Hallo zusammen, ich stehe vor dem Problem in einem Netzwerk mit mehreren Debian (Woody) und Windowsrechnern ein znetrales Benutzermanagement einzuf�hren. Ein Samba-PDC kontrolliert die Windows Dom�ne.
Grunds�tzlich riet man mir zur Verwendung von OpenLDAP. Nun versuchte ich Informationen dazu zu bekommen und las u.a. einen iX-Artikel, mehrere Artikel im Netz, Dokumentation, die mit Samba bzw. OpenLDAP geliefert wurden, sowie Doku der Pakete libnsslapd und libpamldap etc. Ferner las ich das Openldap unter Linux, in welchem dieser Fall Benutzermanagement sogar als Andwendungsbeispiel erkl�rt wurde. In diesem Fall wurde mir aber nicht klar, welchen Vorteil der LDAP-Einsatz gegen�ber NIS bringen sollte, das NIS parallel zu LDAP verwendet wurde. NIS f�r die Daten aus der passwd, LDAP nur f�r's Kennwort... Begr�ndung: shadow-Pass�wrter w�ren mit NIS nicht m�glich. Daf�r musste man dann SSH-Tunnels f�r LDAP erzeugen usw. und Skripten schrieben, die die passwd mit dem LDAP synchroniseren, das passwd Kommand lief nciht mehr usw. Viel Stress und totales Chaos... obwohl es mit NIS auch allein mglich w�re. Grunds�tzlich w�rde ich es gern so l�sen, dass alle Benutzeraccount (nicht, die Systemaccounts) auf dem LDAP-Server gespeichert werden und sowohl Samba, als auch Unix-Logins auf den LDAP-Server zur�ckgreifen, d.h. die Benutzer nicht in der passwd bzw. smbpasswd erschienen m�ssen. Optimal w�re es, wenn aber Kommandos wie passwd o.�. dann auch (f�r den Benutzer unsichtbar) auf den LDAP-Server zur�ckgreifen w�rden... Theoretisch m�sste libnssldap (nsswitch) das ja erm�glichen, dass neben der Abfrage der Datei /etc/passwd auch ein LDAP-Server zum Einsatz kommt. W�rde mal die libpamldap-Doule �berhaupt noch ben�tigen? Ich muss gestehen, dass ich sehr viele Ans�tze kennengelernt haben, die mich alle bisher nicht wirklich als schl�ssiges und �berschaubares Konzept �berzeugt haben. Oftmals wirkten diese auch sehr umst�ndlich, weil irgendwelche Probleme in ihnen "geschickt umgangen" wurden, w�hrend sie in anderen gel�st worden waren. M�glicherweise h�ngt dies auch mit dem Alter der Dokumente zusammen. Jedenfalls ist die verwirrung rieisen gro�. Ich such ein m�glichst leicht zu durchschauendes Konzept (wegen der geringeren Gefahr Fehler bzw. Sicherheitsl�cken zu haben), welches m�glichst f�r den benutzer verborgen bleibt, sprich er so handeln kann, als ob sein Account local in der passwd definiert w�re. Viele liebe Gr��e und vielen Dank f�r Tipps! Michael P.S. Ich halte dieses Thema �brigens f�r von recht grunds�tzlichem Interesse... Immerhin ist ein solches Benutzermanagent sicherlich in vielen gemischt Umgebungen interessant. -- Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
