Michael Oberg - Freiberuflicher EDV-Berater und Software-Entwickler
Frame Version
Dienstleistungen
myLinux.de
Geschichte
Ziele
LDAP
Schemas
pam_ldap
sendmail
Cyrus IMAPD
Apache
Samba
slapd.conf
LDAP-Explorer
Weitere Features
Übersetzung
Changelogs
Download
myLinux.en
Impressum


HOME

LDAP

Das Herzstück des myLinux Server ist openLDAP. Dieser Verzeichnisdienst übernimmt die folgenden Aufgaben:

Adressbuch

  • automatisch erzeugte Einträge für alle Systembenutzer
  • externe Kontakte

Jeder Mailclient mit LDAP-Unterstützung (beispielsweise Microsoft Outlook, Outlook Express, Lotus Notes, Netscape Messenger, Eudora, Pegasus, KMail, Ximian Evolution, ...) kann zumindest die in LDAP gespeicherten eMail-Adressen verwenden und nach Name/Vorname suchen, wahrscheinlich auch weitere Daten abfragen (Telefonnummern, Anschriften etc., bis hin zu Verlinkungen von Einträgen wie "Manager" und "Mitarbeiter"). Optimiert wurde das LDAP-System für Microsoft Outlook (siehe Schemas).

Außerdem ist ein Download des Adressbuchinhalts als HTML-Tabelle bzw. Microsoft Excel Sheet über ein CGI-Skript (ldap2html.pl) möglich. Dieses kann auch für eine "Web Query" von Microsoft Excel oder Microsoft Access benutzt werden.

Authentifizierung

  • UNIX (ssh, su, login über pam_ldap)
  • Mail-Versand (sendmail über pam_ldap)
  • Mail-Abruf (Cyrus IMAPD über SASLAuthD/PAM/pam_ldap)
  • Webservices (Apache über mod_auth_pam)
  • Windows Domain Logons / Windows Fileservices (Samba über eigenen Paßworteintrag in LDAP, synchronisiert mit dem von den anderen Diensten verwendeten Eintrag über ein Script des myLinux Usermanagers)

Zugriffsrechte

  • Zugehörigkeit zu UNIX-Gruppen (über nss_ldap)
  • Verwendung dieser Gruppen in Webservices (Apache über mod_auth_pam / mod_auth_sys_group)

EMail-Konfiguration

  • Zuordnung der eMail-Aliases zu den Benutzern
  • verschiedene Domains mit virtuellen Benutzern
  • verschiedene Mailserver (Cluster)

Siehe auch sendmail.

Dedizierter Zugriff auf LDAP

Zugriffe werden per Default in drei Klassen unterteilt:

  • LDAP-Administrator, authentifiziert über das in /etc/openldap/slapd.conf eingetragene Paßwort - hat vollen Zugriff auf alle LDAP-Komponenten
  • Mitglieder der Gruppe LDAP Admins haben Schreibzugriff auf die LDAP-Gruppen (hier LDAP Admins und Data Maintain) und auf die UNIX-Gruppen, können also durch hinzufügen bzw. entfernen von Mitgliedern Rechte vergeben
  • Mitglieder der Gruppe Data Maintain haben Schreibzugriff auf alle externen Kontakte und können diese auch löschen bzw. neue anlegen. Sie haben außerdem Schreibzugriff auf alle nicht-kritischen Daten der Systembenutzer (Telefonnummern, Anschrift etc.)

Siehe auch slapd.conf.

Eine Verwaltung der LDAP-Einträge ist unter Verwendung des LDAP-Explorers möglich.