Linux und LDAP Groups: UNIX style (memberUid) vs. AD style (memberOf)

18/04/2014 - 04:39 von Peter Mairhofer | Report spam
Hi,

Ich verwalte meine User (privater Server) mit openldap, dazu
libnss-ldap, PAM uvm.

Gruppen werden so verwaltet, indem in einem "posixGroup" Objekt die
Namen der Gruppenmitglieder im Attribut "memberUid" hinterlegt werden.

Ich verwende aber auch Dienste, die den AD-style erfordern: Hier wird im
Benutzerobjekt selbst ein "memberOf" gespeichert, der den DN der Gruppe
bezeichnet. Das hat Vorteile: Es ist direkt der DN ersichtlich, erspart
also eine LDAP Suche und es sind "nested groups" moeglich.

Meine Frage: Kann man beide Welten unter einen Hut bekommen? Wie macht
ihr das?

Moeglichkeit 1: Wie gehabt POSIX-style verwenden und pflegen. Ein
"memberOf" Attribut kann dann ueber Overlays dynamisch erstellt werden,
wie z.B. hier beschrieben:
http://blog.oddbit.com/2013/07/22/g...a-membero/

Das gefaellt mir aber nicht, da es
a) Schema Aenderungen erfordert
b) Jedem Objekt ein labeledURI Attribut mit einer LDAP Query
hinzugefuegt werden muss
c) Diese Query sogar pro Objekt angepasst werden muss, d.h. es muss die
UID des Users vorkommen

Ausserdem kann - wie im Artikel beschrieben - nicht memberOf verwendet
werden sondern z.B. myMemberOf.

Moeglichkeit 2: Verwalten der Daten im AD Style mit memberOf. Das waere
mir sehr sympathisch. Aber kann man PAM, NSS und die anderen UNIX
Dienste dazu bewegen das AD-style Format zu verwenden? Sind damit dann
verschachtelte Gruppen auch moeglich? Ist es auch meoglich von hier auf
den POSIX-style zu mappen? (d.h. "memberUid" dynamisch zu erstellen)?


LG
Peter
 

Lesen sie die antworten

#1 Sven Hartge
18/04/2014 - 05:58 | Warnen spam
Peter Mairhofer wrote:

Ich verwalte meine User (privater Server) mit openldap, dazu
libnss-ldap, PAM uvm.

Gruppen werden so verwaltet, indem in einem "posixGroup" Objekt die
Namen der Gruppenmitglieder im Attribut "memberUid" hinterlegt werden.

Ich verwende aber auch Dienste, die den AD-style erfordern: Hier wird im
Benutzerobjekt selbst ein "memberOf" gespeichert, der den DN der Gruppe
bezeichnet. Das hat Vorteile: Es ist direkt der DN ersichtlich, erspart
also eine LDAP Suche und es sind "nested groups" moeglich.

Meine Frage: Kann man beide Welten unter einen Hut bekommen? Wie macht
ihr das?

Moeglichkeit 1: Wie gehabt POSIX-style verwenden und pflegen. Ein
"memberOf" Attribut kann dann ueber Overlays dynamisch erstellt werden,
wie z.B. hier beschrieben:
http://blog.oddbit.com/2013/07/22/g...a-membero/

Das gefaellt mir aber nicht, da es
a) Schema Aenderungen erfordert
b) Jedem Objekt ein labeledURI Attribut mit einer LDAP Query
hinzugefuegt werden muss
c) Diese Query sogar pro Objekt angepasst werden muss, d.h. es muss die
UID des Users vorkommen

Ausserdem kann - wie im Artikel beschrieben - nicht memberOf verwendet
werden sondern z.B. myMemberOf.

Moeglichkeit 2: Verwalten der Daten im AD Style mit memberOf. Das waere
mir sehr sympathisch. Aber kann man PAM, NSS und die anderen UNIX
Dienste dazu bewegen das AD-style Format zu verwenden? Sind damit dann
verschachtelte Gruppen auch moeglich? Ist es auch meoglich von hier auf
den POSIX-style zu mappen? (d.h. "memberUid" dynamisch zu erstellen)?



Die Anleitung oben nutzt die eine Richtung, in der das dynlist overlay
funktioniert.

Das funktioniert auch anders herum, also so, wie du das willst:

http://www.openldap.org/doc/admin24...ic%20Lists

Siehe das zweite Beispiel in 12.7.2, startet mit "The configuration for
a dynamic group is similar."



Sigmentation fault. Core dumped.

Ähnliche fragen