Hi,
Am Dienstag, 17. April 2007 19:41 schrieb Sebastian Laubscher:
> On 17.04.2007 17:58 Uhr, "Markus Hochholdinger" <Markus@hochholdinger.net>
> wrote:
> > Wenn Interesse besteht kann ich auch mal eine (Beispiel-)Konfiguration
> > (slpad.conf und ldif) wie ich sie normalerweise umsetze hier posten.
> Wuerde mich sehr interessieren. Danke.
hier kommts (slpad.conf und tree.ldif). Zu beachten ist, dass ich ACLs in der
slapd.conf setzen wobei LDAP-Gruppen verwendet werden.
Dadurch kann ich durch einfache Gruppenzuweisungen praktisch Rechte vergeben.
Diese LDAP-Gruppen sind aber leider nicht mit den normalen (Unix) Gruppen
kompatibel.
Ich denke vorallem in die ACLs rentiert es sich ein bischen Zeit zu
investieren.
In der slapd.conf habe ich auch noch zwei LDAP-Slaves (über replica)
definiert.
Außerdem lasse ich übers Netz nur TLS zu, aber der Server selbst darf
unverschlüsselt. Das ist dann praktisch wenn man eine lokale Applikation hat
die weder ssl noch tls unterstützt.
Und anonymen Zugriff habe ich auch soweit möglich eingeschränkt und dafür
einen search-Benutzer angelegt. Bei den meisten LDAP-Anwendungen für die
Authentifizierung kann man dann so einen search-Benutzer angeben, damit die
Anwendung auch nach Benutzern suchen kann.
Achja, die index-Zeilen sind auch sehr wichtig um die Geschwindigkeit beim
Suchen zu erhöhen.
Noch etwas, wie ich Benutzer/Gruppen anlege. In meinem Beispiel hat der
Benutzer mh auch eine Gruppe mh, welche ich unterhalb des Benutzers anlege.
Genau umgekehrt für die Gruppe mhcodi, welche einen Benutzer unterhalb hat.
(Ich habe immer gerne ein Benutzer/Gruppen-Paar mit derselben ID. Man weiß nie
wofür man das später benötigt.)
Ich finde dadurch steigt die Übersichtlichkeit wenn man mit einem LDAP-Browser
die Einträge in der Baumstruktur anschaut.
> Ansonsten stimm ich Deinen Erfahrungen durchweg zu - Verzweigungen sind
> toll, werden aber auf Dauer unuebersichtlich - sofern man sie nicht
> dringend braucht.
Genau. Und eigentlich gibt es ja keinen Grund eine bestimmte Struktur im LDAP
zu verwenden. Einzig praktisch ist die Baumstruktur wenn man rechte vergibt.
Wobei man die Rechte natürlich auch auf Attribute vergeben kann, wird aber
sehr schnell unübersichtlich.
Gibt es hier eigentlich sonst noch Leute die Erfahrung mit LDAP gemacht haben?
--
Gruß
\|/
eMHa (o o)
------------------------------------------------------oOO--U--OOo--
Markus Hochholdinger
e-mail mailto:Markus@Hochholdinger.net .oooO
www http://www.hochholdinger.net ( ) Oooo.
------------------------------------------------------\ (----( )-
\_) ) /
(_/
--
http://mailman.uugrn.org/mailman/listinfo/uugrn
- application/pgp-signature Anhang: stored
Received on Thu Apr 19 21:46:26 2007