[Meinung] 2 LDAP Server fuer Authentifizierung und Adressbuch?

10/12/2009 - 04:47 von Peter Mairhofer | Report spam
Hi,

Wie sieht eure Meinung dazu aus?

Ich habe im internen Netzwerk bereits einen LDAP Server wo Useraccounts
oben sind die fuer NSS verwendet werden aber auch als
Authentifizierungsquelle fuer UNIX, Samba etc. dienen.

Dieser ist natuerlich soweit abgesichert:
* Kein anonymous bind
* Zugriff nur per TLS/SSL

Auf dem LDAP Server gibt es zwei "Gruppen": Interne und externe Personen
wobei die internen auf alles zugreifen duerfen und die externen nur auf
einen externen Server. Mein Plan ist nun ou=internal und ou=external
innerhalb von ou=people anzulegen. Die internen Server (z.B.
libnss-ldap) bekommen dann nur den DN
ou=internal,ou=people,dc=example,dc=com. Die externen Server bekommen
den DN "ou=people,dc=example,dc=com" dodurch ihnen alle internen und
externen User bekannt sind. Ist das ueberhaupt eine gute Idee?

Nun moechte ich ebenfalls in LDAP ein Adressbuch anlegen. Ich moechte
ein globales haben und optional fuer jeden internen Benutzer eines. Das
haette ich mir so gedacht:

Im DN ou=addressbook,dc=example,dc=com:

ou=global
In diesen Container kommt ein globales rein und Benutzer in
ou=internal,ou=people,dc=example,dc=com koennen darauf lesend zugreifen

ou=%username%
Fuer jeden User in ou=internal,ou=people,dc=example,dc=com optional ein
persoenliches Addressbuch in das er auch schreiben kann.

Gleich mal die Frage vorweg: Ist das bis hier mal eine gute Idee und
auch realisierbar?

Wuerdet ihr nun die Adressbuecher in die gleiche LDAP Datenbank packen?

Oder fuer den Subbaum eine eigene Datenbank anlegen?

Natuerlich moechte ich natuerlich - aehnlich wie bei IMAP - auch von
extern auf die Adressbuecher zugreifen koennen (aber nicht auf die
Userdatenbank). Deshalb muesste ich den LDAP Port fast nach aussen
freigeben.

Ist es in diesem Zusammenhang vielleicht sogar besser fuer den
Adressbuch-DN einen zweiten LDAP Server aufzusetzen? Ist es dann
ueberhaupt moeglich mit den Usern des ersten zu authentifizieren?

Danke fuer eure Meinung!

lg,
Peter

PS: Das ganze ist natuerlich nicht firmenkritisch sondern mein
persoenliches Hobby-Projekt. In der "internen" Gruppe sind nahe
Verwandte/Freunde und in der "externen" Gruppe Personen denen ich
Webspace anbiete.
 

Lesen sie die antworten

#1 Holger Marzen
10/12/2009 - 07:51 | Warnen spam
* On Thu, 10 Dec 2009 12:47:40 +0900, Peter Mairhofer wrote:

Im DN ou=addressbook,dc=example,dc=com:



Was ich mich schon immer fragte: Ist hier die Reihenfolge entscheidend,
oder wàre example.com von com.example grundsàtzlich ununterscheidbar?

Ähnliche fragen