Hi! Ich habe gerade ein solches Setup hinter mir.. LDAP verwende ich dabei als Directory, jedoch habe ich einige Services (obwohl sie teils direkt auf LDAP zugreifen könnten) nicht so konfiguriert, sondern einige Perl-Scripts geschrieben, welche die Maschinen regelmässig "synchronisieren". Als MTA verwende ich Postfix und Cyrus für die Boxen. Da Postfix hässlich viele LDAP lookups generieren würde, habe ich mich entschieden alle diese Lookups via Hashtables zu machen und die Hashtables in einem Loop zu dumpen / inkrementell erweitern. Ebenfalls die Mailboxen in Cyrus muss man "von hand" - sprich also mit einem solchen Script erstellen.
Die Systemuser habe ich direkt im LDAP server drin und mit libnss-ldap und das login mit libpam_ldap an den LDAP server gebunden. Dieselbe Authentication im MTA habe ich mit saslauthd implementiert. Sämtliche Passwortdaten sind demnach immer im LDAP server und werden nie irgendwo hin synchronisiert. Damit wäre das Hauptproblem gelöst und die Tools verhalten sich optimal schnell als wäre das lookup lokal. Mag sein, dass einige finden das sei der falsche Ansatz, aber ich finde es toll.. Mitunter ein Grund für diesen Ansatz ist, dass häufig die Gestaltung der Datensätze im LDAP Server man sich an der Applikation ausrichten muss. Wenn man es dumpt, kann man auf dem LDAP-Server konzeptionell korrekt bleiben und entsprechend Konzeptionelle Entitäten (Mailbox, Alias, ...) bilden, und nicht solche welche Exim/Postfix-Orientiert sind. Die Lookup-Fähigkeiten sind nämlich häufig beschränkt. Wenn man mal ein Teilchen austauscht, braucht man dann nicht das Directory anzupassen, sondern das sync-script. Apache synchronisiere ich auch so... (Schreiben von virtualhosts in configs) Gewisse Services sind dadurch auch nicht mehr so eng an LDAP gebunden, dass sie noch gut funktionieren wenn das Directory sich mal verschluckt hat und das gefällt auch so. Auf LDAP greife ich zu mit: libnet-ldap-perl :-) Ansatz deckend mit deinen Gedanken? Freundliche Grüsse! +-------------------------------+ +-------------------------------+ | Miro Dietiker | | MD Systems Miro Dietiker | +-------------------------------+ +-------------------------------+ -----Ursprüngliche Nachricht----- Von: Christian Schmidt [mailto:[EMAIL PROTECTED] Gesendet: Montag, 19. Dezember 2005 17:44 An: Debian-User-german Betreff: Gemeinsame Benutzerverwaltung? Hallo miteinander, demnaechst werde ich zwei Server einrichten. Einer davon soll "outbound services" abdecken (WWW, eMail), der andere nach "innen" im wesentlichen als Samba-Fileserver dienen. Die Benutzer werden auf beiden Seiten die gleichen sein, so dass eine gemeinsame Benutzerverwaltung naheliegt. Aktuell bedient man sich IMO dafuer wohl der Faehigkeiten eines LDAP-Servers, oder? Ich stelle mir das so vor: - Server "intern" haelt via LDAP die Benutzerdaten vor. - Auf Server "extern" wird zur Mailzustellung sowie zur Authentifizierung eine LDAP-Anfrage an "intern" generiertund ausgewertet. - Auch eMail-Aliases sollen via LDAP verwaltet werden. An Software soll eingesetzt werden: Debian Sarge, exim4, dovecot und (auf "intern") eben samba. Bekomme ich das auch als Einsteiger in das Thema LDAP hin? Oder wuerdet Ihr eine komplett andere Herangehensweise empfehlen? An Doku zur "Verheiratung" von (u.a.) Samba und LDAP habe ich ein IMO recht gelungenes Howto auf <http://www.idealx.org> gefunden; was die Zusammenarbeit mit exim anbelangt, bin ich noch auf der Suche... Habt Ihr sonst noch Hinweise auf lesenswerte Anleitungen, Do-s, Don't-s etc.? Es sei Euch schon im Voraus gedankt. Gruss, Christian Schmidt -- Ich bin nicht an allem schuld, sondern nur an einigem. -- Klaus Knopper
