Hallo,
Joachim Kieferle
Dieter Kluenter wrote:
Hallo,
Joachim Kieferle
writes: Hallo Liste,
um das bisherige Netz (Linux-Server, Windows-Clients) um Linux-Clients zu erweitern, überlege ich, die Authentifizierung künftig über LDAP laufen zu lassen. [...] Hallo Dieter,
.... was ich wissen möchte ist ganz einfach: wie geht's (sprich was muss ich wo und wie konfigurieren). Gibt es im Netz irgendwo eine "DAU"-Anleitung?
Nein, das ist auch nichts für DAU's. :-)
Mein bisheriger Stand: Linux-Server mit Windows-Clients; SuSE 8.1 mit Samba 2.2.8.
Mein geplanter Stand: Linux-Server mit Windows- UND Linux-Clients. Authentifizierung und mehr über LDAP
Dazu braucht's wohl (bzw. ist hilfreich) ein LDAP-Server, der das gesammte Accounting übernimmt. Habe zwar das Buch "LDAP unter Linux" erstanden (und auch versucht zu lesen), aber so ganz klar ist's mir noch nicht.
Das Buch kannst du vergessen, das ist total veraltet, behandelt ldapv2 und OpenLDAP-1.x und davon ist heute nichts mehr zu gebrauchen.
1. wie sollte meine slapd.conf für den geplanten Einsatz aussehen?
Diese Frage kann erst zum Schluß beantwortet werden, wenn alle Parameter feststehen.
2. wie muss die LDAP-Datenbank aussehen (sprich welche Einträge)? 3. hängen die Linux-Clients dann mit NFS am Server und vor allem: wie sicher ist das?
Für Samba gibt es einige Doku, ist aber nicht weiter schwierig, zur Not kann ich dir als Start einige .ldif Muster bereitstellen.
4. wie können "normalsterbliche" User ihr Passwort am besten unter Windows ändern (weil - Linux-Usern kann ich mehr zumuten ;-).
Was heißt Windows, W98 oder W2K? Beide können über Samba ihr Paßwort ändern, W2K zusätzlich mittels Kerberos 5
5. etwas OT: aber wie sag' ich meinen Windows-Clients, dass sie zu der von LDAP verwalteten Domäne gehören.
Das ist eine Frage der Konfiguration, von Samba und deiner Windows Clients.
6. Migration von shadow bzw. smbpasswd zu LDAP - geht das oder sollten die User neue Passwörter lernen?
Migration ist kein Problem, dazu gibt es sowohl Tools für Samba als auch für PAM. [...]
Wie beurteilst denn Du meinen Plan, etwa 15 Windows- und 10 Linux-Clients mit ca. 550 Usern mit LDAP zu verwalten? Oder ist das Overkill und LDAP lohnt sich erst ab komplexeren Infrastrukturen?
Das ist schon eine akzeptable Größenordnung. Obwohl einige Universitäten einige 100.000 Anwender und einige 10.000 Clients mit ldap verwalten. In meinem Testnetz habe ich nur 2 W2K, 3 Linux und einen SCO Host.
LDAP-mässig bin ich am Anfang bzw. Ausloten, die andere Dinge administriere ich seit Jahren.
Es gibt mehrere Themenbereiche, Samba+ldap, Samba+Kerberos, ldap+services, ldap+User, ldap+kerberos. Zum Thema ldap gibt es in Internet eine Vielzahl von Dokumentation. Der größte Teil dieser Doku hat einen Nachteil, sie ist total veraltet und nicht mehr zu gebrauchen, es sei denn du weißt genau was du suchst und wie du das Material interpretieren mußt. Zu deiner Information LDAP-Version 2 ist ein vveraltetes Protokoll, das aber noch von etlichen kommerziellen Produkten genutzt wird. LDAP Version 3 ist Ende 1997 als RFC 2251 veröfentlicht worden. OpenLDAP unterstützt seit Version 2.0.1 ldapv3. Aber OpenLDAP-2.0 ist aus anderen Gründen veraltet und eigentlich nicht wirklich zu verwenden. Ich selbst nutze u.Zt. OpenLDAP-2.1.14, es gibt aber schon die Version 2.1.16. Wenn du wirklich die Anwenderverwaltung auf einen Verzeichnisdienst übertragen möchtest, solltest du mit der aktuellen Version OpnLDAP beginnen, dazu benötigst du dann noch mindestens BerkeleDB-4.1.25, ältere BDB Versionen werden nicht von den neuen OpenLDAP Versionen unterstützt. Weiter benötigst du cyrus-sasl-2.1.12 oder besser, als Samba verwende ich samba-3.0alpha21, ich denke aber daß 2.2.8 mit einkompilierter ldap Unterstützung ausreicht. Wenn du ausschließlich W2K Clients hast, würde ich noch MIT Kerberos krb5-1.2.6 empfehlen, da W2K natives MIT Kerberos unterstützt und da dann in Verbindung mit OpenLDAP und Samba fast einen ActiveDirectory Ersatz hast. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter@schevolution.com http://www.schevolution.com/tour