Benutzerverwaltung in heterogener Umgebung

D

dura-zell

Member
Guten Morgen :)

Ich habe gegeben ein Netzwerk mit 2 Windows, 2 FreeBSD und einem Linux Client. Der dazugehörige Server soll Login und Mail bieten. 4 Benutzer erhalten ein lokales Konto auf dem Server sowie Mailkonten, zusätzlich existieren 5 weitere Benutzer, die nur ein Mailkonto bekommen sollen.

Die Windowsclients sollen mit Samba bedient werden. MTA wird Postfix werden, imap soll mit dovecot umgesetzt werden. Was mir noch Probleme bereitet ist die Kontoverwaltung. Im Moment tendiere ich dazu die Benutzerverwaltung mit ldap zu regeln. Wie ich die jeweiligen Dienste da anklemme habe ich auch schon herausgefunden:

http://www.freebsd.org/doc/en/articles/ldap-auth/index.html
https://www.bsdwiki.de/FreeBSD_-_Samba_PDC
http://www.postfix.org/LDAP_README.html
https://help.ubuntu.com/community/DovecotLDAP

Was mir nicht klar ist, ist wie ich es einrichte das bestimmte Benutzer nur Mailkonten haben, nicht jedoch ein lokales Login. Kann mir da jemand auf die Sprünge helfen? Die andere Frage ist, wie ändern die User ohne lokales Konto ihr Paßwort? Gibts da ne Weboberfläche oder ähnliches die mit ldap umgehen kann? Oder sollte ich anstatt ldap lieber was anderes nehmen? Wenn ja, dann was?

Grüße, Dura
 
Hellochen Dura!

LDAP an sich ist ne ganz gute für das Thema. Allerdings ists halt nicht so ganz easy handhabbar... nunja, nichts desto trotz...

User ohne Shellzugang kannst Du aussperren indem Du denen /dev/null on /bin/nonexistent als Shell zuweist. Dann werden die nach dem Login wieder rausgeworfen.

Alternativ könntest Du für Postfix/dovecot virtuelle User anlegen und verwalten. Wenn das nicht so viele sind, würde sich meiner Meinung nach der Aufwand nicht lohnen. Das Umschalten (Console/no Console) bleibt bei nur einer Userliste auch einfacher.

ZU LDAP ALLGEMEIN:

Wenn Samba 4 irgendwann mal soweit ist, dass man es nutzen kann, dann können wir uns auf ActiveDirectory freuen und darin schön heterogen herumpfuschen.

Der Mac OS X Server setzt auf OpenLDAP, das Schema ist aber nicht öffentlich.

Nun noch ein Link zu nem älteren Artikel vom Linux-Magazin. Interessant hierbei: Samba-Accounts und Posix-Accounts sind nicht das selbe. So könntest Du auch Samba-User ohne Shellzugang haben.

Nen kompletter Directory-Server war auch kürzlich in den News: 389 Directory Server. Ist nämlich der Fedora/Redhat LDAP Server der umbenannt wurde um vom Ursprung abzulenken.

Nicht zuletzt nicht zu vergessen zum Thema Interoperability: Solaris Directory Service.

Ja, vor Jahren hatte ich das mal probiert. Bis zum Kerberos für SSO selbst am Proxy. Bin an Windoof gescheitert und warte seit dem auf Samba 4.

so genug Senf denk ich...
 
LDAP ist super dafür geeignet.
Um Mailnutzer von Shell- oder Samba-Nutzern zu trennen, gibt man ihnen einfach entsprechende Klassen.
Beispielsweise haben alle Nutzer die Klasse account, die legt das Login und Passwort fest.
Unix-Nutzer haben zusätzlich posixAccount, Samba-(Windows-)Nutzer smbAccount (kann sein, dass die Klasse etwas anders heißt). Mailnutzern gibt man ebenfalls eine entsprechende Klasse (variiert nach verwendetem Mailserver).

Die Klassen sind beliebig kombinierbar, so dass ein Nutzer mehreren Klassen angehören kann. Alles in allem sehr übersichtlich, so ein LDAP-System :)

Beste Grüße

Der Indy
 
Danke schön für die Antworten.

Das bringt mich ein ganzes Stück weiter, vor allem an die Klassen hatte ich garnicht mehr gedacht. Ich hab noch etwas Zeit bis das losgeht, die Hardware wird gerade beschafft. Da es ein privates Ding ist, herrscht keine Eile.

Ich will mich allerdings schonmal einarbeiten in die Thematik. Hatte das schon einmal vor Jahren - noch mit Linux - versucht und bin gescheitert. Nu bin ich ein wenig schlauer, die Entwicklung ging voran und ich hab die Zeit das ggf. auch mal auf einer virtuellen Maschine zu testen bevor ich die "Mühle" ans Netz bringe.

Zum Thema Aufwand für so wenig User: Stimmt, eigentlich ists Overkill. Aber man lernt dazu und es macht mir ohnehin Spaß sowas zu basteln. Werd mich nun erstmal in die Schemata einarbeiten.

Nachtrag zu Samba4: Hab gelesen das soll zusammen mit HURD erscheinen, so lang wollte ich eigentlich nicht warten... ;)
Nee, im Ernst: Nachdem was ich gelesen hab dauert es noch ein Weilchen und ich möchte das in ein bis zwei Monaten über die Bühne haben. Insofern is es eher sinnvoll mich mit dieser Lösung zu beschäftigen. :)

dankbare Grüße,

Dura
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben