PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : LDAP Gruppenverwaltung - brauche Denkansatz



Toby
12.02.06, 15:26
Hallo,

ich habe mal eine Frage an die LDAP-Freaks an euch. ;)

Ich bin LDAP Anfänger und möchte folgendes Szenario aufbauen:
Auf mehreren Maschinen habe ich verschiedene Dienste laufen. (z.B. imap, ftp, svn etc.)
Nun möchte ich meine Benutzer zentral in einem LDAP-Verzeichnis ablegen. (was ja Sinn macht) Das LDAP-Verzeichnis läuft auch soweit und ich habe zum Test einen courier-imap und postfix aufgesetzt. Soweit alles OK.

Allerdings möchte ich nicht jedem Benutzer Zugriff auf alle Dienste erlauben. Ich hätte gerne eine gruppenbasierte Zugriffskontrolle.
D.h. wenn ich den Benutzer 'Hans' in die Gruppe 'imapusers' stecke, hat er Zugriff auf den IMAP Service. Weise ich ihm auch noch der Gruppe 'ftpusers' zu, darf er sich zusätzlich auch per FTP verbinden. (Für bessere Ansätze bin ich offen!)

In meinen Augen ist das eine zentrale Funktionsweise, mir fehlt nur momentan der Denkansatz, wie ich das am besten realisiere. (wie gesagt, ich bin noch LDAP noob) :confused:

Meine Frage ist nun: Wie macht "man" das, bzw. wie macht "ihr" das?
Mir würde auf jeden Fall schonmal ein grober Denkansatz weiterhelfen. Wenn ich was nicht verstehe, frage ich nach :)

Schonmal vielen Dank für eure Antworten.

Toby

fladi.at
13.02.06, 09:00
Am einfachsten wäre sicher pam_ldap (was du vermutlich eh schon eingerichtet hast) und pam_require um für die einzelnen Dienste die Authentifizierung zu machen. Da gibst du einfach bei jedem Dienst, der auf eine Gruppe beschränkt sein soll per pam_require die Gruppe an.

Toby
13.02.06, 11:04
Hallo fladi.at,

danke für diene Antwort.
Diese Möglichkeit ist nicht schlecht. Aber ist das sinnvoll?
Ich meine Postfix und Courier IMAP haben z.B. selbst eine sehr schöne LDAP Unterstützung.
Wäre natürlich cool, wenn man das direkt verwenden könnte und nicht den Umweg über PAM gehen muss. Zumal auch deshalb, weil ich virtual mailbox verwenden will und nicht für jeden Mailuser auf der IMAP Maschine einen shell User haben möchte.
Ich muss mal schauen, ob sich das auch über PAM irgendwie realisieren lässt.

Falls jemand noch eine Idee hat, immer gerne. :)

Toby

fladi.at
13.02.06, 13:00
Evtl. (kenne die LDAP-Implementierung von z.b. Postfix nicht) kannst du einfach die Base/Search-DN in der der Dienst seine Benutzer sucht dazu benutzen, Gruppen zu bilden. Bin mir aber nicht sicher, ob man das mit einem groupOfNames-Objekt lösen. Müsste aber das LDAP-Buch von O'Reilly dafür finden .....

Toby
13.02.06, 13:36
Hmm, ein Benutzer kann ja nicht mehrere DNs haben. (Also z.B. in verschiedenen OUs gleichzeitig stecken)
Oder verstehe ich etwas falsch?