verzeichnisbasiertes benutzer- und … · proxy (squid) fax-server (gofax) ftp-server (proftp)...
TRANSCRIPT
© 2004 GONICUS GmbH
VerzeichnisbasiertesBenutzer- und Systemmanagement
mit LDAP und Gosa
Dipl.-Inform. Holger BurbachGONICUS GmbH
Arnsberg/Bonn
http://[email protected]
© 2004 GONICUS GmbH
Agenda
● Über GONICUS
● Einführung in LDAP
● Integrationsmöglichkeiten
● Administrations-Front-Ends
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
● Unabhängiger Open-Source-Dienstleister
● Langjährige Erfahrung mitLINUX auf dem Desktop
● Spezialist in Migration undIntegration von LINUX inheterogenen Umgebungen
● Consulting, Implementation,Support und Training
*Königspinguin: (lat.) Aptenodytes-Patagonicus
GONICUS* GmbHGONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
● Hauptsitz in Arnsberg (Niederlassungen in Berlin und Bonn)
● 15 Mitarbeiter
● Technisches und betriebswirtschaftliches Know-how
● Internationale Projekterfahrung*
Bonn
Arnsberg
*unter anderem: USA, China, Italien und Frankreich
GONICUS GmbHGONICUS
LDAP
Integration
Front-Ends
Berlin
© 2004 GONICUS GmbH
Was ist LDAP?• plattformunabhängiges Protokoll zwecks Kommunikation mit einem LDAP-Server• Abkömmling des X.500 OSI Directory Access Protocol
Was ist ein Verzeichnis?• ein Verzeichnis ist eine hierarchische Sammlung von Objekten und deren Attributen.• es ist keine Datenbank, denn Objekte können verschiedene und unterschiedlich viele Attribute besitzen.
Kurze Einführung in LDAPGONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
LDAP-Baumdc=gonicus,dc=de (RFC2247)o=gonicus,c=de (X.500)
dc=gonicus,dc=de
ou=people,ou=hsk,dc=gonicus,dc=de
uid=burbach,ou=people,ou=hsk,dc=gonicus,dc=de
ou=groups,ou=hsk,dc=gonicus,dc=de
ou=hsk,dc=gonicus,dc=de ou=bn,dc=gonicus,dc=de
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
LDAP-Objekte und ihre Attributedn: uid=burbach,ou=people,dc=gonicus,dc=deobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersonobjectClass: accountobjectClass: posixAccountobjectClass: topuid: burbachcn: Holger BurbachgivenName: Holgersn: Burbachmail: [email protected]:: efksaodf223KDwekwdpsowwdloginShell: /bin/bashuidNumber: 500gidNumber: 100homeDirectory: /home/burbachgecos: Holger Burbach
Distinguished Name (dn)
Objektklassen
Attribute
Werte
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
LDAP Schemata
objectclass ( 2.5.6.6 NAME 'person' SUP topMUST ( sn $ cn )MAY ( userPassword $ telephoneNumber $ seeAlso $ description ) )
attributetype ( 2.5.4.41 NAME 'sn'EQUALITY caseIgnoreMatchSUBSTR caseIgnoreSubstringsMatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.15{32768} )
attributetype ( 2.5.4.20 NAME 'telephoneNumber'EQUALITY telephoneNumberMatchSUBSTR telephoneNumberSubstringsMatchSYNTAX 1.3.6.1.4.1.1466.115.121.1.50{32} )
OID Name (Alias für OID)
Pflicht-Attribute
Erlaubte bzw. optionale Attribute
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
LDAP-Integration
Beispiele für Integrations-Möglichkeiten
• Personendaten• Benutzer- und Gruppen-Accounts (Posix)• Windows-Accounts (Samba 2 + 3)• Mail-Accounts (Postfix + Cyrus)
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
Personendaten
Personendaten:
• sn• cn• department• Telefon-Nummer• Fax-Nummer• Adressen• etc.
Adressbücher● Mozilla, kmail
LDIF-Export● IVBB X.500
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
Posix-Benutzer- und Gruppenaccounts
posixAccount:• cn• uid• uidNumber• gidNumber• homeDirectory• userPassword• loginShell• gecos• description
posixGroup:• cn• gidNumber• memberUid
Benutzer-authentifizierung aufUNIX-Systemen● /etc/pam.d/* ● /etc/libnss-ldap.conf
PAM,libnssldap
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
Windows-Accounts
sambaAccount:• uid• uidNumber• lmPasswort• ntPasswort• homeDrive• profilePath• rid• primaryGroupID• ...
Emulieren eines PDC für Windows-Systeme durch Samba-Servermit LDAP-Anbindung
www.samba.org
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
Mail-Accounts
mailAccount:• mail• mailAlternateAddress• vMailBox• mailHost• mailTarget
Postfix● SMTP● SpamAssassin
Cyrus IMAP● IMAP, POP3
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
GONICUS
LDAP
Integration
Front-Ends GOto*-Konzept - Booten des Linux-Kernels per PXE / TFTP - Betriebssystem (/) via NFS - Konfiguration via LDAP / GOsa*
- Unterstützung lokaler Peripherie (Drucker, Scanner, Digitale Kameras, etc.) - X-Window-Login auf OTS-Cluster mit Load-Balancing - Geringe Hardware-Anforderungen (z.B. Siemens Netterms: P166, 64MB)
http://oss.gonicus.de
* GOto und GOsa sind Freie Software von
LINUX ThinClients
© 2004 GONICUS GmbH
Integrations- und Administrationsmöglichkeiten
LDAP
LDAP-Utils
Windows-Accounts
Postfix + Cyrus IMAP
Proxy (Squid)
Fax-Server (GOfax)
FTP-Server (ProFTP)
ThinClients (GOto)
DHCP-Server
DNS-Server
UNIX-Accounts
gq
GOsa
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
Administrationsmöglichkeit: LDAP-Utils# ldapsearch -x -h localhost uid=burbachdn: uid=burbach,ou=people,dc=gonicus,dc=deobjectClass: personobjectClass: organizationalPersonobjectClass: inetOrgPersonobjectClass: accountobjectClass: posixAccountobjectClass: topuid: burbachcn: Holger BurbachgivenName: Holgersn: Burbachmail: [email protected]:: efksaodf223KDwekwdpsowwdloginShell: /bin/bashuidNumber: 500gidNumber: 100homeDirectory: /home/burbachgecos: Holger Burbach
# ldapmodify -x -D“cn=ldapadmin,dc=gonicus,dc=de“ -W << EOFdn: cn=Holger Burbach,ou=people,dc=gonicus,dc=dechangetype: modifyreplace: userPassworduserPassword: secret-add: homePhonehomePhone: 0815-4711-delete: descriptiondescription: zu entfernen-EOF
GONICUS
LDAP
Integration
Front-Ends
© 2004 GONICUS GmbH
Administrationsmöglichkeit: GOsa*
Administrations-Front-End GOsa*
• Komfortable Administration sämtlicher LDAP-Daten• Implementiert in PHP• Einfache Erweiterbarkeit• Zuweisung von Administrationsrollen• Internationalisiert (Englisch, Deutsch, Spanisch)
http://oss.gonicus.de
* GOsa ist Freie Software von
GONICUS
LDAP
Integration
Front-Ends