ol2tmx
31.10.13, 14:40
Ich bin neu in das Thema LDAP eingestiegen und habe Open LDAP auf Debian GNU/Linux 6.0.8 (squeeze) eingerichtet. TLS ist auch eingerichtet und funktioniert auch hervorragend mittels verschiedener Fontends, wie z.B. JXploer, ldapsearch etc.
Nun geht es an die Konfiguration der Clients zur Authentifizierung mittels LDAP. Dazu gibt es ja einige, leider sehr versionsabhängige, Anleitungen. In der Client-Integration scheint sehr viel Bewegung zu sein. Ich habe aber viel mehr eine ganz generelle konzeptorische Frage bezüglich der Aufteilung der lokalen User und Gruppen mit den auf dem LDAP befindlichen Benutzer und Gruppen. Genau hier habe ich viel widersprüchliche Dinge gelesen. Es gibt einerseits die Meinung die LDAP User und Gruppen sollten mit vom System unabhängigen uid und guid versehen werden, so dass es eine klare Trennung gibt, z.B.:
lokal uid ab 1000, gid ab 1000
ldap uid ab 10000 , gid ab 20000
Hier würde ich 2 lokale Systemnutzer für administrative Aufgaben mit Sudo-Rechten lokal anlegen. Alle anderen Benutzer kommen ins LDAP. Sicherlich werden ja auch nur die Gruppen ins LDAP migiert, welche mit dem eigentlichen System nichts zu tun haben. Die PADL Migration-Tools (http://www.padl.com/OSS/MigrationTools.html) migieren die /etc/password + /etc/shadow und die /etc/groups vollstädig 1:1 in jeweils ein LDIF. Hier gibt es auch immer wieder Howtos, wo die originalen uid ab 1000 und guid ab 1000 im LDAP landen und die gesamte Rechteverwaltung per LDAP abgewickelt wird. Das halte ich aber für gefährlich, da ohne LDAp das System nicht mehr autark arbeiten kann. Die Gruppen können dann aber eben nicht mehr komfotabel per LDAP gemnanagt werden, sondern ganz klassisch mit gpasswd etc.
Wie handelt Ihr das bei Euren Servern und welche Erfahrungen habt Ihr bisher gemacht. Was würdet Ihr aus Eurer Erfahrung empfehlen. Was war problematisch und über welche Fallen seid Ihr gestolpert.
L.G. ol2tmx
Nun geht es an die Konfiguration der Clients zur Authentifizierung mittels LDAP. Dazu gibt es ja einige, leider sehr versionsabhängige, Anleitungen. In der Client-Integration scheint sehr viel Bewegung zu sein. Ich habe aber viel mehr eine ganz generelle konzeptorische Frage bezüglich der Aufteilung der lokalen User und Gruppen mit den auf dem LDAP befindlichen Benutzer und Gruppen. Genau hier habe ich viel widersprüchliche Dinge gelesen. Es gibt einerseits die Meinung die LDAP User und Gruppen sollten mit vom System unabhängigen uid und guid versehen werden, so dass es eine klare Trennung gibt, z.B.:
lokal uid ab 1000, gid ab 1000
ldap uid ab 10000 , gid ab 20000
Hier würde ich 2 lokale Systemnutzer für administrative Aufgaben mit Sudo-Rechten lokal anlegen. Alle anderen Benutzer kommen ins LDAP. Sicherlich werden ja auch nur die Gruppen ins LDAP migiert, welche mit dem eigentlichen System nichts zu tun haben. Die PADL Migration-Tools (http://www.padl.com/OSS/MigrationTools.html) migieren die /etc/password + /etc/shadow und die /etc/groups vollstädig 1:1 in jeweils ein LDIF. Hier gibt es auch immer wieder Howtos, wo die originalen uid ab 1000 und guid ab 1000 im LDAP landen und die gesamte Rechteverwaltung per LDAP abgewickelt wird. Das halte ich aber für gefährlich, da ohne LDAp das System nicht mehr autark arbeiten kann. Die Gruppen können dann aber eben nicht mehr komfotabel per LDAP gemnanagt werden, sondern ganz klassisch mit gpasswd etc.
Wie handelt Ihr das bei Euren Servern und welche Erfahrungen habt Ihr bisher gemacht. Was würdet Ihr aus Eurer Erfahrung empfehlen. Was war problematisch und über welche Fallen seid Ihr gestolpert.
L.G. ol2tmx