Mobile Benutzerwealtung - wie am besten/einfachsten

Errorsmith

Kompiliertier
Moin

Ich hab hier folgendes:

Gegeben ist ein kleines Netzwerk das über einen FreeBSD Server verwaltet wird. Die Benutzer werden über openldap verwaltet, haben ein /usr/home über NFS und so weiter.

Nun soll da ein Laptop rein. Das Ding ist über WLAN eingebunden.
Frage: Wie richte ich das Teil so ein, das die Benutzer sich auch dann am Laptop anmelden können, wenn das WLAN gerade nicht erreichbar ist. Einen slapd auf dem Lapto zu installieren der mit dem Server synchronisiert halte ich für overkill. Gibt es da andere, elegantere Lösungen?

Wie sollte ich mit den Benutzerverzeichnissen umgehen. Wenn das WLAN weg ist, geht ja logischerweise auch kein NFS-mount mehr.

Grüße,
errorsmith
 
Ich würde es so machen:

Dual-Boot und eine UMTS/LTE-Karte rein. Wenn kein WLAN verfügbar ist, soll das Gerät über UMTS/LTE zum Netzwerk verbinden. Wenn garnichts geht, soll der User die zweite Installation starten. Die wiederum hat einen einfachen User zum anmelden, den alle benutzen kennen. Über eine gemeinsame Partition können User Arbeitsdaten zwischen den Installtionen teilen. Klare Ansage, dass bevor das Gerät zurückgegeben wird, die Daten zurücktransferiert werden müssen und das home zurückgesetzt. Kann zur Not auch vom Admin gemacht werden der das Gerät wieder in Empfang nimmt.
 
Moin,

ja, so einen Cache gibt es: nscd(8).
Ein Auszug aus der man-page:
NSCD(8) FreeBSD System Manager's Manual NSCD(8)

NAME
nscd -- name service caching daemon

SYNOPSIS
nscd [-dnst] [-i cachename] [-I cachename]

DESCRIPTION
The nscd utility is the system caching daemon. It can cache almost all
types of data and is basically intended to be used with the nsswitch sub-
system. The cache is actually per-user. This means that each user can
work only with the cached data that were cached by themselves, and cannot
poison the cache of other users. The nscd utility supports two types of
caching:

Viele Grüße

JueDan
 
nss-pam-ldapd(-sasl) und nscd bieten dir zwar brauchbares Caching, wenn du die negative TTL klein genug wählst, aber zuverlässiger Offlinebetrieb ist damit nicht möglich. Du willst vermutlich ja auch nach ein paar Stunden oder einem Reboot noch deine User nutzen können. Es würde sich anbieten auf deinem Laptop OpenLDAP mit delta-syncrepl und einem passenden syncrepl Filter zu betreiben. Solange du eh Admin bist spricht nichts dagegen die Userdatenbank (ohne Passwörter) auf dein Laptop zu replizieren. Nur die Passwörter sind das Problem. Die willst du wohl kaum mit dir rum schleppen. Ein Ansatz bei dem dies vermeidbar wäre ist die Passwörter in einem Kerberos KDC zu halten und dieses per saslauthd dem OpenLDAP zugänglich zu machen. Das KDC solltest du selbstverständlich nicht auf dein Laptop replizieren.
 
Hi

Danke für die Antworten. Ich konkretisiere das mal noch ein wenig. Das Szenario sieht im Prinzip so aus, das das Laptop die allermeiste Zeit im heimischen WLAN Bereich ist, alle paar Wochen aber eben nicht. Dann ist es für einige Tage mit mir bzw dem jeweiligen Anwender unterwegs. Dort hat es meist irgendein WLAN, aber nicht immer und auch nicht durchgänig.

@h^2: Das Dualboot ist eher nicht so das Thema, ist für die Anwender zu aufwändig (die wollen nur "einschalten und benutzen") und es hat auch nur 160GB Platte. In Abhängigkeit der WLAN Erreichbarkeit könnte man allerdings lokale Benutzer und Netzbenutzer auf einer Installation einrichten. Das WLAN Thema ist für mich relativ neu, hab mich davor bisher immer gedrückt. Ist es möglich das Teil so einzurichten das er bestimmte Aktionen durchführt wenn ein bestimmtes WLAN verbunden ist oder die Verbindung abreißt? Was würde passieren wenn ein angemeldeter Netzbenutzer das aus dem WLAN Bereich trägt (zum Beispiel im Standby)?

@juedan: An sowas habe ich im Grunde gedacht, aber so wie ich das verstehe kann der zwar kurzzeitige Unterbrechungen abfangen, nicht jedoch die im obigen Szenario gegebenen Bedingungen ausgleichen. Ist das so richtig?

@Crest: Kommt der damit klar wenn das Internet gar nicht erreichbar ist? Normalerweise hat er unterwegs andere Möglichkeiten ins Netz zu kommen, aber nicht durchgägnig / immer. Ich verstehe das so, das er die Passwörte dann übers Internet beim Server abfragen muß (VPN?)

Grüße,
errorsmith
 
Back
Top