht. das problem ist einfach, das wie frueher gesagt, eine feine abstufung in den rechten bereits gepflegt wird: www, mail, notes, samba, nis, drucken, fax etc. sind bereits bei den unterschiedlichen programmen vorhanden und muessten zusammengefuehrt bzw. erhalten bleiben. ich mache mir da keine illusionen das per hand machen zu muessen. letztendlich wuerde DAFUER ein script zu programmieren wahrscheinlich genausolange brauchen ;-)

Steht dann die config und sind die Daten migriert, dann muss man "nur noch" umschalten ;)

mutig. mutig. in einer produktivumgebung? sorry, das macht mir bauschmerzen. wenn teilbereiche ausfallen, kann man ausweichen oder was anderes machen, wenn das gesamte system steht gibts was hinter die loeffel.

Wie gesagt: die reine Anzahl der Accounts duerfte irrelevant sein, da per script zu erschlagen. Relevant ist eher die Organisation, und wie man die Daten "abbilden" kann.

wenn es sich nur um ein system handelt gebe ich dir recht. ein z.B. samba/smbpasswd -> samba/ldap script ist sicher super einfach und schnell. <EVILGRIN> oder bietest du dich an mir umsonst ein funktionierendes script zu schreiben ? ;-))) ciao T