Hi zusammen
also ich hab da mal wieder ein paar fragen.
ich habe samba und pure-ftpd am laufen apache soll auch noch kommen.
wie schaffe ich es den drei programmen eine gemeinsame Passworddatei zu geben
hab da was von LDAP gehört
die User sollen bei den drei Diensten das gleiche Passwd haben aber nicht auf dem Linux System!!!!!!!
kann mir jemand sagen wie ich das am besten mache ein paar links mit infos wären auch sehr nett

also dann
danke schon mal im Vorraus
mfg Overfly

Google ist nie verkehrt. ;)
http://www.openldap.org heißt die Antwort :)

sofern die programme pam unterstützen geht das.
Das nötige Modul ist pam_ldap. Einfach einen ldap server aufsetzen, egal auf welchem Rechner, und dort die Benutzer eintragen ;-)
Nimm Dir für das ldap-zeugs etwas Zeit, zwei Tage vielleicht. Ausserdem wirst Du interesse an einer gesicherten Übertragung der Passwörter haben, etwa mit tls o.ä.
Ach ja, wenn es viele Benutzer werden, dann überlege Dir vorher die Struktur des Verzeichnissbaumes. Lass Dir das gesagt sein von einem der das ausser acht gelassen hat! <:-)

Viel Spass,
mamue

hi
die verzeichnis Struktur ist klar jeder bekommt unter /home ein verzeichnis der rest ist für alle nutzer tabu!!!
wie finde ich den raus ob die Programme ldap können?

Nene, ich meinte die Struktur des Verzeichnisdienstes (user unter ou=people z.B.).
Wenn die programme pam könne, sollte das doch reichen.
apache kann mit ldap umgehen und proFTp sicherlich auch. Ich nehme an, auch pure-ftp wird über pam mit ldap zusammenarbeiten.
Für die meisten mailer (cyrus und postfix, sendmail) ist das ebenfalls kein problem. Auch squirrel et al können was mit ldap anfangen.
Hab' ich noch was vergessen? Ach ja, squid angeblich auch.

mamue

gut jetzt hab ich gar keine ahnung mehr was du mienst
also mit verzeichnis strucktur

Also ich glaube nicht, daß man ohne Erfahrung einen LDAP-Server in 2 Tagen aufsetzen kann, rechne mal lieber mit wenigstens 2 Wochen bis alles einigermaßen läuft! ;)

Hier ist eine gute Beschreibung (http://www.linux-tin.org/tin.german/setupguide/server/suse/html/openLDAP.htm)

Soviel zum LDAP-Server. Den habe ich so leidlich in zwei Wochen hinbekommen.

Nun aber: Wenn ich mich von einem Windows-Client innerhalb der Domäne an diesem LDAP-Server anmelden will (über Suchen -> Personen ) bekomme ich nicht wie erwartet eine Authentifizierungs-Maske, sondern eine simple Windows-Maske.

Was mache ich falsch ??

Uwe

Original geschrieben von uk2912
Nun aber: Wenn ich mich von einem Windows-Client innerhalb der Domäne an diesem LDAP-Server anmelden will (über Suchen -> Personen ) bekomme ich nicht wie erwartet eine Authentifizierungs-Maske, sondern eine simple Windows-Maske.

Was mache ich falsch ??

Uwe [/B]

Ich weiss noch nicht einmal, was Du da machst.
Meldest Du dich jetzt am Domänencontroller an, oder durchsuchst Du das Netzwerk?
Den LDAP server selbst mache ich übrigens generell keinem im Netz direkt zugänglich, zu gross ist die Möglichkeit eines denial of service, selbst eines unbeabsichtigtem.

mamue

hi also ich will mienen server auch noch zum router umfunktioniren heist das das ich den ldap server hardwaremasig auf einem hin ter dem router laufen lassen sollte
oder besser gleich router server(smba apache ldap) und arbeitsplatz?
derrouter würde sonnst auch die server nmitnehmen inkl. ldap wäre nciht so gut von wegen sicherheit oder hab ich jetzt was nicht verstanden?

mfg overfly

Original geschrieben von mamue
Den LDAP server selbst mache ich übrigens generell keinem im Netz direkt zugänglich, zu gross ist die Möglichkeit eines denial of service, selbst eines unbeabsichtigtem.

mamue

Das versteh ich nicht, wofür nutzt Du denn LDAP? Für ein lokales Adressbuch gibt es einfachere Lösungen, und für Serverdienste muß er ja zugänglich sein, oder wie meinst Du das?

@Overfly: Ich würde die Serverdienste nicht auf dem Router installieren, aber über eine Firewall (iptables) könntest Du sie schon absichern (also z.B. LDAP nur nach innen freigeben). Wie groß ist den Dein Netzwerk? Lohnt dieser Aufwand überhaupt ... ?

