Re: Frage zu LDAP

Autor: Markus Hochholdinger <Markus_at_hochholdinger.net>
Datum: 19.04.2007
Hi,

Am Dienstag, 17. April 2007 19:41 schrieb Sebastian Laubscher:
> On 17.04.2007 17:58 Uhr, "Markus Hochholdinger" <Markus@hochholdinger.net>
> wrote:
> > Wenn Interesse besteht kann ich auch mal eine (Beispiel-)Konfiguration
> > (slpad.conf und ldif) wie ich sie normalerweise umsetze hier posten.
> Wuerde mich sehr interessieren. Danke.

hier kommts (slpad.conf und tree.ldif). Zu beachten ist, dass ich ACLs in der 
slapd.conf setzen wobei LDAP-Gruppen verwendet werden.
Dadurch kann ich durch einfache Gruppenzuweisungen praktisch Rechte vergeben.
Diese LDAP-Gruppen sind aber leider nicht mit den normalen (Unix) Gruppen 
kompatibel.
Ich denke vorallem in die ACLs rentiert es sich ein bischen Zeit zu 
investieren.
In der slapd.conf habe ich auch noch zwei LDAP-Slaves (über replica) 
definiert.
Außerdem lasse ich übers Netz nur TLS zu, aber der Server selbst darf 
unverschlüsselt. Das ist dann praktisch wenn man eine lokale Applikation hat 
die weder ssl noch tls unterstützt.
Und anonymen Zugriff habe ich auch soweit möglich eingeschränkt und dafür 
einen search-Benutzer angelegt. Bei den meisten LDAP-Anwendungen für die 
Authentifizierung kann man dann so einen search-Benutzer angeben, damit die 
Anwendung auch nach Benutzern suchen kann.
Achja, die index-Zeilen sind auch sehr wichtig um die Geschwindigkeit beim 
Suchen zu erhöhen.

Noch etwas, wie ich Benutzer/Gruppen anlege. In meinem Beispiel hat der 
Benutzer mh auch eine Gruppe mh, welche ich unterhalb des Benutzers anlege.
Genau umgekehrt für die Gruppe mhcodi, welche einen Benutzer unterhalb hat.
(Ich habe immer gerne ein Benutzer/Gruppen-Paar mit derselben ID. Man weiß nie 
wofür man das später benötigt.)
Ich finde dadurch steigt die Übersichtlichkeit wenn man mit einem LDAP-Browser 
die Einträge in der Baumstruktur anschaut.


> Ansonsten stimm ich Deinen Erfahrungen durchweg zu - Verzweigungen sind
> toll, werden aber auf Dauer unuebersichtlich - sofern man sie nicht
> dringend braucht.

Genau. Und eigentlich gibt es ja keinen Grund eine bestimmte Struktur im LDAP 
zu verwenden. Einzig praktisch ist die Baumstruktur wenn man rechte vergibt. 
Wobei man die Rechte natürlich auch auf Attribute vergeben kann, wird aber 
sehr schnell unübersichtlich.

Gibt es hier eigentlich sonst noch Leute die Erfahrung mit LDAP gemacht haben?


-- 
Gruß
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@Hochholdinger.net             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
                                                       \_)    ) /
                                                             (_/



-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn


Received on Thu Apr 19 21:46:26 2007

Dieses Archiv wurde generiert von hypermail 2.1.8.

Weitere Links: