AA_figuren-an-rechnern_19890987_123rf_limbi007.jpg

© limbi007, 123rf.com

Nutzeraccounts mit OpenLDAP zentral verwalten

Eines für alle

Gilt es, mehreren Nutzern das Login an verschiedenen Rechnern oder Anwendungen zu ermöglichen, bietet der Verzeichnisdienst das Mittel der Wahl.

In vielen Organisationen teilen sich Mitarbeiter inzwischen die vorhandene Arbeitsplätze. Auf den zugehörigen Rechnern entsprechende Anwender anzulegen und aktuell zu halten, wird für Admins schnell zu einer wahren Herausforderung. Dazu kommt, dass verschiedene Netzwerkdienste, beispielsweise der Apache Webserver oder der Mailserver Postfix eigene Benutzerverwaltungen erfordern. Pflegen Sie mehrere Nutzeraccounts auf verschiedenen Rechnern, ergeben sich neben den organisatorischen Schwierigkeiten auch Sicherheitsrisiken, etwa dann, wenn Sie Accounts ausgeschiedener Mitarbeiter auf einigen Maschinen vergessen.

LDAP

Dem beugt ein Verzeichnisdienst damit vor, dass er alle Nutzer zentral verwaltet. Hierfür bietet sich beispielsweise das Lightweight Data Access Protocol, kurz LDAP, an. Dabei handelt es sich um einen Verzeichnisdienst, mit dem beispielsweise Organisationen Daten über Nutzer und Geräte Rechner- und plattformübergreifend bereitstellen. Die Daten erlauben sowohl eine rechnerübergreifende Authentifikation, halten aber auch Telefon- und Adressdaten vor.

LDAP wurde 1993 entwickelt um via TCP/IP auf die in den 1980er Jahren aufgekommenen DAP-Datenbanken zuzugreifen. Diese nutzten damals einen X.500-Standard, der alle sieben Schichten des OSI-Referenzmodells umfasste, weshalb es aufwändig zu implementieren war. Ursprünglich konzipierten die Entwickler LDAP für Proxies, um DAP auf verschiedenen Systemen einfacher zugänglich zu machen, später erhielt es ein eigenes Datenbank-Backend, und arbeitete somit ohne DAP-Datenbank. Wie die dies baut auch LDAP seine Strukturen hierarchisch auf, sodass sich diese gut als Baum abbilden lassen. Dank seines objektorientierten Designs erlaubt es der Verzeichnisdienst, problemlos Vererbung und Polymorphie bei der Verwaltung der im LDAP-Baum gespeicherten Verzeichniseinträge zu nutzen.

Die Struktur der LDAP-Verzeichnisse ähnelt auf Lesezugriffe optimierten Dateiverzeichnissen. Wie diese besitzen sie eine Wurzel, unterhalb derer sich Containerobjekte (Organisational Units, OU) und Blattobjekte befinden. Diese OUs dürfen weitere Objekte enthalten und strukturieren so den Directory Information Tree (DIT). Unterhalb eines Blattobjekts erlauben die meisten LDAP-Implementierungen keine weiteren Objekte. Jedes Objekt im DIT verwendet einen eindeutigen Namen (Distinguished Name, DN), und bestimmte Eigenschaften, die Attribute, die Objektklassen und Schemata festelegen.

Je nach Definition müssen oder können Sie Attribute für ein Objekt vergeben. Ein für jedes Objekt zwingendes Attribut heißt Common Name, mit dem LDAP es im DIT erkennt und verwaltet. Ein Beispiel liefert die Objektklasse posixAccount (Listing 1) in der Sie die Attribute cn, uid, uidNumber, gidNumber und homeDirectory vergeben müssen, während userPassword, LoginShell, gecos und description Optionen darstellen.

Listing 1

objectclass (1.3.6.1.1.1.2.0 NAME 'posixAccount'
    DESC 'Abstraction of an account with POSIX attributes'
    SUP top
    AUXILIARY
    MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
    MAY ( userPassword $ loginShell $ gecos $ description )
)

Attribute verwaltet LADP getrennt von Objekten. Die besitzen innerhalb der DIT eindeutige Object Identifier (OID) und Namen. Sie enthalten ferner eine Beschreibung (DESC), eine Angabe zur Gleichheit (EQUALITY) und eine Syntaxbeschreibung in OID-Form.

Listing 2 zeigt beispielhaft das Attribut uidNumber, das auch in der Objektklasse posixAccount zum Einsatz kommt. Sämtliche OIDs finden Sie auf der Webseite von Harald Alvestrand [1] oder im OID Repository [2]. Wenn Sie eigene Attribute und Objektklassen benötigen, beispielsweise weil Sie mit LDAP mehr verwalten möchten als Nutzeraccounts, registrieren Sie bei der IANA [3] kostenlos eine eigene OID beziehungsweise Private Enterprise Number der Form iso.org.dod.internet.private.enterprise (1.3.6.1.4.1.x).

Verwenden Sie keine eindeutige OID, treten eventuell Probleme auf, wenn Sie irgendwann mehrere LDAP-Bäume mit eigenen Objektklassen zusammenführen. Eine genaue Anleitung, wie ein LDAP-Schema aufgebaut ist, finden Sie in den RFCs 4510 bis 4519 [4].

Listing 2

attributetype ( 1.3.6.1.1.1.1.0 NAME 'uidNumber'
  DESC 'An integer uniquely identifying a user in an \
  administrative domain'
  EQUALITY integerMatch
  SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

OpenLDAP

Zum Verwalten von LDAP-Verzeichnissen stehen mehrere Lösungen bereit, beispielsweise Novells eDirectory, Microsofts Active Directory oder das unter Linux populäre OpenLDAP [5]. Dieses rief Kurt Zeilenga 1998 ins Leben. Kurz darauf kam Howard Chu hinzu; zusammen entwickelten sie Release 2.0, dessen Code-Basis ein an der University of Michigan entwickelter LDAP-Server war. Heute verwaltet das Projekt die OpenLDAP Foundation, dem der Projektgründer vorsitzt. Die Software zählt inzwischen Version 2.4.39.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 05/2018: GEODATEN

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

added to access control list
Ingrid Kroll, 27.03.2018 07:59, 10 Antworten
Hallo allerseits, bin einfache Nutzerin und absolut Linux-unwissend............ Beim ganz norm...
Passwortsicherheit
Joe Cole, 15.03.2018 15:15, 2 Antworten
Ich bin derzeit selbständig und meine Existenz hängt am meinem Unternehmen. Wahrscheinlich verfol...
Brother drucker einrichten.
Achim Zerrer, 13.03.2018 11:26, 1 Antworten
Da mein Rechner abgestürzt war, musste ich das Betriebssystem neu einrichten. Jetzt hänge ich wi...
Internet abschalten
Karl-Heinz Hauser, 20.02.2018 20:10, 2 Antworten
In der Symbolleiste kann man das Kabelnetzwerk ein und ausschalten. Wie sicher ist die Abschaltu...
JQuery-Script läuft nicht mit Linux-Browsern
Stefan Jahn, 16.02.2018 12:49, 2 Antworten
Hallo zusammen, ...folgender goldener Code (ein jQuery-Script als Ergebnis verschiedener Exper...