Re: Frage zu LDAP

Autor: Markus Hochholdinger <Markus_at_hochholdinger.net>
Datum: 17.04.2007
Hi,

Am Montag, 16. April 2007 09:26 schrieb Patrick Machauer:
> ich wuerde mich anfangs an die von Samba3 vorgegebene Struktur halten:
> dc=organisation,dc=de
>  | - ou=group,dc=organisation,dc=de
>  |    |-  cn=Gruppe,ou=group,dc=organisation,dc=de
>  | -ou=people,dc=organisation,dc=de
>  |     |- uid=Benutzer,ou=people,dc=organisation,dc=de
>  |- ou=computers,dc=organisation,dc=de
>         |-uid=Rechnername,ou=computers,dc=organisation,dc=de

ja, das ist ein guter Startpunkt. Vorallem wenn es um nicht allzuviele 
Benutzer geht ist ein flache Struktur besser.


> Am Sonntag, 15. April 2007 schrieb Rainer Fleischhacker:
> > Hallo an alle,
> > ich möchte mich mit LDAP bzw. OpenLDAP beschäfitgen. Die Installation
> > ist soweit klar hat auch geklappt. Mein Interesse liegt darin was man
> > bei der Erstellung der Struktur so alles beachten soll?
> > Welche Fussangeln gibt es? Hat jemand Tipps aus der eigenen Praxis? Gibt
> > es Dinge die man grundsätzlich vermeiden soll?

Meine erste LDAP-Installation (vor einigen Jahren) habe ich mit einer sehr 
verzweigten Struktur gemacht und es hat sich in der Praxis gezeigt dass dies 
mehr Aufwand als nutzen gebracht hat.

Ich lege noch gerne
  ou=contacts,dc=organisation,dc=de
an worin ich das globale Adressbuch speichere wobei ich über ACLs (bzw. 
LDAP-Gruppen) definieren kann wer darauf lesen und schreiben darf.
Dann lege ich auch meistens noch
  ou=roaming,dc=organisation,dc=de
an. Die Idee ist von Netscape. Hierin kann jeder Benutzer, sofern eine 
ou=$USER vorhanden ist, eigene Daten rein schreiben. z.B ein persönliches 
Adressbuch.

Bei solchen Sachen ist zu beachten dass man korrekte ACLs (slapd.conf) 
verwendet und nicht plötzlich ein normaler Benutzer neue Benutzer anlegen 
kann.

Im Prinzip kann man eine Baumstruktur bei LDAP beliebig anlegen und wird auch 
nicht wirklich Funktionseinschränkungen damit bekommen. Dennoch empfehle ich 
eine sehr flache Struktur zu verwenden (solange man weniger als 100 Einträge 
pro Ast hat) und die Baum-Struktur von den Zugriffsrechten ableiten 
(computers, people, contacts, roaming, ..).


Wenn Interesse besteht kann ich auch mal eine (Beispiel-)Konfiguration 
(slpad.conf und ldif) wie ich sie normalerweise umsetze hier posten.


-- 
Gruß
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@Hochholdinger.net             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
                                                       \_)    ) /
                                                             (_/


-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Received on Tue Apr 17 18:02:17 2007
Dieses Archiv wurde generiert von hypermail 2.1.8.

Weitere Links: