Hallo Sven,
Sven Schiwek
Dieter Kluenter wrote:
Sven Schiwek
writes: ich habe unter SuSE 9.0 einen LDAP Server mit mehreren BaseDNs aufgesetzt. Die LDAP Datenbank hat somit dieses aussehen: [...] Eine andere Möglichkeit wäre, die Base DN zu verändern, etwa in der Art: cn=firma1,o=alle firmen,c=de cn=firma2,o=alle firmen,c=de [...] Hallo,
ja, solch eine Idee hatte ich auch schon, das würde dann als Baum so aussehen:
dc=de +-dc=firma1 | `-ou=People | | +-dc=firma2 | `-ou=People
So kommt aber ein neues Problem auf: Ein User aus firma1 kann sich auch unter firma2 anmelden, da PAM-LDAP nur die BaseDN "dc=de" kennt und dort nach dem Loginnamen sucht.
Das ließe sich verhindern, indem man reduntante Namensgebung vermeidet, oder durch Hinzufügung eines trennenden Attributwertes, also z.B. 'uid=franz+firma1, eine andere Möglichkeit wäre die Emailadresse. Da gibt es genügend Beispiele in der Literatur und im Netz. Eine Bemerkung am Rande, eine Base DN 'dc=de' würde ich dir nicht empfehlen, da treten sehr leicht Konflikte auf, abgesehen davon daß dies eine Verletzung des X.500 Protokolls wäre.
Ich habe vor auf einem Server mehrere unabhängige Imap-Server laufen zu lassen, die je zu einer Firma gehören, es laufen dazu auch je ein SMTP-Server (Postfix).
Ist es überhaupt möglich dieses Szenario mit der Software:
IMAP - Cyrus SMTP - Postfix Authentifizierung - LDAP
aufzubauen? Ich brenne nicht darauf LDAP zu nutzen, es kommt mir nur logisch vor LDAP für diese Zwecke zu nutzen.
Ja, es ist möglich! LDAP als Datenbasis zur Authentifizierung ist immer besser als eine reine Textdatei, auch wenn sie gehashed ist. Schon allein aus Gründen der höheren Lesegeschwindigkeit.
Gibt für dieses Szenario Alternativsoftware?
Da fällt mir spontan Kerberos V5 und die SASL Libraries anstelle von PAM ein, inbesondere libgssapi. Aber daß Problem ist nicht die Software, sondern Mangel an Protollkenntnissen. Wenn man DAP oder LDAP nutzen möchte, sollte man schon einige Tage mit dem Design des Serverlayouts verbringen. LDAP ist nicht RDBM.
Ich habe eine veränderte libnss bei Debian gefunden, ich werde mir die Software mal etwas genauer ansehen.
Kenne ich nicht. Aber wenn du dich inensiver mit pam_ldap und libnss auseinandersetzen möchtest, bist du bei http://www.padl.com gut aufgehoben. -Dieter -- Dieter Kluenter | Systemberatung Tel:040.64861967 | Fax: 040.64891521 mailto: dkluenter(at)dkluenter.de http://www.avci.de