Toon posts:

Directory server best practice

Pagina: 1
Acties:

woensdag 13 februari 2008 20:48

Acties:
  • froggie
  • Registratie: November 2001
  • Laatst online: 20-11-2024

froggie

Kwaaak

Topicstarter
Bij m'n werkgever (10 medewerkers, 20 servers en 200 - 300 individuele klant gebruikers) begint typische directory data zoals login accounts, adres informatie etc uit de hand te lopen. Het idee is om deze data te gaan centeraliseren in een directory server. Er is bewust voor gekozen om binnen onze organisatie zo veel mogelijk binnen de open standaarden en open source hoek te blijven wat als gevolg heeft dat wij vrijwel uitsluitend gebruik maken van open source technologie en wij dien gevolge niet vast zitten aan het gebruik van een voorgekauwde vendor directory server zoals Active Directory of eDirectory. Dit heeft ons doen besluiten wat te experimenteren met OpenLDAP en zelf een directory structuur in elkaar zetten.

De eisen die aan deze directory server gesteld worden is dat deze gebruikt kan worden voor applicatie en server logins (zowel binnen onze eigen organisatie als onze klant gebruikers) en dat deze tevens als PKI voor OpenVPN kan dienen.
Over deze individuele aspecten is her en der informatie beschikbaar (howto's genoeg over de combinatie van LDAP met PAM, Samba etc), maar waar het mij aan ontbreekt is duidelijke informatie over het structureren van deze data.

Het mag duidelijk zijn dat de keuze voor een bepaald schema implicaties heeft voor de bruikbaarheid en efficientie van de directory als geheel. Zijn er goede boeken of artikelen beschikbaar die niet alleen ingaan op het technische aspect van een directory server maar die ook aandacht besteden aan schema ontwerp? Zijn ervaringen van mensen hier die zelf een directory hebben opgezet of een bestaande directory hebben uitgebreid? Wat werkt goed? Wat werkt minder/niet goed? Hoe zorg ik ervoor dat ik mezelf niet in een bepaald stramien hijs wat ik later niet meer kan uitbreiden?
Het mag hopelijk duidelijk zijn dat ik genoeg gevonden heb over de daadwerkelijk configuratie van LDAP en verschillende services, maar ik mis het grote plaatje nog een beetje.

woensdag 13 februari 2008 21:44

Acties:
  • Kokkers
  • Registratie: Oktober 2000
  • Laatst online: 11:49

Kokkers

Poeh, daar vraag je nogal wat. Je hebt in iedergeval een redelijk startpost maar het onderwerp en de bijbehorende implementaties zijn wel erg breed.

Wellicht dat je vraag beter tot zijn recht komt in PNS/24 omdat het vooral om de koppelingen met je directory gaat. Of je je directory ontwerp realiseert in eDirectory, AD of OpenLDAP zou niet zoveel uit moeten maken, het zijn allemaal LDAP implementaties onafhankelijk van op welk OS je de directory actief is.

Wellicht moet je je vraag splitsen:
- Je hebt het over een directory voor en centrale plek voor authorisatie, authenticatie en auditing, het zogenaamde 'single sign on'.
- Je hebt het over een centrale plek voor adres en persoonsinformatie.
- Je hebt het over een PKI infrastructuur voor onder andere OpenVPN

Ik heb wat ervaring met Active Directory i.c.m. Certificate Services, Radius, Services voor Unix en PAM en ik moet zeggen dat er nog aardig wat bij komt kijken om dit succesvol binnen een bestaande organisatie in te zetten. Je directory gebruiken voor authenticatie is in een hoop gevallen redelijk basic, je directory gebruiken voor authorisatie (wat mag een user wel en niet) is in veel gevallen tricky...

Het grootste obstakel vond ik dat het koppelen van de verschillende rand applicaties aan de directory vaak out-of-the box vaak niet mogelijk is volgens je wensen en er dus een hoop maatwerk bij komt kijken.

Wat betreft LDAP directory structuren heeft O'reilly een 'redelijk' boek wat de basis uitlegt. Mij werd een hoop duidelijk toen ik met de applicatie 'LDAP browser' aan de slag ging waardoor het allemaal net even iets 'tastbaarder' werd.

Houdt er rekening mee dat een centrale vorm van authenticatie en authorisatie ook risico's met zich mee brengt. 'One account to rule them all...'

Wellicht dat het handig is om in het beginstadium ook al na te denken over LDAPS en de bijbehorende certificaat infrastructuur die daar bij komt kijken. Standaard zijn LDAP calls 'plain text'.
LDAP queries dus het liefst via LDAPS, een SSH tunnel of VPN.

