Hallo alle beisammen, ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. Die Daten sollten idealerweise in einer DB gespeichert werden z.B. sql oder oracle. Ich möchte bei jedem user einstellen kann was er wo darf, z.B. Apache account auf Server1, system login auf Server2, ftp login auf server 1 und 2 etc. Womit mache ich dies? Vielen Dank Manuel
Moin, * Manuel Jenné <jenne@deltaprojekt.de> [02-08-30 21:43]:
ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. Die Daten sollten idealerweise in einer DB gespeichert werden z.B. sql oder oracle.
Ich möchte bei jedem user einstellen kann was er wo darf, z.B. Apache account auf Server1, system login auf Server2, ftp login auf server 1 und 2 etc.
Womit mache ich dies?
Das ist ein weites Feld, die besten Stichworte sind wohl LDAP und PAM. Thorsten -- He who receives an idea from me, receives instruction himself without lessening mine; as he who lights his taper at mine, receives light without darkening me. - Thomas Jefferson
ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. Die Daten sollten idealerweise in einer DB gespeichert werden z.B. sql oder oracle.
Ich möchte bei jedem user einstellen kann was er wo darf, z.B. Apache account auf Server1, system login auf Server2, ftp login auf server 1 und 2 etc.
Womit mache ich dies?
Das ist ein weites Feld, die besten Stichworte sind wohl LDAP und PAM.
Danke, wo liegen denn die wichtigsten Unterschiede zwischen LDAP und PAM? Welches ist umfangreicher? Manuel
Moin, * Manuel Jenné <jenne@deltaprojekt.de> [02-08-30 22:23]:
ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. Die Daten sollten idealerweise in einer DB gespeichert werden z.B. sql oder oracle.
Ich möchte bei jedem user einstellen kann was er wo darf, z.B. Apache account auf Server1, system login auf Server2, ftp login auf server 1 und 2 etc.
Womit mache ich dies?
Das ist ein weites Feld, die besten Stichworte sind wohl LDAP und PAM.
Danke, wo liegen denn die wichtigsten Unterschiede zwischen LDAP und PAM?
LDAP ist ein Datenzugriffsprotokoll, PAM ein Authentifizierungsframework. Thorsten -- Unix is not an 'A-ha!' experience, it is more of a 'Holy shit!' experience. - Colin McFadyen
Hallo,
Thorsten Haude <linux@thorstenhau.de> writes:
Moin,
* Manuel Jenné <jenne@deltaprojekt.de> [02-08-30 22:23]: [...]
Danke, wo liegen denn die wichtigsten Unterschiede zwischen LDAP und PAM?
LDAP ist ein Datenzugriffsprotokoll, PAM ein Authentifizierungsframework.
Na ja. LDAP ist primär eine hierarchisch strukturierte Datenbank und hat nur durch die Verbindung zur X.500 Protokoll-Familie etwas mit einem Datenzugriffsprotokoll zu tun. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Moin, * Dieter Kluenter <dieter@incode.com> [02-08-30 23:24]:
Thorsten Haude <linux@thorstenhau.de> writes: LDAP ist ein Datenzugriffsprotokoll, PAM ein Authentifizierungsframework.
Na ja. LDAP ist primär eine hierarchisch strukturierte Datenbank und hat nur durch die Verbindung zur X.500 Protokoll-Familie etwas mit einem Datenzugriffsprotokoll zu tun.
Wie kann dann Oracle mit LDAP funktionieren? Welches Protokoll benutzt OpenLDAP? Ich denke schon, daß LDAP ein Protokoll ist. Thorsten -- Das Briefgeheimnis sowie das Post- und Fernmeldegeheimnis sind unverletzlich. - Grundgesetz, Artikel 10, Abs. 1
Hallo, Thorsten Haude <linux@thorstenhau.de> writes:
Moin,
* Dieter Kluenter <dieter@incode.com> [02-08-30 23:24]:
Thorsten Haude <linux@thorstenhau.de> writes: LDAP ist ein Datenzugriffsprotokoll, PAM ein Authentifizierungsframework.
