PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : OpenLDAP, Zugangsrechte



OliverH
21.09.08, 13:09
Hallo,

ich experimentiere derzeit mit OpenLDAP herum und möchte ein SingleSignOn einrichten. Das ganze funktioniert soweit auch ganz gut, nur habe ich dabei folgendes Problem:

Ich habe mehrere Benutzergruppen, die sich nur auf unterschiedlichen Rechnergruppen anmelden können sollen. Jetzt könnte ich die Benutzerobjekte unterhalb verschiedener OrganizationalUnits anordnen und die einzelnen Rechner nur Unterhalt des jeweiligen zweiges suchen lassen.

Das Problem ist, dass z.B. die Administratoren aber zugriff auf alle Maschinen haben sollen. Also müsste ich Aliases anlegen, was leider nicht so recht funktioniert:

[code]
LDAP said: Naming violation
Error number: 0x40 (LDAP_NAMING_VIOLATION)
Beschreibung: A naming violation occurred. This usually means that you tried to change the value of an attribute that is used in the DN. For example, if you change the 'cn' value of an entry whose DN is 'cn=Bob Jones,dc=example,dc=com', you must also rename the entry to reflect the change.
[code]

Diesen Fehler erhalte ich von phpLDAPAdmin wenn ich versuche ein Alias Object auf einen Benutzer an zu legen.

Ist das überhaupt der richtige Ansatz mit den Aliasen, oder gibt es da eine besser Lösung?

Gruß,

Oliver

fladi.at
03.10.08, 19:01
Eine Möglichkeit wäre es, die Zuweisung der Benutzer zu den Maschinen über ein Attribut beim User zu steuern. Auf das kannst du dann filtern wenn du die User über NSS/PAM suchen lässt.
Somit hast du alle User zentral unter einer OU (oder ähnlichem) und steuerst den Zugang über das Attribut, auch für die Admins.

NIghtmareJOker
10.10.08, 15:54
Du könntest eine ACL anlegen welche den Admins auf alle Maschinen Zugriff gibt.
Infos zu ACL gibts z.B. hier: http://www.zytrax.com/books/ldap/ch6/#global

okokart
07.11.08, 10:58
it is a good idea .i want to buy oil painting (http://www.okokart.com/) and head massager (http://www.kingaogifts.com/).who have then.