Hoe ga je de continuiteit van je directoy waarborgen? Het is geen grap als de centrale plek waar al je gegevens van afhangen down gaat, corrupt raakt of je certificaten expiren.

woensdag 13 februari 2008 22:37

Acties:
  • froggie
  • Registratie: November 2001
  • Laatst online: 20-11-2024

froggie

Kwaaak

Topicstarter
Kokkers schreef op woensdag 13 februari 2008 @ 21:44:
Poeh, daar vraag je nogal wat. Je hebt in iedergeval een redelijk startpost maar het onderwerp en de bijbehorende implementaties zijn wel erg breed.
Ik besef inderdaad dat dat wat ik vraag erg breed is. Dit zal ook de reden zijn waarom ik het niet allemaal kan overzien en m'n hoofd er moeilijk omheen krijg.
Wellicht dat je vraag beter tot zijn recht komt in PNS/24 omdat het vooral om de koppelingen met je directory gaat. Of je je directory ontwerp realiseert in eDirectory, AD of OpenLDAP zou niet zoveel uit moeten maken, het zijn allemaal LDAP implementaties onafhankelijk van op welk OS je de directory actief is.
Ik heb getwijfeld waar ik dit het beste kon laten vallen. Misschien is het inderdaad in /24 beter op z'n plaats. Ik eens een modje schoppen en vragen wat hij/zij er van vindt.
Ik heb wat ervaring met Active Directory i.c.m. Certificate Services, Radius, Services voor Unix en PAM en ik moet zeggen dat er nog aardig wat bij komt kijken om dit succesvol binnen een bestaande organisatie in te zetten. Je directory gebruiken voor authenticatie is in een hoop gevallen redelijk basic, je directory gebruiken voor authorisatie (wat mag een user wel en niet) is in veel gevallen tricky...
Het gaat vooralsnog eigenlijk alleen om authenticatie. Authorisatie is veelal in applicaties apart geregeld, daar ontkomen we niet aan. Ik wil mezelf echter niet vast zetten en voorzie bijvoorbeeld nog wel dat we voor system login van sudo rules vanuit de directory gebruik willen maken.
Wat betreft LDAP directory structuren heeft O'reilly een 'redelijk' boek wat de basis uitlegt. Mij werd een hoop duidelijk toen ik met de applicatie 'LDAP browser' aan de slag ging waardoor het allemaal net even iets 'tastbaarder' werd.
Ik ben bovengenoemd boek tegengekomen tijdens mijn zoektochten naar informatie. Uit recente commentaren maak ik op dat dit boek steeds meer achter begint te lopen op de werkelijkheid en dat er eigen een nieuwe uitgave nodig is. Bladeren door de table of contents en sample content bevestigd dat daar het veel OpenLDAP specifieke configuratie details bevat. Ik heb zelf al wat geexperimenteerd en heb het een en ander al daadwerkelijk draaien. Het is daarom al niet meer zo abstract. Wat ik nu eigenlijk nodig heb is informatie om te helpen bij het maken van ontwerp beslissingen. Een boek over directory services in het algemeen ipv een LDAP specifiek boek is daarom misschien beter op z'n plaats.
Wellicht dat het handig is om in het beginstadium ook al na te denken over LDAPS en de bijbehorende certificaat infrastructuur die daar bij komt kijken. Standaard zijn LDAP calls 'plain text'.
LDAP queries dus het liefst via LDAPS, een SSH tunnel of VPN.
Dit is een van de dingen waar ik tegenaan hik en wat ik eigenlijk samen wil laten vallen met de PKI. Ik zou graag een enkel CA genereren, in de directory opslaan en deze gebruiken om oa certificaten voor directory servers te signeren. Probleem is dat ik niet goed weet waar te beginnen :)
Hoe ga je de continuiteit van je directoy waarborgen? Het is geen grap als de centrale plek waar al je gegevens van afhangen down gaat, corrupt raakt of je certificaten expiren.
Het idee is dat de directory server als virtuele service op onze infrastructuur zal draaien, waardoor deze in geval van hardware falen snel genoeg kan verhuizen. Om continuiteit in de verschillende 'partities' van ons platform te garanderen zullen we waarschijnlijk gebruik maken van replicatie en ten slotte moeten regelmatige backups bescherming bieden tegen corruptie.

woensdag 20 februari 2008 09:36

Acties:
  • froggie
  • Registratie: November 2001
  • Laatst online: 20-11-2024

froggie

Kwaaak

Topicstarter
Subtiel kickje. Niemand die nog wat handvatten kan leveren om mij op weg te helpen?

Mods, komt dit topic misschien beter tot z'n recht in PNS?
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq