PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ldap



daemonb
03.06.03, 09:25
Also folgendes:


Standort1 Standort2 Standort3
| | |
--------------------------- ------------------------- ----------------------------
| | | | | | | | |
user gruppen computer user gruppen computer user gruppen computer


Kann man das Ldap schema so anlegen? Ist das empfehlenswert? Wenn ein benutzer von einem standort zum anderen umzieht ist es doch nicht sonderlich problematisch oder?

Danke schonmal
DaemonB

PS: Sorry das forum verrückt alles ein wenig, allerdings denke ich kann man es noch erkenne.

Jeder standort hat die unterpunkte user gruppen und computer
Es sollten möglichst viele dienste per ldap benutzbar sein. Kann man das so machen? Was sollte man anders machen?

[WCM]Manx
03.06.03, 10:07
Hi!

1.) Welche Dienste?
2.) Die Struktur des LDAP ist IMHO durchaus in Ordnung, denn die Struktur dient ja mehr oder weniger der Lesbarkeit und/oder der Zugriffsbeschränkung mit ACL.

Grüße

Manx

daemonb
03.06.03, 10:33
vorallem samba, deshalb auch die unterteilung user group computer.
Würde aber auch gerne bind und postfix drüber laufen lassen. Bin aber nicht sicher wie ich die struktur dann anpassen muss, damit das in mein schema passt.
oder sollte ich nach abteilungen unterteilen?
Ich habe nach standorten gegliedert, da bei uns teilweise die abteilungen fließend sind bzw in einer abteilung leute sitzen, die auch für andere abteilungen arbeiten, ein grund war auch noch das ich evtl die Standorte 2 und 3 auf andere server auslagern wollte.
Wie findest du die Struktur? Wie kann ich es besser machen, Sie ist eigentlich so gedacht, dass die ewig halten sollte :-D. Also jederzeit ergänzbar, deshalb frage ich hier nochmal nach. Falls eventuell jemand beispiele hätte wie man mit verschiedenen standorten arbeiten könnte bzw einfache beispiele, wäre ich sehr dankbar.
Bis denne

DaemonB

mamue
03.06.03, 10:45
Du hättest also
dn: dc=yourCompany, dc=de

dn:dc=berlin, dc=yourCompany, dc=de
dn:dc=frankfurt, dc=yourCompany, dc=de
..

sowie
dn: ou=user, dc=berlin, dc=yourCompany, dc=de
dn: ou=groups, dc=berlin, dc=yourCompany, dc=de
dn: ou=computer, dc=berlin, dc=yourCompany, dc=de

Es ist sicherlich überlegenswert, ob man das "dc" Namenschema oder das o/ou schema verwendet.
Grundsätzlich ist es natürlich wichtig, sich zu überlegen, welche Auswirkung diese Verteilung hat. Wie oft kommt es vor, dass Personen zwischen den Standorten wechseln? Wenn es selten passiert, ok, ansonsten könnte eine Aufteilung nach Funktionen besser sein:
dn:dc=marketing, dc=yourCompany, dc=de
Eine ou computer finde ich nicht sonderlich sinnig. Was soll denn da drin stehen?
Habt Ihr vor, samba zu verwenden? Dann haben die Compi eh schon accounts, man müsste zusehen, das beide zweige, die computer accounts und die Einträge unter ou=computer synchron bleiben, vielleicht sogar mit referrals arbeiten. Gibt es wirklich einen gravierenden syntaktischen Unterschied bei Euch zwischen Computern und Personen? Ausserdem: Würdest Du in ou=computer auch intelligente switche und Faxgeräte eintragen?
Wie sieht es mit der Replizierung zwischen den Standorten aus, ist die Bandbreite ein Problem? Stell Dir vor, dn: cn=schulze, dc=berlin, dc=yourCompany, dc=de sucht die Email von jemandem der dn: cn=M*r, dc=yourCompany, dc=de heisst (beachte den Stern und den Bezug auf den Wurzel). Da sind drei Standorte mit beschäftigt die Abfrage zu bearbeiten.
Oder wäre es denkbar, einen gemeinsamen Baum zu haben mit Aufteilung nach Abteilungen und diesen zu replizieren?

