Was kann ich mit OpenLdap?

Du suchst ein Programm für einen bestimmten Zweck?
Antworten
Benutzeravatar
weshalb
Beiträge: 947
Registriert: 16.05.2012 14:19:49

Was kann ich mit OpenLdap?

Beitrag von weshalb » 10.11.2019 16:06:55

Hallo, ich überlege gerade, wie OpenLdap funktioniert. Da es sich dabei um eine globale Benutzerverwaltung handelt, frage ich mich, inwieweit es mir in größeren Umgebungen hilft, Samba, Postfix, Dovecot, Horde und die User selbst in einem Rutsch zu verwalten.

Heißt das beispielsweise, dass wenn ich einen User auf einem Extraserver in OpenLdap angelegt habe, ich bei einem Neuinstall eines Systems, nur noch die genannten Programme installieren/konfigurieren muss und die sich dann alle Daten (auch SMTP Server und Co., Sambaanmeldung etc.) aus dem Ldap ziehen oder liege ich da grundsätzlich falsch?

Praktisch wäre das schon, da ich sonst immer alles wieder neu anlegen muss.

Benutzeravatar
Meillo
Moderator
Beiträge: 5481
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Was kann ich mit OpenLdap?

Beitrag von Meillo » 10.11.2019 16:38:12

weshalb hat geschrieben: ↑ zum Beitrag ↑
10.11.2019 16:06:55
Hallo, ich überlege gerade, wie OpenLdap funktioniert. Da es sich dabei um eine globale Benutzerverwaltung handelt, frage ich mich, inwieweit es mir in größeren Umgebungen hilft, Samba, Postfix, Dovecot, Horde und die User selbst in einem Rutsch zu verwalten.

Heißt das beispielsweise, dass wenn ich einen User auf einem Extraserver in OpenLdap angelegt habe, ich bei einem Neuinstall eines Systems, nur noch die genannten Programme installieren/konfigurieren muss und die sich dann alle Daten (auch SMTP Server und Co., Sambaanmeldung etc.) aus dem Ldap ziehen oder liege ich da grundsätzlich falsch?

Praktisch wäre das schon, da ich sonst immer alles wieder neu anlegen muss.
Ja, du kannst die gesamte Benutzerverwaltung an zentraler Stelle machen. Die Authentifizierung in den verschiedenen Systemen laeuft dann zentral ueber LDAP. Userdaten und Passwoerter liegen dann nur einmal da. Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.
Use ed(1) once in a while!

Benutzeravatar
weshalb
Beiträge: 947
Registriert: 16.05.2012 14:19:49

Re: Was kann ich mit OpenLdap?

Beitrag von weshalb » 10.11.2019 16:52:51

Meillo hat geschrieben: ↑ zum Beitrag ↑
10.11.2019 16:38:12
Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.
Danke Meillo, doch wie kann ich mir das dann vorstellen?

Benötige ich dann auf einem neuen System gar keinen User mehr, muss dann aber die Home-Ordner für die einzelnen User händisch anlegen und die richtigen Rechte vergeben? Auch im Falle von Postfix muss ich dann die sasl_password, relaymaps und smtpdsender etc. ebenfalls händisch in der Postfixconfig für den einzelnen User konfigurieren?

Schade, dass man sowas nicht gleich in OpenLdap hinterlegen kann. Ich denke, der Vorteil liegt dann doch eher wie immer beschrieben in der Verwaltung von großen Unternehmen.

Benutzeravatar
Meillo
Moderator
Beiträge: 5481
Registriert: 21.06.2005 14:55:06
Wohnort: Balmora
Kontaktdaten:

Re: Was kann ich mit OpenLdap?

Beitrag von Meillo » 10.11.2019 18:00:34

weshalb hat geschrieben: ↑ zum Beitrag ↑
10.11.2019 16:52:51
Meillo hat geschrieben: ↑ zum Beitrag ↑
10.11.2019 16:38:12
Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.
Danke Meillo, doch wie kann ich mir das dann vorstellen?
Leider kann ich dir nur die Theorie und ein paar Beobachtungen bieten, weil ich solche Systeme selber noch nicht aufgesetzt und administriert habe.

Wir haben in einem Umgebung ein phpBB-Forum und eine Gitlab-Instanz, die beide an's LDAP angebunden sind. Die Authentifizierung geht da ueber LDAP. D.h. wenn sich jemand einloggt, werden die Logindaten gegen per LDAP geprueft. Wenn ich ein User zum ersten Mal anmeldet, dann wird automatisch ein Useraccount in der Anwendung (phpBB bzw. Gitlab) angelegt. Wenn er dort dann vorhanden ist, kann man ihm dort dann auch weitere Rechte zuweisen (z.B. ihm zum Mod machen oder zum Developer eines Projekts). Ich glaube aber, dass wir sowas eingerichtet haben, dass alle LDAP-User, die einer bestimmten LDAP-Gruppe oder so angehoeren automatisch bestimmte Rechte in Gitlab haben. Sicher bin ich mir nicht, aber ich meine, dass es so ist. Was da moeglich ist, haengt von der jeweiligen Anwendung ab.

An der Stelle hoert mein Wissen auf. Jetzt muessen andere uebernehmen ...
Use ed(1) once in a while!

Benutzeravatar
novalix
Beiträge: 1731
Registriert: 05.10.2005 12:32:57
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: elberfeld

Re: Was kann ich mit OpenLdap?

Beitrag von novalix » 11.11.2019 14:00:47

weshalb hat geschrieben: ↑ zum Beitrag ↑
10.11.2019 16:52:51
Meillo hat geschrieben: ↑ zum Beitrag ↑
10.11.2019 16:38:12
Nur die anwendungsspezifischen Rechte musst du weiterhin in den Anwendungen verwalten, aber dort kannst du manches auch an Eigenschaften des Users aus dem LDAP koppeln.
Danke Meillo, doch wie kann ich mir das dann vorstellen?

Benötige ich dann auf einem neuen System gar keinen User mehr, muss dann aber die Home-Ordner für die einzelnen User händisch anlegen und die richtigen Rechte vergeben? Auch im Falle von Postfix muss ich dann die sasl_password, relaymaps und smtpdsender etc. ebenfalls händisch in der Postfixconfig für den einzelnen User konfigurieren?

Schade, dass man sowas nicht gleich in OpenLdap hinterlegen kann. Ich denke, der Vorteil liegt dann doch eher wie immer beschrieben in der Verwaltung von großen Unternehmen.
Kann man alles machen, muss man aber erst mal so konfigurieren.
Für Postfix gibt es ein Modul zur LDAP-Anbindung (Debianpostfix-ldap). Dovecot kann man ebenso derart konfigurieren, dass es auf einen LDAP-Tree zugreift.
User Accounts lassen sich über LDAP verwalten, indem man die plugable authentication mechanisms (pam) mit dem Tree verbandelt. PAM besitzt auch ein plugin zur automatischen Erstellung von homes.

Tutorials dazu gibt es einige.
Das Wem, Wieviel, Wann, Wozu und Wie zu bestimmen ist aber nicht jedermannns Sache und ist nicht leicht.
Darum ist das Richtige selten, lobenswert und schön.

wanne
Moderator
Beiträge: 6072
Registriert: 24.05.2010 12:39:42

Re: Was kann ich mit OpenLdap?

Beitrag von wanne » 11.11.2019 17:27:53

So zur klarstellung: LDAP beinhaltet immer nur die Daten über einen User (Also Name, Gruppen, UID etc.) Es ersetzt im Großen und ganzendie /etc/passwd-Datei.
Die eigentlichen Nutzdaten müssen dann getrennt angelegt werden.
Der Pfad ist aber extrem ausgetreten. Jedes Programm bietet irgend welche Automatisierungsmethoden um die passenden Ordner/Configs/Daten für LDAP-User anhand der Eigenschaften dieses Users zu erzeugen.
Du musst dich aber ein bisschen von der Manuellen Arbeitsweise abwenden. Wenn du bis dahin 5 Schritte unternommen hast, um einen User anzulegen, dann geht das so nicht mehr. Du musst die irgend wie automatisieren. Das kann ein kleines Bashskript beim Login sein, dass die weitestgehend wie früher abfrühstückt. Oft wird das aber eher auf völlig andere Arbeitswesen hinauslaufen.
Z.B. hat man die /home-Ordner ganz gerne auf remote-Dateisystemen um sich das erzeugen auf jedem einzelnen PC ersparen zu können. (Prinzipiell wäre es aber natürlich auch möglich, das anders zu machen und automatisch home order zu erzeugen, wenn der Nutzer sich einlogged/erstellt wird.)
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
weshalb
Beiträge: 947
Registriert: 16.05.2012 14:19:49

Re: Was kann ich mit OpenLdap?

Beitrag von weshalb » 12.11.2019 19:12:55

Danke, ich schaue mir das mal Stück für Stück bei Gelegenheit an.

Benutzeravatar
Livingston
Beiträge: 306
Registriert: 04.02.2007 22:52:25
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: 127.0.0.1

Re: Was kann ich mit OpenLdap?

Beitrag von Livingston » 13.11.2019 04:39:55

LDAP ist zum Einstieg echt harter Stoff, und ich kann mich gut daran erinnern, wie knifflig das Einarbeiten war: Tausend Anleitungen und Tutorials, die alle irgendwie über was ähnliches sprachen, und es gab hundertzwölfunddrölfzig verschiedene Arten, den Zugang zum Thema nahezubringen. Und kein Chef in Reichweite, der mir 'nen Kurs sponsoren wollte. Nach vielen Jahren stolperte ich über das, was ich früher schon gerne zwischen den Fingern gehabt hätte:
http://www.mitlinx.de/ldap/ <--- nein, keine Version in https, wahrscheinlich schon uralt, aber es geht um die Basics, und die gelten für die Ewigkeit.

Ob das Deinem Geschmack entspricht, weiß ich nicht, aber ich halte es für durchaus gelungen.
Der Trick bei LDAP ist: Erst mal viel lesen und ausprobieren, bis man die Chemie versteht. Das Konzept von LDAP halte ich nicht für intuitiv, aber wenn man erst mal die Hintergründe kennt und einige Trockenübungen gemacht hat, macht's plötzlich Klick, und dann kann man damit arbeiten.

EDIT: Noch ein Guide
http://www.zytrax.com/books/ldap/
Das Ding ist mal richtig ausführlich. Hab ja keine Ahnung, wieviel Zeit Du hast, aber nach dem Lesen dieser Anleitung, weißt Du alles :wink:

Antworten