Zentrale Benutzerdatenbank aufbauen
Servus zusammen, ich muß für ein Netzwerk eine zentrale Benutzervewaltung bauen. Es handelt sich um zwei Dutzend Clients (Windows und Mac), drei Samba-Server, Postfix, Dovecot. Das wars so im wesentlichen. Derzeit sind die Paßwörter überall lokal gespeichert, was funktioniert hat, weil die Fluktuation immer sehr gering war. Das konnte ich manuell erledigen. Jetzt aber möchte ich es zentralisieren, und mir dabei auf lange Sicht möglichst wenige Eier legen. Wie mache ich's am besten? Wie kann man es so gestalten, daß die Datenbank leicht replizierbar ist, damit nicht immer alles auf eine Verbindung quer durchs Internet angewiesen ist, um sich einzuloggen? Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;) Würde mich freuen, hier ein paar Meinungen zu hören von Leuten, die das schon gemacht haben. -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Dienstag, 29. November 2011, 16:31:39 schrieb Andre Tann:
Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;)
ich hätt ja jetzt ldap gesagt wenn du nicht schon abgewunken hättest. evtl NIS? bye, MH -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Mathias Homann, Dienstag, 29. November 2011:
Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;)
ich hätt ja jetzt ldap gesagt wenn du nicht schon abgewunken hättest.
Sagen wir so: ich hatte ja schonmal den Vorsatz, mich einzuarbeiten, und deswegen habe ich mir auch das Buch beschafft. Weiß auch nicht warum, aber ich finde LDAP nicht so recht eingängig. Vielleicht sollte ich das zum Anlaß nehmen, mich nochmal damit zu befassen. Wenn es denn Vorteile hat zB gegenüber eine Verwaltung mit SQL. (=> Welche?) -- Andre Tann -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 Andre Tann [29.11.2011 17:03]:
Mathias Homann, Dienstag, 29. November 2011:
Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;)
ich hätt ja jetzt ldap gesagt wenn du nicht schon abgewunken hättest.
Sagen wir so: ich hatte ja schonmal den Vorsatz, mich einzuarbeiten, und deswegen habe ich mir auch das Buch beschafft. Weiß auch nicht warum, aber ich finde LDAP nicht so recht eingängig. Vielleicht sollte ich das zum Anlaß nehmen, mich nochmal damit zu befassen. Wenn es denn Vorteile hat zB gegenüber eine Verwaltung mit SQL. (=> Welche?)
Nun, wir benutzen LDAP hier seit Jahren fürs Login. Das ist sehr einfach einzubinden. Wie willst Du das mit MySQL machen? In der /etc/nsswitch.conf: passwd: files ldap [NOTFOUND=return] db group: files ldap [NOTFOUND=return] db In /etc/ldap.conf Adresse(n) der LDAP-Server eintragen "getent passwd" abschicken und wohlfühlen ;-) Ab hier stehen die User-IDs zur Verfügung. Damit die Anmeldung auch klappt, sollte PAM noch informiert werden. /etc/pam.d/common-account-pc:15:account required pam_ldap.so use_first_pass /etc/pam.d/common-auth-pc:17:auth required pam_ldap.so use_first_pass /etc/pam.d/common-password-pc:15:password required pam_ldap.so try_first_pass use_authtok /etc/pam.d/common-session-pc:16:session optional pam_ldap.so Das macht aber YaST alleine, wenn Du es zum Konfigurieren nimmst. Ich könnte Romane schreiben, was das für ein Gefreckel mit Ubuntu ist, aber das tut nicht not ;-) Gruß Werner -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.18 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iEYEARECAAYFAk7VA6QACgkQk33Krq8b42NGWACfZQWlE4UPmmj1oXrRfrLNrtxz dWcAnAj5tkNuSHEKfIMZExUDhtoQ7+ZT =Nkiw -----END PGP SIGNATURE----- -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Dienstag, 29. November 2011, 17:03:02 schrieb Andre Tann:
Mathias Homann, Dienstag, 29. November 2011:
Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;)> ich hätt ja jetzt ldap gesagt wenn du nicht schon abgewunken hättest.
Sagen wir so: ich hatte ja schonmal den Vorsatz, mich einzuarbeiten, und deswegen habe ich mir auch das Buch beschafft. Weiß auch nicht warum, aber ich finde LDAP nicht so recht eingängig. Vielleicht sollte ich das zum Anlaß nehmen, mich nochmal damit zu befassen. Wenn es denn Vorteile hat zB gegenüber eine Verwaltung mit SQL. (=> Welche?)