Just my 0,02€

mamue

daemonb
03.06.03, 11:20
da hast du recht also steht dann unter standort1, wenn ich samba benutze alle computer gruppeb und user drin, dachte eher daran es zu ordnen, darum habe ich das mir so gedacht.

Deine idee alles zu replizieren ist an sich ganz brauchbar, allerdings ist dabei das problem, dass alle user nach standort1 kommen, aber nur ein teil nach standort2 und standort3. Mir wäre es eigentlich nicht so recht userdaten, die eigentlich nicht benötigt werden an 3 Standorten liegen zu haben.

ich denke ich würde eher nach dc aufteilen, die Strukturen hier abzubilden denke ich wäre zu kompliziert.
Wie funktionier das denn eigentlich im Samba bsp?
ich habe eine freigabe x, sage ich dann dn: dc=einkauf, dc=standort1, dc=firma, dc=de darf darauf zugreifen. Allerdings wie sieht es aus, wenn ein user aus einer anderen abteilung auf die freigabe x will, muss ich dann einzeln die user angeben, oder kann bei ldap wie auch in wirklichkeit ein einzelner user mehreren gruppen angehören, müsste ich die user im verzeichnis dann doppelt anlegen?

Danke schonmal
DaemonB

mamue
03.06.03, 11:34
ldap nimmt keine authentifizierung vor. Es sei denn man authentifiziert sich am ldap um dort Daten zu ändern.
Für samba sind die Gruppen entscheident (posixGroup). Bei einer Veranstaltung zu Novell 4.0 (vor Jahren, NT4 gabs noch nicht) sagte der Vortragende, dass der NDS sorgfältig geplant werden müsse, und da einige Kunden nicht so recht wüssten, wie Ihr Unternehmen aufgeteilt ist, würde man leicht nebenher noch als Unternehmensberater tätig sein. Das ist ziemlich arrogant, aber ein kleiner Funken Wahrheit ist enthalten, glaube ich.

Warum willst Du nicht replizieren? Eine dezentrale Replica wird ohnehin empfohlen, und ob ich jetzt 1.000 oder alle 10.000 Einträge durch die weite Welt kopiere, macht doch auch keine grossen Unterschied, oder?
Ich kenne das Unternehmen nicht, aber ich würde dringend zu Literatur raten, etwa das von Clayton Donley, "LDAP - Programming, Management and Integration"
Es ist recht kurz und knapp, das für Dich erst einmal wichtigste auf ca 100 Seiten, die wirkllich gut lesbar sind.

mamue

daemonb
03.06.03, 11:48
habe mich schon durch LDAP unter linux durchgewühlt, allerdings finde ich das buch bescheiden um ehrlich zu sein.
Das da nur die daten abgelegt sind ist mir ja shcon klar.
Ich habe auch ziemlich genau im blick wie das unternehmen aufgebaut ist.
wolte halt wissen wie so ein schema im grunde bei einer normale firma auszusehen hat mir einkauf verkauf blablabla und wie das dann mit den diensten wie samba bind und outlook zusammenarbeitet.
Also bei uns ist der hauptsitz standort1 in deutschland, dann gibt es in Österreich und der Schweiz niederlassungen, in denen nur Aussendienstler ab und an sind. Das würde für mich heissen, dass es ausserhalb so gut wie keine strukturen gibt.
Mit dem replik hast du recht. Das werde ich so machen.
für standort1 habe ich ein komplettes organigramm. das problem dabei ist, das bei uns eine person oft in mehreren bereichen bzw Abteilungen arbeitet.
Mir wurde jetzt auch schon mehrmals geraten eine dc struktur zu wählen, da sie einfacher zu handhaben wäre.
bei dem beispiel von samba.idealx.org habe sie auch eine organisation und darunter die user gruppen und rechner. Wieso?

Hoffe mir kann da einer weiterhelfen.
Habe mich schon fast dummgelesen. Der eine sagt das, der andere das, die Aussagen sind teilweise sehr schwammig. Mir scheint es irgendwie langsam, als kann man da eh anlegen was man will. Irgendwie kommt da schon was raus auch wenn es unübersichtlich ist *g*.

bis denne

DaemonB

mamue
03.06.03, 12:39
Auf die Schnelle sei gesagt, dass das Buch "ldap unter Linux" bei weitem schlechter ist als das von mir genannte. "ldap unter linux" ist völlig veraltet und hilft einem beim Aufbau eines ldap dienstes überhaupt nicht.

