Fragen zu LDAP kontent

dragon001

dragon001

New Member
Hi,


ich habe mir gerade einen LDAP Server eingerichtet.
Habe dort die Benutzerkontent angelegt.
Jetzt will ich aber nicht, das jeder benutzer sich in jedem system anlegen kann.
Ich habe gelesen das es alias gibt.
Wie kann ich ein solches alias anlegen (beispielsweise in phpldapadmin) und wie verwende ich es in der anmeldung später.
Ein alias braucht ja eine eigene uuid. (Commonname)

Wie finde ich die einträge dann wieder.
Bin gerade ein wenig verwirrt und stehe auch ein wenig unter zeit druck.

Chris
 
Ich verstehe die Fragen nicht.
> ich habe mir gerade einen LDAP Server eingerichtet.
OS? Welchen LDAP-Server? OpenLDAP (slapd)?

> Habe dort die Benutzerkontent angelegt.
Wie hast du was gemacht? :) Mehr Details, bitte.

> Jetzt will ich aber nicht, das jeder benutzer sich in jedem
> system anlegen kann.
Welche Systeme?
Es gibt ACLs, diese kannst du in der slapd.conf bestimmen.

> Ich habe gelesen das es alias gibt.
Brauchst du LDAP-Aliase wirklich? :0
Was genau möchtest du erreichen?

> Wie finde ich die einträge dann wieder.
ldapsearch, gq, ldapvi, shelldap, slapcat...

> Bin gerade ein wenig verwirrt und stehe auch ein wenig unter zeit druck.
Das merkt man!
Wenn du beruflichen Zeitdruck hast und den LDAP-Server für eine Firma einrichten solltest, solltest du dir vllt. Hilfe holen. Wenn du nur wenig Ahnung von der Materie hast, kann eine Fehlkonfiguration in (Sicherheits)Problemen resultieren.
 
Sorry, hab zu wenig details angegeben.
>Ich verstehe die Fragen nicht.
> ich habe mir gerade einen LDAP Server eingerichtet. OS? Welchen LDAP-Server? OpenLDAP (slapd)? Ubuntu 11 / slapd
Der Server basiert auf Ubuntu 11 mit slapd

> Habe dort die Benutzerkontent angelegt.
>Wie hast du was gemacht? :) Mehr Details, bitte.
Mittels phpldapadmin.
Erst die Posix Gruppen und dann Possixs User.
Allerdings existieren diese nur in der LDAP Datenbank, da ein Login der Arbeitsstationen derweilen nicht geplant ist.

> Jetzt will ich aber nicht, das jeder benutzer sich in jedem
> system anlegen kann.
>Welche Systeme?
>Es gibt ACLs, diese kannst du in der slapd.conf bestimmen.
vTiger CRM, ein selbst geschriebene plattform etc.
So soll beispielsweise nicht jeder plattform benutzer sich beim crm anmelden können.

> Ich habe gelesen das es alias gibt.
> Brauchst du LDAP-Aliase wirklich? :0
> Was genau möchtest du erreichen?
Ich möchte eine zentrale Benutzerverwaltung aufbauen, da die Plattform noch verschiedene Weltzonen kriegen wird. Da muß es möglich sein, das ein Benutzer zum beispiel in eine andere zone verschoben werden können muß etc.

> Wie finde ich die einträge dann wieder.
> ldapsearch, gq, ldapvi, shelldap, slapcat...
Ok, das hilft schon mal weiter

> Bin gerade ein wenig verwirrt und stehe auch ein wenig unter zeit druck.
> Das merkt man!
> Wenn du beruflichen Zeitdruck hast und den LDAP-Server für eine Firma einrichten solltest, solltest du dir vllt. Hilfe holen. Wenn du nur wenig Ahnung von der Materie hast, kann eine Fehlkonfiguration in (Sicherheits)Problemen resultieren.
Der LDAP Service ist von aussen nicht erreichbar, da die Firewall nur dedizierte Services rauslässt.

