|
LDAP
Das Herzstück des myLinux Server ist openLDAP. Dieser Verzeichnisdienst übernimmt die folgenden Aufgaben:
Adressbuch
- automatisch erzeugte Einträge für alle Systembenutzer
- externe Kontakte
Jeder Mailclient mit LDAP-Unterstützung (beispielsweise Microsoft Outlook, Outlook Express, Lotus Notes, Netscape Messenger, Eudora, Pegasus, KMail, Ximian Evolution, ...) kann zumindest die in LDAP gespeicherten eMail-Adressen verwenden und nach Name/Vorname suchen, wahrscheinlich auch weitere Daten abfragen (Telefonnummern, Anschriften etc., bis hin zu Verlinkungen von Einträgen wie "Manager" und "Mitarbeiter"). Optimiert wurde das LDAP-System für Microsoft Outlook (siehe Schemas).
Außerdem ist ein Download des Adressbuchinhalts als HTML-Tabelle bzw. Microsoft Excel Sheet über ein CGI-Skript (ldap2html.pl) möglich. Dieses kann auch für eine "Web Query" von Microsoft Excel oder Microsoft Access benutzt werden.
Authentifizierung
- UNIX (ssh, su, login über pam_ldap)
- Mail-Versand (sendmail über pam_ldap)
- Mail-Abruf (Cyrus IMAPD über SASLAuthD/PAM/pam_ldap)
- Webservices (Apache über mod_auth_pam)
- Windows Domain Logons / Windows Fileservices (Samba über eigenen Paßworteintrag in LDAP, synchronisiert mit dem von den anderen Diensten verwendeten Eintrag über ein Script des myLinux Usermanagers)
Zugriffsrechte
- Zugehörigkeit zu UNIX-Gruppen (über nss_ldap)
- Verwendung dieser Gruppen in Webservices (Apache über mod_auth_pam / mod_auth_sys_group)
EMail-Konfiguration
- Zuordnung der eMail-Aliases zu den Benutzern
- verschiedene Domains mit virtuellen Benutzern
- verschiedene Mailserver (Cluster)
Siehe auch sendmail.
Dedizierter Zugriff auf LDAP
Zugriffe werden per Default in drei Klassen unterteilt:
- LDAP-Administrator, authentifiziert über das in /etc/openldap/slapd.conf eingetragene Paßwort - hat vollen Zugriff auf alle LDAP-Komponenten
- Mitglieder der Gruppe LDAP Admins haben Schreibzugriff auf die LDAP-Gruppen (hier LDAP Admins und Data Maintain) und auf die UNIX-Gruppen, können also durch hinzufügen bzw. entfernen von Mitgliedern Rechte vergeben
- Mitglieder der Gruppe Data Maintain haben Schreibzugriff auf alle externen Kontakte und können diese auch löschen bzw. neue anlegen. Sie haben außerdem Schreibzugriff auf alle nicht-kritischen Daten der Systembenutzer (Telefonnummern, Anschrift etc.)
Siehe auch slapd.conf.
Eine Verwaltung der LDAP-Einträge ist unter Verwendung des LDAP-Explorers möglich.
|