Na ja. LDAP ist primär eine hierarchisch strukturierte Datenbank und hat nur durch die Verbindung zur X.500 Protokoll-Familie etwas mit einem Datenzugriffsprotokoll zu tun.
Wie kann dann Oracle mit LDAP funktionieren? Welches Protokoll benutzt OpenLDAP? Ich denke schon, daß LDAP ein Protokoll ist.
Oracle kann höchstens als Backend für LDAP funktionieren, obwohl das etwas unsinnig wäre. Es macht meistens wenig Sinn, eine hierarchische Datenbankstruktur auf einer Relationalen Datenbankstruktur laufen zu lassen. OpenLDAP nutzt RFC2251 also das Lightweight Directory Access Protocol in der Version 3. Dieses basiert auf der X.500 Protokoll Familie. Darin geregelt sind die Methoden der Erstellung eines Verzeichnisdienstes, die Lese- und Zugriffssteuerung auf diesen Verzeichnisdienst und die Methoden des Updates des Datenbestandes. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
Moin, * Dieter Kluenter <dieter@incode.com> [02-08-31 08:07]:
Thorsten Haude <linux@thorstenhau.de> writes:
* Dieter Kluenter <dieter@incode.com> [02-08-30 23:24]:
Thorsten Haude <linux@thorstenhau.de> writes: LDAP ist ein Datenzugriffsprotokoll, PAM ein Authentifizierungsframework.
Na ja. LDAP ist primär eine hierarchisch strukturierte Datenbank und hat nur durch die Verbindung zur X.500 Protokoll-Familie etwas mit einem Datenzugriffsprotokoll zu tun.
Wie kann dann Oracle mit LDAP funktionieren? Welches Protokoll benutzt OpenLDAP? Ich denke schon, daß LDAP ein Protokoll ist.
Oracle kann höchstens als Backend für LDAP funktionieren, obwohl das etwas unsinnig wäre. Es macht meistens wenig Sinn, eine hierarchische Datenbankstruktur auf einer Relationalen Datenbankstruktur laufen zu lassen.
Es geht nicht darum, ob es die Geschwindigkeitsrekorde bricht; sicherlich ist es sinnvoll, daß es die Möglichkeit gibt.
OpenLDAP nutzt RFC2251 also das Lightweight Directory Access Protocol in der Version 3. Dieses basiert auf der X.500 Protokoll Familie. Darin geregelt sind die Methoden der Erstellung eines Verzeichnisdienstes, die Lese- und Zugriffssteuerung auf diesen Verzeichnisdienst und die Methoden des Updates des Datenbestandes.
Also ein Protokoll. Danke. Thorsten -- When bad men combine, the good must associate; else they will fall one by one, an unpitied sacrifice in a contemptible struggle. - Edmund Burke
Hallo, Manuel Jenné <jenne@deltaprojekt.de> writes:
Hallo alle beisammen,
ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. Die Daten sollten idealerweise in einer DB gespeichert werden z.B. sql oder oracle.
Ich möchte bei jedem user einstellen kann was er wo darf, z.B. Apache account auf Server1, system login auf Server2, ftp login auf server 1 und 2 etc.
Kerberos 5 ist dein Freund. Und wenn du es ganz komfortabel haben möchtest, OpenLDAP-2.1.x, cyrus-sasl-2.1.x, krb5-1.2.5. Diese Kombination nutze ich hier. Die ftp, login_krb5, telnet und klogin Clients von Kerberos sind da für dich sicher besonders interessant. Ich realisiere hier login, Samba und cyrus-imap mit diesem Gespann. Das komfortable ist, das wird alles als Single Sign On realisiert. Mit dem Login wird einmal das Passwort eingegeben, fertig. Egal auf welchen Host, jeder Anwender hat unterschiedliche Rechte zu definierten Diensten. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. Die Daten sollten idealerweise in einer DB gespeichert werden z.B. sql oder oracle.
Ich möchte bei jedem user einstellen kann was er wo darf, z.B. Apache account auf Server1, system login auf Server2, ftp login auf server 1 und 2 etc.