Hi also netzwerk kann man es nciht bezeichnen
ich will einen server zuhause aufstellen zugriff aus dem internet
damit ich auch aoch arbeiten kann will ich meinen anderen pc ins internet bringen
sweit klar?
ldap brauche ich damit man auf die drei server die ich hab draufkommt aber ich nur eine passwd datei phlegen muss
wären damit alle klarheiten beseitigt?
mfg overfly

Original geschrieben von swen1

Hier ist eine gute Beschreibung (http://www.linux-tin.org/tin.german/setupguide/server/suse/html/openLDAP.htm)

Spitzen-Link! Danke!

Bye

Thorsten

Original geschrieben von mamue
Ich weiss noch nicht einmal, was Du da machst.
Meldest Du dich jetzt am Domänencontroller an, oder durchsuchst Du das Netzwerk?
Den LDAP server selbst mache ich übrigens generell keinem im Netz direkt zugänglich, zu gross ist die Möglichkeit eines denial of service, selbst eines unbeabsichtigtem.

mamue

Dann ist ja der Sinn Deines LDAP - Servers völlig daneben. Dieser soll ja in einem Netzwerk
auch die gesamte Zugriffsverwaltung übernehmen. Deshalb ja der Name LDAP.

Nein. Ich sagte ich gewähre keinen _direkten_ Zugriff darauf. LDAP macht _nur_ mit den richtigen Applikationen Sinn. Kein Anwender will einen Verzeichnissdienst durchsuchen:
'(|(&(objectclass=inetorgPerson)(uid=mamue))(&(objectclass=localmailaddress)(uid=ma-mue)))'

Samba verwendet ldap. Postfix/cyrus verwenden ldap. Ich bin dabei webseiten zu erstellen, die den Status der Rechner anzeigen. Der Status (Fehlerrport, vielleicht auch angemeldete Anwender und Hardware/Treiber) wird per ldap verwaltet. Aber niemals geht auch nur ein Paket von aussen auf dem Port 389 ein, bzw. es würde gleich verworfen.


mamue

ich hab eben die drei server jeder der auf ftp und samba zugreift bekommt als verzeichnis für sich /
also kann da gleich reinschreiben
ldap brauche ich für eine gemeinsame passwd datei
und nicht für die autentifikation in einem netzwerk mit domain
darüber will ich nur den zugriff steuern also das ich nur eine passwd datei zu pfegen brauche
mfg overfly

Original geschrieben von Overfly
ldap brauche ich für eine gemeinsame passwd datei
und nicht für die autentifikation in einem netzwerk mit domain
darüber will ich nur den zugriff steuern also das ich nur eine passwd datei zu pfegen brauche
mfg overfly

Wo siehst Du denn den Unterschied zwischen Authentifizierung durch einen LDAP-Server einerseits, und einer Zugriffssteuerung über passwd andererseits? Das ist doch meine Rede.
Und weil ich genau diese Zugriffsteuerung brauche, MUSS ich mich doch erstmal an dem LDAP-Server authentifizieren. Mehr Pakete als diese Anfrage sollen da doch gar nicht drauf.
Aber da sind wir wieder bei meinem Problem (siehe oben)

Uwe

also damit es laufen sollte muss ich nur den ldap server ausetzten da die User und passwörter eintagen
und als nächstes apache samba und pure-ftpd sagen das sie sich gegen den Ldap autentifiziren sollen?

Irgend wie so stelle ich mir das vor. Aber wie genau das geht, weiss ich eben auch nicht. Hänge jetzt schon seit Tagen an dieser Stelle fest. Und offensichtlich weiss auch niemand was Genaues. Oder alle halten sich zurück mit wegweisenden Informationen.

Uwe

Meist geht das über pam. Einen Einblick gibt ein kurzer Absatz in einem iX Artikel der auch online verfügbar ist. Unter heise->suchen->iX nach ldap oder PDC suchen.
/etc/nsswitch muss angepasst werden und einige erweiterungen unter /etc/pam.d/ eingetragen werden. Entweder nimmt ftp auch das login modul odr es wird sicher irendwo einen Hinweis geben, was eingetragen werden muss.Es gibt eigene Dateien unter /etc/pam.d/ für imap, ssh, login etc.
Ansonsten brauchst Du im ldap nur noch Einträge vom typ "posixAccount" anzulegen. Nicht vergessen, eine strukturelle Klasse anzugeben, wie "top", aber das merkst Du dann rechtzeitig...

mamue

Hi zusammen,

hat es von euch denn schon einer hinbekommen den ldap server mit ssl bzw. tls zum laufen zu bringen?
Bin für jeden Tipp dankbar.

Viele Grüsse

Matthias

Hi!
Welche Distri ?? Bei RH musst du "nur" ein paar Zeilen einkommentieren ein Zertifikat erstellen und den LDAP neustarten. Läuft einwandfrei.

Debian Woody.