...LDAP ist vor allem erst mal dafür *entwickelt worden* benutzer zu verwalten ;) wenn du deine userverwaltung in ein ldap steckst kann dein samba ADS controller spielen, da freuen sich dann die windows clients :) und im hintergrund stecken die daten dann in einer mysql anstatt in flat files, dann hast du beides :) bye, MH -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 11/29/2011 05:10 PM, schrieb Mathias Homann:
wenn du deine userverwaltung in ein ldap steckst kann dein samba ADS controller spielen, da freuen sich dann die windows clients :)
Hallo, Sorry für das Highjacking, aber ich dachte bis jetzt immer das samba4 (welches ja für ADS Pflicht ist) nicht mit dem OpenLdap (was der gemeine Leser hier unter LDAP versteht) zurechtkommt und samba seinen eigenen LDAP mitbringt....den kann man dann wohl wieder nicht bequem über Yast konfigurieren. Oder täusche ich mich da? Gruß Daniel -- Daniel Spannbauer Software Entwicklung marco Systemanalyse und Entwicklung GmbH Tel +49 8333 9233-27 Fax -11 Rechbergstr. 4 - 6, D 87727 Babenhausen Mobil +49 171 4033220 http://www.marco.de/ Email ds@marco.de Geschäftsführer Martin Reuter HRB 171775 Amtsgericht München -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 29 Nov 2011 17:49:54 +0100
schrieb Daniel Spannbauer
Am 11/29/2011 05:10 PM, schrieb Mathias Homann:
wenn du deine userverwaltung in ein ldap steckst kann dein samba ADS controller spielen, da freuen sich dann die windows clients :)
Hallo,
Sorry für das Highjacking, aber ich dachte bis jetzt immer das samba4 (welches ja für ADS Pflicht ist) nicht mit dem OpenLdap (was der gemeine Leser hier unter LDAP versteht) zurechtkommt und samba seinen eigenen LDAP mitbringt....den kann man dann wohl wieder nicht bequem über Yast konfigurieren.
Oder täusche ich mich da?
Da täuschst du dich. Der Unterschied besteht darin, dass Samba4 einen connectionless Proxy vor den LDAP-Server (OpenLDAP) gesetzt. Die Userdaten und Kerberosdaten liegen in OpenLDAP. ConnectionLess LDAP lauscht auf udp und emuliert damit das Verhalten von Active Directory. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 29 Nov 2011 17:03:02 +0100
schrieb Andre Tann
Mathias Homann, Dienstag, 29. November 2011:
Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;)
ich hätt ja jetzt ldap gesagt wenn du nicht schon abgewunken hättest.
Sagen wir so: ich hatte ja schonmal den Vorsatz, mich einzuarbeiten, und deswegen habe ich mir auch das Buch beschafft. Weiß auch nicht warum, aber ich finde LDAP nicht so recht eingängig. Vielleicht sollte ich das zum Anlaß nehmen, mich nochmal damit zu befassen. Wenn es denn Vorteile hat zB gegenüber eine Verwaltung mit SQL. (=> Welche?)
Netzwerkorientiertes Protokoll geringe Latenzzeiten standardisierte Protokollsprache protokollkonforme Replikation und Synchronisation Sind das nicht genug Vorteile? -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 29.11.2011 16:31, schrieb Andre Tann:
Servus zusammen,
ich muß für ein Netzwerk eine zentrale Benutzervewaltung bauen. Es handelt sich um zwei Dutzend Clients (Windows und Mac), drei Samba-Server, Postfix, Dovecot. Das wars so im wesentlichen.
Derzeit sind die Paßwörter überall lokal gespeichert, was funktioniert hat, weil die Fluktuation immer sehr gering war. Das konnte ich manuell erledigen.
Jetzt aber möchte ich es zentralisieren, und mir dabei auf lange Sicht möglichst wenige Eier legen. Wie mache ich's am besten?
Wie kann man es so gestalten, daß die Datenbank leicht replizierbar ist, damit nicht immer alles auf eine Verbindung quer durchs Internet angewiesen ist, um sich einzuloggen?
Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;)
Würde mich freuen, hier ein paar Meinungen zu hören von Leuten, die das schon gemacht haben.
Da bleibt im Grund nur openLDAP übrig! Muss jetzt ein bisschen Eigenwerbung machen: Im Rahmen von meine Projekt desktop4education haben wir sogar für openSUSE eigene YaST Module entwickelt, die eine sehr einfache Benutzer/Gruppen/Sambafreigabenverwaltung erlaubt: Ein paar Screenshots zum Beispiel: http://d4e.at/support/version-2011/benutzerverwaltung/benutzer-anlegen-bearb... Allgemein: desktop4education http://www.desktop4education.at Da muss man grundsätzlich nicht viel von Datenbanken oder so wissen. Samba läuft von haus aus, für die Anbindung deiner anderen Dienste hilft dir vielleicht sogar schon unser Dokuwiki weiter: http://peer.st/dw -- Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Servus zusammen,
ich mu=C3=9F f=C3=BCr ein Netzwerk eine zentrale Benutzervewaltung bauen. Es handelt sich um zwei Dutzend Clients (Windows und Mac), drei Samba-Server, Postfix, Dovecot. Das wars so im wesentlichen.
.....
Mit MySQL kenne ich mich einigerma=C3=9Fen aus. Mit LDAP nicht, trotz Diete= rs Buch im Schrank. Das Buch hat f=C3=BCr mich sechs Siegel, mindestens ;)
Hallo Andre, ich hatte vor ein paar Jahren mal passwd + mysql am Start, und es wurden noch einige Dienste gesteuert, die ich in einem normalen Ldap Schema erst mal nicht wiederfinden würde. Im Prinzip gilt für alle zentralen Systeme: du brauchst eine passende pam-Komponente für die Anmeldung du brauchst in der pam Konfiguration eine sinnvolle Definition, damit sich wenigstens root noch anmelden kann, wenn die Netzwerkverbindung fehlt du brauchst weiter eine nss-Komponente, die eigentlich nichts tun sollte, ausser Anfragen zu Benutzernamen / Ids zu behandeln (es gab da eine lustige Fehlkonfiguration, wo über nss eine userid zum Anmeldenamen gefunden wurde und dann das normale pam-Modul für passwd und shadow die Anmeldung erlaubte) Das damalige pam-mysql / nss-mysql hat, soweit ich mich erinnern kann, noch keinen Zweitserver unterstützt. du brauchst unbedingt ncsd - läuft normalerweise eh, auch wenn man es nicht will .... Leider reagiert der normale ncsd auf jede Unpässlichkeit (das kann eine ausbleibende Antwort aus dem Netz sein) mit Einstellen der Tätigkeit, und das System hatte deswegen den "Babysitter" Job, der bei Fehlern immer ein nscd restart auslöste. Heute gibt es den unscd, den man stattdessen installieren kann Wolfgang -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 29 Nov 2011 16:31:39 +0100
schrieb Andre Tann
Servus zusammen,
ich muß für ein Netzwerk eine zentrale Benutzervewaltung bauen. Es handelt sich um zwei Dutzend Clients (Windows und Mac), drei Samba-Server, Postfix, Dovecot. Das wars so im wesentlichen.
Derzeit sind die Paßwörter überall lokal gespeichert, was funktioniert hat, weil die Fluktuation immer sehr gering war. Das konnte ich manuell erledigen.
Jetzt aber möchte ich es zentralisieren, und mir dabei auf lange Sicht möglichst wenige Eier legen. Wie mache ich's am besten?
Wie kann man es so gestalten, daß die Datenbank leicht replizierbar ist, damit nicht immer alles auf eine Verbindung quer durchs Internet angewiesen ist, um sich einzuloggen?
Mit MySQL kenne ich mich einigermaßen aus. Mit LDAP nicht, trotz Dieters Buch im Schrank. Das Buch hat für mich sechs Siegel, mindestens ;)
Würde mich freuen, hier ein paar Meinungen zu hören von Leuten, die das schon gemacht haben.
Wenn du Replikation möchtes, ist LDAP Pflicht, vorzugsweise OpenLDAP, aber auch OpenDJ oder ApacheDS bieten die gleichen Dienste. Zur Verwaltung der User installiere GOsa oder etwas vergleichbares. https://oss.gonicus.de/labs/gosa/ http://projects.apache.org/projects/directory_server.html http://forgerock.com/opendj.html Wenn du weitere Fragen hast, werde ich die gerne beantworten. -Dieter -- Dieter Klünter | Systemberatung http://dkluenter.de GPG Key ID:DA147B05 53°37'09,95"N 10°08'02,42"E -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (7)
-
Andre Tann -
Daniel Spannbauer -
Dieter Klünter -
hamann.w@t-online.de -
Mathias Homann -
Matthias Praunegger -
Werner Flamme