Ich dachte es mir halt in etwa in folgender Baumaufteilung

|-user (Benutzer Ast)
|-crm (Fürs CRM)
|-zone1.... (Die Zonen der Plattform)

in CRM oder zonex wollte ich alias anlegen.
Allerdings will ldap, wenn ich ein alias anlege, einen unique name.
meine frage war, wie ich dann den anmeldenden user erkennen und zuweisen kann.
 
Last edited by a moderator:
> vTiger CRM, ein selbst geschriebene plattform etc.
> So soll beispielsweise nicht jeder plattform benutzer
> sich beim crm anmelden können.
Das kannst du meines Erachtens in den einzelnen Anwendungen einstellen. Als Administrator kannst du häufig entweder eine Liste an Usern erstellen, die Zugriff haben, oder Ausschlusskriterien festlegen.

> Der LDAP Service ist von aussen nicht erreichbar, da die
> Firewall nur dedizierte Services rauslässt.
Und was ist mit der Gefahr, die von den Benutzern selbst ausgehen kann? Wenn beispielsweise ACLs nicht richtig gesetzt sind, können User möglicherweise mehr auslesen, als sie sollten. Denkbar wären beispielsweise Szenarien, in denen Daten anderer Benutzer oder gar Konfigurationsdaten aus dem LDAP auslesbar sind.

Ich dachte es mir halt in etwa in folgender Baumaufteilung
|-user (Benutzer Ast)
|-crm (Fürs CRM)
|-zone1.... (Die Zonen der Plattform)
Click to expand...

Hm, ok. Meine Empfehlung lautet:
* Eine OU für die Benutzer
* An den Benutzern selbst kannst du beispielsweise Attribute definieren, die den Zugriff regeln können.

Alternativ:
* Eine Benutzer-OU pro Zone.
* Dann kannst du auch Benutzer zwischen den OUs verschieben.
 
> Das kannst du meines Erachtens in den einzelnen Anwendungen einstellen. Als Administrator kannst du häufig entweder eine Liste an Usern erstellen, die Zugriff haben, oder Ausschlusskriterien festlegen.

Das sollte mir weiter helfen, dann muß ich mich nur damit beschäftigen.

>Und was ist mit der Gefahr, die von den Benutzern selbst ausgehen kann? Wenn beispielsweise ACLs nicht richtig gesetzt sind, können User möglicherweise mehr auslesen, als sie sollten. Denkbar wären beispielsweise Szenarien, in denen Daten anderer Benutzer oder gar Konfigurationsdaten aus dem LDAP auslesbar sind.

Da muß ich halt dann entsprechnede Sicherheitsvorkehrungen treffen und verhindern das "Kundenbenutzer" überhaupt einträge ändern können außer dem Passwort.
Den Ldap will ich überwiegend zur Autentifikation verwenden.
Im Moment ist es halt so, das ich ca 5 Benutzer Datenbanken habe.
Ich will aber auf eine Zentrale Verwaltung aller Konten reduzieren.
Zum einen um den Verwaltungsaufwand zu minimieren und zum anderen um zu vermeiden das 2 verschiedene User den gleichen Account verwenden.

>Alternativ:
> * Eine Benutzer-OU pro Zone.
> * Dann kannst du auch Benutzer zwischen den OUs verschieben.

Kann dan ein Benutzer eigentlich auch in mehreren Zonen existieren?
Das trifft vor allem auf Administratoren zu.
Wir haben momentan 4 Die alles verwalten.
Die müssen ja auch auf alles mit minimalen Aufwand zugreifen können.
Alternativ wäre es hier eigntlich auch möglich eine weitere ou zu definieren, die bei jeder System abfrage eingebunden wird, neben der Zonenabfrage oder?

(Abfrage: Zone + Superzone)
 
You must log in or register to reply here.
Back
Top