PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : konsequente LDAP-Nutzung sinnvoll?



der_angler
22.09.10, 09:31
Hallo,

bisher arbeite ich mit LDAP nur um in meiner SambaPDC die Windows-Nutzer (Logindaten) zu verwalten.
Ich sehe aber auch immer wieder das andere System-Teile "ldap"-kompatible sind. Zum Beispiel kann ich den Nameserver mit LDAP verbinden um die Domains in einer LDAP-Datenbank zu verwalten, oder ich kann Apache über LDAP die verschiedenen vhosts zuteilen, FTP geht mit LDAP, etc....
In der Theorie geht also so einiges mit LDAP zu verbinden, nur wie sieht das in der Praxis aus?
Wie sinnvoll ist es ldap konsequent im ganzen System zu benutzen? Was sind die Vor- und Nachteile?
Wenn z.Bsp. ldap ausfällt, dann geht das ganze System nicht mehr. Anderseits sollte die Verwaltung damit erleichtert sein (ein LDAP-Frontend für alle).
Und ist openldap überhaupt noch die Software der ersten Wahl? Weil CentOS benutzt ja z.Bsp. einen eigenen Service (eDirectory) anstatt openldap.

Da ich bald einen neuen Server aufsetzen muss wollte ich vorher mal nachfragen was ihr über einen konsequenten Einsatz von ldap denkt, bevor ich mir die ganze Arbeit gemacht habe.

Danke!

TheDarkRose
22.09.10, 10:22
Also ich habe bei mir konsequent auf OpenLDAP umgestellt. Es ist schon praktisch, wenn man nur mehr einen Single Point of Administration hat. Und wegen des Ausfalles, dafür gibt es ja Master-Slave Replikation.

mamue
23.09.10, 15:49
LDAP lässt sich bestens replizieren. Die Konfiguration ist allerdings bisweilen, naja, sagen wir suboptimal. Dass ich alle Daten in den Verzeichnisdienst bringen kann, heißt ja nicht, dass das auch sinnvoll machbar ist. Bei meinen letzten Versuchen mit DHCP und DNS (bind9) war ich etwas enttäuscht, denn beide Dienste wollten ihre Einträge in ziemlich speziellen Zweigen haben oder benötigten Objekt-Klassen, die "structural" waren. Wenn ich aber schon die
Host-Einträge in den Nameserver bringe, dann möchte ich ganz sicher den Samba-Account mit den beiden anderen Teilen zusammenfassen. Sonst habe ich zwar alles an zentraler Stelle, aber immer noch in dreifacher Ausfertigung.
Postfix beizubringen, welche Accounts im System vorhanden waren, war im Vergleich dazu trivial.

HTH
3m

TheDarkRose
24.09.10, 07:31
LDAP lässt sich bestens replizieren. Die Konfiguration ist allerdings bisweilen, naja, sagen wir suboptimal. Dass ich alle Daten in den Verzeichnisdienst bringen kann, heißt ja nicht, dass das auch sinnvoll machbar ist. Bei meinen letzten Versuchen mit DHCP und DNS (bind9) war ich etwas enttäuscht, denn beide Dienste wollten ihre Einträge in ziemlich speziellen Zweigen haben oder benötigten Objekt-Klassen, die "structural" waren. Wenn ich aber schon die
Host-Einträge in den Nameserver bringe, dann möchte ich ganz sicher den Samba-Account mit den beiden anderen Teilen zusammenfassen. Sonst habe ich zwar alles an zentraler Stelle, aber immer noch in dreifacher Ausfertigung.
Postfix beizubringen, welche Accounts im System vorhanden waren, war im Vergleich dazu trivial.

HTH
3m
Bei solchen Fällen, hab ich die Schema immer selbst umgeschrieben ;) Geht ganz gemütlich wenn man die Onlinekonfiguration über cn=config verwendet:D

mamue
27.09.10, 10:20
Ja, das kann man machen. Natürlich nicht mit den offiziellen schemas, sondern man besorgt sich eine eigene OID und kopier-entwirft seine eigene Schemata.
Wenn so etwas nötig ist, macht mich das allerdings immer stutzig. Entweder habe ich da etwas grundsätzlich falsch verstanden oder die Software ist noch nicht ausgereift. In jedem der beiden Fälle sehe ich besser erst einmal vom Einsatz der Lösung ab.

mamue

TheDarkRose
27.09.10, 10:31
Es war ein inoffizielles postfix.schema mit den experimentiellen OID's welches eine Klasse als nicht structural deklariert war, ich sie aber so brauchte, und sie enthielt auch ein paar zu viele MUST attribute. da dies ein inoffizielles Schema war, habe ich sie prompt an meine bedürfnisse postfix betreffend angepasst.

der_angler
27.09.10, 14:50
Hmm, okay, sinnvoll scheint es also zu sein.
Aber wenn ich dann hier lese das ich eigene Schemas anlegen/editieren muss, dann raucht mir schon im Vorraus der Kopf und ich lasse es lieber sein. Das wird mir dann doch zu kompliziert und fehleranfällig.
Ich dachte es gäbe für alle wichtigeren Zwecke ein fertiges Schema, aber selbst basteln ... ne das laß ich mal lieber.

Trotzdem danke, ich weiß jetzt das es durchaus sinnvoll ist LDAP überall einzusetzen, aber ich weiß auch das das mit einigem an Mehrarbeit verbunden ist und nur mit Erfahrung zu schaffen ist.

TheDarkRose
27.09.10, 22:10
naja, für aufwändigere postfix config gab es keine offiziellen schema, aber man findet einige im internet. wenn du willst kann ich dir ja meines geben.