Kerberos 5 ist dein Freund. Und wenn du es ganz komfortabel haben möchtest, OpenLDAP-2.1.x, cyrus-sasl-2.1.x, krb5-1.2.5. Diese Kombination nutze ich hier. Die ftp, login_krb5, telnet und klogin Clients von Kerberos sind da für dich sicher besonders interessant.
Ich realisiere hier login, Samba und cyrus-imap mit diesem Gespann. Das komfortable ist, das wird alles als Single Sign On realisiert. Mit dem Login wird einmal das Passwort eingegeben, fertig. Egal auf welchen Host, jeder Anwender hat unterschiedliche Rechte zu definierten Diensten.
Damit ich das richtig versteh. Ich haben einen Server (eventuell noch einen secondary) auf dem der Kerberos 5 Server mit allen user infos läuft. Auf den anderen Rechnern wird dementsprechend ein client installiert und es fallen die /etc/passwd und /etc/shadow weg. Für die daemons wie apache, proftpd und vpopmail gibt es dann plugins damit die sich auch die userinfos vom Kerberos ziehen. Auf dem Server lege ich dann z.B. einen user "foo@abuse.net" an und gebe dem ein bestimmtes flag damit er sich nur über pop3 einloggen darf. Dann einen user "www.foo.net" der sich nur über ftp einloggen darf etc. Manuel
Hallo, Manuel Jenné <jenne@deltaprojekt.de> writes:
ich möchte eine zentrale Benutzerverwaltung für meine Linux systeme haben. [...] Kerberos 5 ist dein Freund. Und wenn du es ganz komfortabel haben möchtest, OpenLDAP-2.1.x, cyrus-sasl-2.1.x, krb5-1.2.5. Diese Kombination nutze ich hier. Die ftp, login_krb5, telnet und klogin Clients von Kerberos sind da für dich sicher besonders interessant. [...] Damit ich das richtig versteh. Ich haben einen Server (eventuell noch einen secondary) auf dem der Kerberos 5 Server mit allen user infos läuft. Auf den anderen Rechnern wird dementsprechend ein client installiert und es fallen die /etc/passwd und /etc/shadow weg. Für die daemons wie apache, proftpd und vpopmail gibt es dann plugins damit die sich auch die userinfos vom Kerberos ziehen. Auf dem Server lege ich dann z.B. einen user "foo@abuse.net" an und gebe dem ein bestimmtes flag damit er sich nur über pop3 einloggen darf. Dann einen user "www.foo.net" der sich nur über ftp einloggen darf etc.
Nicht ganz. Du hast einen KDC (Key Distribution Center), das ist Kerberos, dazu vielleicht noch ein, zwei Slaves. KDC verwaltet alle Pricipals, also User mit Loginname und Passwort, Alles Hosts und alle Dienste, wie FTP, LDAP, Apache etc. Dazu ja/nein Zugriffsrechte auf diese Dienste. Auf einem Ldap-Server kannst du weitere Daten, auch Benutzerdaten, ablegen, GECOS, Shell, Homeverzeichnis, Telefonnummer usw. aber auch, wenn du möchtest, Maschinendaten, Netzwerkdaten, Maildaten granulierte Zugriffsrechte,was immer erforderlich ist. Kerberos gibt keine Passwörter weiter, sondern stellt den Diensten zugenannte Granting Tickets zur Verfügung, die mit dem Schlüssel des Users gezeichnet sind. Kerberos und Dienste kommunizieren entweder direkt miteinander, wenn sie "kerborized" sind, oder aber über SASL. Wobei ich SASL bevorzuge, da hier die Kommunikation verschlüsselt abläuft. Mit dem Kerberos Schlüssel können die Dienste sich nun weitere Informationen vom LDAP Server holen, sofern notwendig, Mailinformationen, Routingansweisungen, falls erforderlich. Von alle dem merkst du als Anwender nichts, du startest nur den Dienst. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour
participants (3)
-
Dieter Kluenter -
Manuel Jenné -
Thorsten Haude