AA_figuren-an-rechnern_19890987_123rf_limbi007.jpg

© limbi007, 123rf.com

Nutzeraccounts mit OpenLDAP zentral verwalten

Eines für alle

Gilt es, mehreren Nutzern das Login an verschiedenen Rechnern oder Anwendungen zu ermöglichen, bietet der Verzeichnisdienst das Mittel der Wahl.

In vielen Organisationen teilen sich Mitarbeiter inzwischen die vorhandene Arbeitsplätze. Auf den zugehörigen Rechnern entsprechende Anwender anzulegen und aktuell zu halten, wird für Admins schnell zu einer wahren Herausforderung. Dazu kommt, dass verschiedene Netzwerkdienste, beispielsweise der Apache Webserver oder der Mailserver Postfix eigene Benutzerverwaltungen erfordern. Pflegen Sie mehrere Nutzeraccounts auf verschiedenen Rechnern, ergeben sich neben den organisatorischen Schwierigkeiten auch Sicherheitsrisiken, etwa dann, wenn Sie Accounts ausgeschiedener Mitarbeiter auf einigen Maschinen vergessen.

LDAP

Dem beugt ein Verzeichnisdienst damit vor, dass er alle Nutzer zentral verwaltet. Hierfür bietet sich beispielsweise das Lightweight Data Access Protocol, kurz LDAP, an. Dabei handelt es sich um einen Verzeichnisdienst, mit dem beispielsweise Organisationen Daten über Nutzer und Geräte Rechner- und plattformübergreifend bereitstellen. Die Daten erlauben sowohl eine rechnerübergreifende Authentifikation, halten aber auch Telefon- und Adressdaten vor.

LDAP wurde 1993 entwickelt um via TCP/IP auf die in den 1980er Jahren aufgekommenen DAP-Datenbanken zuzugreifen. Diese nutzten damals einen X.500-Standard, der alle sieben Schichten des OSI-Referenzmodells umfasste, weshalb es aufwändig zu implementieren war. Ursprünglich konzipierten die Entwickler LDAP für Proxies, um DAP auf verschiedenen Systemen einfacher zugänglich zu machen, später erhielt es ein eigenes Datenbank-Backend, und arbeitete somit ohne DAP-Datenbank. Wie die dies baut auch LDAP seine Strukturen hierarchisch auf, sodass sich diese gut als Baum abbilden lassen. Dank seines objektorientierten Designs erlaubt es der Verzeichnisdienst, problemlos Vererbung und Polymorphie bei der Verwaltung der im LDAP-Baum gespeicherten Verzeichniseinträge zu nutzen.

Die Struktur der LDAP-Verzeichnisse ähnelt auf Lesezugriffe optimierten Dateiverzeichnissen. Wie diese besitzen sie eine Wurzel, unterhalb derer sich Containerobjekte (Organisational Units, OU) und Blattobjekte befinden. Diese OUs dürfen weitere Objekte enthalten und strukturieren so den Directory Information Tree (DIT). Unterhalb eines Blattobjekts erlauben die meisten LDAP-Implementierungen keine weiteren Objekte. Jedes Objekt im DIT verwendet einen eindeutigen Namen (Distinguished Name, DN), und bestimmte Eigenschaften, die Attribute, die Objektklassen und Schemata festelegen.

Je nach Definition müssen oder können Sie Attribute für ein Objekt vergeben. Ein für jedes Objekt zwingendes Attribut heißt Common Name, mit dem LDAP es im DIT erkennt und verwaltet. Ein Beispiel liefert die Objektklasse posixAccount (Listing 1) in der Sie die Attribute cn, uid, uidNumber, gidNumber und homeDirectory vergeben müssen, während userPassword, LoginShell, gecos und description Optionen darstellen.

Listing 1

objectclass (1.3.6.1.1.1.2.0 NAME 'posixAccount'
    DESC 'Abstraction of an account with POSIX attributes'
    SUP top
    AUXILIARY
    MUST ( cn $ uid $ uidNumber $ gidNumber $ homeDirectory )
    MAY ( userPassword $ loginShell $ gecos $ description )
)

Attribute verwaltet LADP getrennt von Objekten. Die besitzen innerhalb der DIT eindeutige Object Identifier (OID) und Namen. Sie enthalten ferner eine Beschreibung (DESC), eine Angabe zur Gleichheit (EQUALITY) und eine Syntaxbeschreibung in OID-Form.

Listing 2 zeigt beispielhaft das Attribut uidNumber, das auch in der Objektklasse posixAccount zum Einsatz kommt. Sämtliche OIDs finden Sie auf der Webseite von Harald Alvestrand [1] oder im OID Repository [2]. Wenn Sie eigene Attribute und Objektklassen benötigen, beispielsweise weil Sie mit LDAP mehr verwalten möchten als Nutzeraccounts, registrieren Sie bei der IANA [3] kostenlos eine eigene OID beziehungsweise Private Enterprise Number der Form iso.org.dod.internet.private.enterprise (1.3.6.1.4.1.x).

Verwenden Sie keine eindeutige OID, treten eventuell Probleme auf, wenn Sie irgendwann mehrere LDAP-Bäume mit eigenen Objektklassen zusammenführen. Eine genaue Anleitung, wie ein LDAP-Schema aufgebaut ist, finden Sie in den RFCs 4510 bis 4519 [4].

Listing 2

attributetype ( 1.3.6.1.1.1.1.0 NAME 'uidNumber'
  DESC 'An integer uniquely identifying a user in an \
  administrative domain'
  EQUALITY integerMatch
  SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

OpenLDAP

Zum Verwalten von LDAP-Verzeichnissen stehen mehrere Lösungen bereit, beispielsweise Novells eDirectory, Microsofts Active Directory oder das unter Linux populäre OpenLDAP [5]. Dieses rief Kurt Zeilenga 1998 ins Leben. Kurz darauf kam Howard Chu hinzu; zusammen entwickelten sie Release 2.0, dessen Code-Basis ein an der University of Michigan entwickelter LDAP-Server war. Heute verwaltet das Projekt die OpenLDAP Foundation, dem der Projektgründer vorsitzt. Die Software zählt inzwischen Version 2.4.39.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 6 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 11/2017: Server für Daheim

Digitale Ausgabe: Preis € 8,50
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Lieber Linux oder Windows- Betriebssystem?
Sina Kaul, 13.10.2017 16:17, 3 Antworten
Hallo, bis jetzt hatte ich immer nur mit
IT-Kurse
Alice Trader, 26.09.2017 11:35, 2 Antworten
Hallo liebe Community, ich brauche Hilfe und bin sehr verzweifelt. Ih bin noch sehr neu in eure...
Backup mit KUP unter Suse 42.3
Horst Schwarz, 24.09.2017 13:16, 3 Antworten
Ich möchte auch wieder unter Suse 42.3 mit Kup meine Backup durchführen. Eine Installationsmöglic...
kein foto, etc. upload möglich, wo liegt mein fehler?
kerstin brums, 17.09.2017 22:08, 5 Antworten
moin, zum erstellen einer einfachen wordpress website kann ich keine fotos uploaden. vom rechne...
Arch Linux Netzwerkkonfigurationen
Franziska Schley, 15.09.2017 18:04, 0 Antworten
Moin liebe Linux community, ich habe momentan Probleme mit der Einstellung des Lan/Wlan in Arc...