Centraal user en wachtwoordbeheer

Als het netwerk wegvalt is de server onbereikbaar, en dus is het niet nodig om authenticatie te kunnen te doen.....

Voor zowel NIS als LDAP kan je meerdere servers gebruiken, dus uitval van de authenticatie server kan je opvangen.

LDAP is te replicaten, heb in een productieomgeving ook alles op LDAP draaien (mail, web, dns, authenticatie), elke server draait een eigen LDAP slave. Niet dat de master het niet aan kan, maar de communicatie op een ldapi:// socket is gewoon stukken sneller dan over een TCP verbinding.

_JGC_ schreef op dinsdag 13 september 2005 @ 09:05:
LDAP is te replicaten, heb in een productieomgeving ook alles op LDAP draaien (mail, web, dns, authenticatie), elke server draait een eigen LDAP slave. Niet dat de master het niet aan kan, maar de communicatie op een ldapi:// socket is gewoon stukken sneller dan over een TCP verbinding.

stukken sneller? hoe snel moet het gaan dan? LDAP was toch juist gemaakt als snel (door)zoekbaar medium?
en ik moet zeggen dat ik bij onze LDAP zo snel data krijg dat m'n terminal het niet kan printen. (een gewone xterm ja, niet een oude serieel aangesloten terminal )

Maar lokaal is natuurlijk bijna altijd sneller dan over het netwerk, hoe je het ook wendt of keert. Dat is wat _JGC_ bedoelt. En dus natuurlijk ook zeker geen LDAP-database op elke client, maar misschien wel op servers die er erg veel gebruik van maken.

Kun je dan niet gewoon beter via locale shadow files werken?

BK1 schreef op dinsdag 13 september 2005 @ 12:18:
Kun je dan niet gewoon beter via locale shadow files werken?

Dan ben je toch niet meer centraal bezig Alhoewel je vast wel de shadow files via nfs zou kunnen mounten

tja maar t gaat wel snel...
Ik heb altijd het idee dat dit soort oplossingen niet zo veel uitmaakt. Je benadert meestal toch via het net (bij onze services meestal dan) en een extra lookup merk je volgens mij niet. (of ik merk het niet dan)
/edit: Ik deel m'n shadow liever niet via nfs trouwens..

[ Voor 11% gewijzigd door elTigro op 13-09-2005 14:15 ]

djack schreef op dinsdag 13 september 2005 @ 14:25:
ik ben aan het denken om via ssh de useraccounts op te vragen van elke machine.
Deze in een mysql db te steken en via een webinterface ze zichtbaar te maken en wachtwoord aanpassingen aan te doen.

Lijkt dit een haalbare kaart ?

Dan is LDAP dus veel sneller

ldap over socket vs ldap over tcp: op een webserver gebruik ik suexec, welke voor elk script uid lookups gaat doen. Hier en daar nog wat uid->gidmappings in de config moeten doen omdat we vergeten waren dat er ook gid lookups gedaan zouden worden, maakt het er allemaal niet sneller op.

Als ik een simpele uid lookup met id time over een ldap://127.0.0.1/ verbinding of een ldapi://%2fvar%2frun%2fldapi/ verbinding, is de ldapi:// variant gewoon 2-3x zo snel. NSCD is een leuk cache programma, maar alles wat als root draait doet een bypass om die cache heen in het geval van uid lookups.

Ik begrijp niet waarom alle LDAP lookups nog moeten werken als het netwerk wegvalt.

Stel je hebt 5 netwerksegmenten met clients. Voor elk netwerksegment heb je 1 LDAP slave. Al die 5 slaves mirroren met een LDAP master, om de 30 minuten.

Een wachtwoord-aanpassing wordt zo binnen 30 minuten centraal over heel het netwerk doorgevoerd. Als de netwerkverbindingen tussen de LDAP slaves wegvallen, is alles nog steeds werkbaar. Als het hele netwerk plat ligt, dan is het toch niet de bedoeling dat clients lokaal gaan inloggen? Dan moet dat netwerkprobleem zo snel mogelijk worden opgelost, punt end of story.
Of ben ik nu kortzichtig aan het denken?


Het moet btw wel mogelijk zijn om lokaal ook user/wachtwoord combinaties te cachen. Enige probleem is dat een wachtwoordwijziging zo NOG meer tijd nodig heeft om bekend te worden over heel het netwerk.

Parasietje schreef op dinsdag 13 september 2005 @ 22:41:
Ik begrijp niet waarom alle LDAP lookups nog moeten werken als het netwerk wegvalt.

Stel je hebt 5 netwerksegmenten met clients. Voor elk netwerksegment heb je 1 LDAP slave. Al die 5 slaves mirroren met een LDAP master, om de 30 minuten.

Een wachtwoord-aanpassing wordt zo binnen 30 minuten centraal over heel het netwerk doorgevoerd. Als de netwerkverbindingen tussen de LDAP slaves wegvallen, is alles nog steeds werkbaar. Als het hele netwerk plat ligt, dan is het toch niet de bedoeling dat clients lokaal gaan inloggen? Dan moet dat netwerkprobleem zo snel mogelijk worden opgelost, punt end of story.
Of ben ik nu kortzichtig aan het denken?


Het moet btw wel mogelijk zijn om lokaal ook user/wachtwoord combinaties te cachen. Enige probleem is dat een wachtwoordwijziging zo NOG meer tijd nodig heeft om bekend te worden over heel het netwerk.

Kun je niet bepaalde wijzigingen in de LDAP niet direct repliceren. Active Directory repliceert wachtwoord wijzigingen direct. Alle andere veranderingen kunnen gewoon eens in de 30 min (bijvoorbeeld)

Parasietje schreef op dinsdag 13 september 2005 @ 22:41:
Ik begrijp niet waarom alle LDAP lookups nog moeten werken als het netwerk wegvalt.
.

Zodat 't ook nog enigszins werkt als niet je hele netwerk plat is maar alleen je LDAP server.

Met Sync replication trekt de slave uit de master (nieuw sinds OpenLDAP 2.2), met master->slave replication pusht een master het meteen door aan alle slaves. Zo'n directe update hoeft niet langer dan een halve seconde te duren. Als ik in die produktiesystemen een verandering in een webhost maak en 2 seconden later de config van de webserver opnieuw laat inlezen uit de slave, is die verandering al lang en breed doorgevoerd.