"bei dem beispiel von samba.idealx.org habe sie auch eine organisation und darunter die user gruppen und rechner. Wieso? "
Ich kenne das Beispiel nicht, wie ist es denn aufgebaut?
Bei samba und ldap ändert sich im Moment vieles, die neue samba3.0 verwendet ander schemata und kennt mehr Anweisungen zur Konfiguration der Zusammenarbeit mit ldap in der smb.conf. Bislang machte es kaum Sinn, die Gruppen in einem anderen Zweig zu haben wie die user, da samba jedes Objekt ab der eingestellten base-dn gesucht hat. Ausserdem sehe ich nicht, inwiefern sich aus sicht von samba computer und user unerscheiden. Aber vielleicht sehe ich das auch falsch.
Es gibt wohl kein falsch oder richtig, oder besser gesagt, man weiss es erst hinterher, ob es falsch war ;-)
Das Buch aus dem Manning-Verlag ist wirklich brauchbar. OReilly hat auch eines, aber ich finde es nicht so gut lesbar. DPunkt hat ab Ende Juni eines, dass bereits hochgelobt wurde, mal sehen.

mamue

daemonb
03.06.03, 14:01
oki dann wird mal ordentlich gelesen. Oder ich übernehme einfach das organigramm, das wird wohl am einfachsten sein denke ich mir.
Kann ich einem user im ldap verzeichnis mehrere posixGroups zuweisen?
Mh,..... bind würde da aber rein garnicht in dieses schema passen. Sind in dem von dir genannten buch auch beispiele drin, wie man EIN verzeichnis für squid, samba, bind und outlook gleichzeitig nutzt?
Wenn ich im samba bin gibt es ja maschinetrust accounts, die sich bei samba normal automatisch anlegen. Wie sieht das denn unter ldap dann aus? Kennst du dich damit aus?

Danke hast mir schon ordentlich geholfen, denke ich hätte des auf jedenfall falsch gemacht.
Das von oreilly sieht nicht schlecht aus.

Bis denne

daemonb

mamue
03.06.03, 19:24
Da komm ich jetzt etwas durcheinander. Das eine sind die Fragen zur Authentifizierung, die eigentlich immer mit "ja, geht, siehe pam" beantwortet werden kann (zu squid und ldap gabs hier mal einen Thread), das andere die Frage des Speicherns der Informationen, wie E-Mail Adressen et al.
Datenablage:
outlook und ldap sind ein Thema für sich, outlook kann in ldap suchen, aber nicht eintragen. Weder der grosse, noch der express.
Die E-Mail adressen, bzw das routing für Postfix (Exim, Sendmail..) wird gerne mit dem laser.schema erschlagen (war auch schon mal Thema hier).
Natürlich kann jeder user Mitglied in mehreren Gruppen sein, sonst hätte ich arge Probleme ;-) aber es gibt natürlich weiterhin die primary group.
Zu bind bzw dhcp und ldap gibt es geteilte Meinungen: Man kann bind eigentlich nicht so recht durch ldap ersetzen, dazu ist ldap zu lahm, bind hält grundsätzlich aller Einträge im RAM, OpenLDAP kann gar nicht alles im RAM. Aber man kann ldap als Backend nehmen für bind und DHCP, dann liegt das zone file im ldap. Gemacht habe ich das aber noch nicht.
Ich finde das Buch von Oreilly nicht schlecht, aber das von Manning brachte mir mehr und ich fand es auch lesbarer. Ich kenne wenig EDV-Literatur, die sich gut lesen lässt, eines ist dieses von Clayton (Das andere ist von Josuttis zu C++)

mamue

swen1
04.06.03, 10:20
Original geschrieben von daemonb
Wenn ich im samba bin gibt es ja maschinetrust accounts, die sich bei samba normal automatisch anlegen. Wie sieht das denn unter ldap dann aus?
daemonb

Das geht mit LDAP auch. Ich nutze dafür die smb-ldap-tools von Samba (in Perl).

PS: Ich finde es der Übersichtlichkeit auch besser einen Zweig für Computer anzulegen.