[discussie] Directory Servers en Non-Windows OS'en

En hoe makkelijk/moeilijk is het om met b.v. MacOS X aan te melden bij een ActiveDirectory Server?

Hier kan ik wel op antwoorden.

Standaard (iig met Jaguar) moet je het schema wat aanpassen voordat het goed werkt. Er is gelukkig een pakket op de markt waardoor het niet hoeft: www.admitmac.com

Of het met Panther makkelijker wordt weet ik nog niet, daarover is volgens mij ook veel minder tot weinig bekend. Verder draait op mijn werk een AD. Eigenlijk voornamelijk als authenticatie en de kleine voordeeltjes natuurlijk icm GPO enzo (naja, het hele standaard verhaal om het op te zetten en het gebruik ervan).

Ik heb ooit een simpele OpenLDAP server opgezet, zelfs Win2k clients konden erop aanmelden met pGina. Voor de Linux clients is 't vrij triviaal allemaal en eenvoudig aan te passen. Export de NFS dirs @ fileserver en mount ze op de client. OS X moet ook geen probleem zijn met OpenLDAP lijkt me . Er bestaan wel grafische tools waarmee je een OpenLDAP server kan beheren (lees: users toevoegen met een GUI tooltje). Verder kun je natuurlijk Samba ook aan je OpenLDAP server hangen en op die manier heb je een redelijk compleet systeem als je Windows machines hebt.

Intersant onderwerp ik zal het zeker blijven volgen

Maar mischien heb je hier wat aan.

http://salt.sourceforge.net/

http://davedap.sourceforge.net/

http://diradmin.open-it.org/index.php

De laatste lijkt mij vooral erg makelijk te gebruiken.

wat is een directory server eigenlijk? *voelt zich dom*

Das nou echt een vraag die ze bv. hier kunnen beantwoorden

Dit is interessant allemaal, ik ben nu over OpenLDAP installatie en implementatie aan het lezen. Misschien ga ik er ook mee klooien (weet eigenlijk wel zeker). Het ziet er leuk uit iig. De Quick install lijkt niet vreselijk moeilijk, alhoewel ik al wel een aantal zaken zie die ik anders zou doen (bijvoorbeeld password als hash opslaan ipv cleartext password voor write toegang tot de db) ben nu bezig met doorwerken van de Admin guide. Eigenlijk wil ik al een tijdje experimenteren Directory services, hetzij via MS Active Directory, hetzij via OpenLDAP.

Leuk initiatief TS! Ik hou dit topic in de gaten!

Ik ben zelf vooral geinteresseerd in het multi-platform gebruiken van een directory. Ons machinepark bestaat uit PC's en Mac's (nu OS9, straks allemaal OSX). Veel zelf klooien dus, leuk, maar niet met deze hitte .

Verwijderd schreef op 12 July 2003 @ 15:43:
Welke programma's hebben goede LDAP functionaliteit?

Postfix, sendmail, SqWebmail, apache. Zijn dat er genoeg?

Zijn Directory Servers de toekomst?

Ja, ik vind het ideaal. Je kunt een volledige omgeving bouwen rond de directory en al je programma's/clients op één manier authorizen. Doordat ldap via php en asp is te authorizen kun je ook al je webclients erop afstemmen.

Op school hebben we ook alles in een LDAP server. Nu is dat een brak beheerde Redhat 8.0 machine met OpenLDAP, die er *vreemd genoeg* zonder LDAP slaves (dat kan niet volgens de beheerders van die machines) er redelijk vaak uitligt. Klote dus. Maar dat terzijde, daar hebben we het niet over

Als die LDAP server werkt, dan werkt het wel leuk:
- Mac OS X stel je er zo op in, directory server toevoegen bij de instellingen, en hoppa: UID resolving en passwords gaan direct goed
- Linux stel je er met een beetje moeite op in, zat in de debs van pam_ldap en nss_ldap een foutje die we eerst nog moesten oplossen voor de ongewone manier waarbij ze op onze school werken: LDAP niet op 389 maar op 380
Overigens werken die van Redhat wel out of the box, dus daar hebben we de configure regels van gejat
- Apache doet authenticatie mbv LDAP voor de locaties waar we liever nix anders in hebben
- Cyrus IMAP haalt met saslauthd of pam_ldap de accounts uit de LDAP tree
- Elk kwartier loopt er een synchronisatieprogramma die alle passwords en users uit de LDAP tree op het NT4 domein overzet. Hiervoor slaan ze plaintext passwords op in de LDAP server, ik zou ook niet weten hoe ze het anders voorelkaar krijgen om na migratie naar Win2K clients en een nieuw domein ineens al je passwords te resetten, en dat je deze ook nog es kunt opvragen mocht je die vergeten zijn

Waar ik nu al naar uitkijk is de introductie van MS AD op onze school: goede linux beheerders zijn er bijna niet op school, terwijl ik zeker weet dat er minstens 3 mensen rondlopen die alles van Windows weten, en hier ook voor gecertificeerd zijn. Kan zijn dat we straks dus een backup directory server kunnen verwachten waardoor we altijd wel minimaal 1 hebben die het doet
pam_ldap werkt gewoon met MS AD, Cyrus werkt via pam_ldap er gewoon mee, apache moet er wel mee kunnen werken, de Mac heeft er geen problemen mee, etc. Het synchronysatieprogsel/script hoeft niet meer elk kwartier te runnen, zou allemaal goed moeten werken dus

Thuis heb ik hier 25 vpopmail accounts in LDAP en iets van 5 Samba/unix gebruikers + nog een stel win2k machine accounts in mn LDAP server, werkt allemaal perfect.

eDirectory draait absoluut niet op OSX, is wel te syncen via LDAP met een OpenLDAP server welke op OSX draait.
Daarbij stelt SMS van Microsoft geen ruk voor vergeleken met ZEN(Zero Effort Networking) van Novell(Welke ook multi OS is en binnenkort Multiplatform wordt).
Het OS Netware is alleen wel redelijk lastig te beheren, alhoewel retestabiel. Dit komt ondermeer door de wirwar aan management utilities die je moet gebruiken(Voor printertjes NWAdmin, evenals voor Bordermanager, voor ZENWorks 3 weer ConsoleOne en dan zijn er nog NDSManager en DHCP/DNS manager + aantal webbased utilities).
Het is wachten op Nakoma.....

meuktracker: Webmin 1.100
webmin 1.1 heeft een ldap module om gebruikers te beheren (ik weet niet of je schema's kan toevoegen via dit ding, maar op sourceforge vind je java projecten die LDAP kunnen beheren)
http://sourceforge.net/projects/phpmyldap/ is ook wel de moeite om te vernoemen..

verder kun je met ldap zowat gebruikers voor alle services beheren:
-> ftp (pureftpd, proftpd weet'k zo van buiten...waarschijnlijk nog anderen)
-> mail : smtm: qmail, postfix , ...
-> mail : IMAP: cyrus,..
-> mail : pop3: qmail pop3daemon, ...
-> apache (zowel authenticatie van de gebruiker als opzoeken van de home dir voor bijvoorbeeld zijn public_html te serveren via )mod_ldap_userdir)
-> Squid: gebruikers die op internet mogen door de proxy laten via Squid authenticatie.
-> Samba (2&3) met ondersteuning voor groepen en users.
-> DNS: powerDNS & ldap2dns (BIND files maken met data uit directory), BIND(http://www.venaas.no/ldap/bind-sdb/), en deze link is ook wel goed:http://www.rage.net/ldap/ldapns-howto/LdapNS-howto.html)
-> ...

(ik weet niet of ik iets vergeten ben)

veel haalde ik hieruit: ftp://ftp.kalamazoolinux.org/pub/pdf/ldapv3.pdf

/me wil hier reeds lang mee spelen, heeft dus al heel wat opzoekingswerk achter de rug, maar de zoektocht naar een oude PC om op te spelen is reeds een volledig jaar bezig!!

[ Voor 21% gewijzigd door Verwijderd op 15-07-2003 11:37 . Reden: DNS service toevoegen :) ]

Hoe zit het nou precies, moet je voor elke service waar je ldap voor wilt gebruiken een apparte database aanmaken of kan je gewoon een grote maken waar alle services hun informatie weg kunnen halen?

Ligt er maar net aan. Voor sommige services heb je een appart schema nodig wat je op de ldap-server kunt installeren en daarna moet vullen.

Overigens valt zo'n schema onder dezelfde DB
DB in ldap is net wat anders dan wat jij er mee bedoelt

[rml][ Debian/auth] Simple bind op ldap server m.b.v. kerberos V[/rml]

Zoals je in bovenstaande topic kunt lezen ben ik bezig met een redelijk uitgebreide setup waarin o.a. ook een openldap server voorkomt in een niet zo standaard auth-config voor de diverse services.

Op zich zou ik er best een stuk over willen schrijven, alleen het probleem is de tijd

[ Voor 6% gewijzigd door Verwijderd op 27-08-2003 23:24 ]

Compukid, ik heb heel veel interesse in het opzetten van een complete LDAP-omgeving onder Linux, ben er zelfs al even mee bezig geweest maar door veel dingen die me niet lukten gaf ik het op .

Ik wil op den duur Apache, MySQL, ProFTPd, Squid en PowerDNS met LDAP laten werken en eventueel later nog andere services.

Voor mij geldt hetzelfde. Ik doe dan ook graag mee.

Voor mijn werk wil ik graag een complete LDAP omgeving opzetten inclusief authenticatie via LDAP. Voor zover ik dat nu heb kunnen nagaan moet ik daarvoor pam gebruiken.

Ik werk overigens met FreeBSD op de server en Linux/Windows clients.

ik ben tamelijk n00b, dus ik weet niet of je het kan gebruiken, maar dit interesseert me héél sterk!! Dus als je me kan gebruiken ofzo wil ik steeds m'n steentje bijdragen hoor...

[ Voor 54% gewijzigd door Verwijderd op 28-08-2003 10:46 . Reden: dubbel weghalen :) ]

Mijn mail doet het nu even niet, maar ik wil wel werken aan de FreeBSD info. Al zal er veel overlap zijn met de Linux installatie.

Ik zal starten bij de daadwerkelijke configuratie van OpenLDAP, nsswitch en PAM integratie. Veel "recepten" dus.

-RenE- schreef op 28 August 2003 @ 09:58:
Voor mij geldt hetzelfde. Ik doe dan ook graag mee.

Voor mijn werk wil ik graag een complete LDAP omgeving opzetten inclusief authenticatie via LDAP. Voor zover ik dat nu heb kunnen nagaan moet ik daarvoor pam gebruiken.

Ik werk overigens met FreeBSD op de server en Linux/Windows clients.

Authenticatie behoort niet binnen ldap zelf te gebeuren; daar is ldap niet voor bedoeld

In ldap kan je wel weet aangeven hoe de authenticatie plaats moet vinden. Daar zijn meerdere mogelijkheden voor, waarbij de door jouw genoemde pam mogelijkheid een van de zwakkere mogelijkheden is. Sasl authenticatie middels GSSAPI (kerberos V) is een voorbeeld van een van de sterkere authenticatie methoden. Ldap met pam/passwd checking is relatief eenvoudig op te zetten. Wil je het helemaal op zeker spelen dan kom je vanzelf op de combi Kerberos/Sasl (GSSAPI)/TLS/SSL uit. Alleen dan is een redelijke kennis van zaken wel een pre.

Bedankt voor de verduidelijking. Ik moet nog veel leren van dit soort gecentraliseerd gebruikersbeheer

Ik wilde starten met Pam _juist_ omdat dit een van de meest eenvoudige wijzen is. Kun je mij trouwens ook uitleggen waarom Pam zwakker is? Bedoel je daar onveiliger mee? Zoals ik het nu zie doet FreeBSD alles via Pam; toch niet het meest geringe systeem.
Nadat ik met deze combinatie ervaring heb opgedaan ga ik eens verder met Kerberos V.

Om even terug te komen op mijn woorden, dat authenticatie niet binnen ldap zelf behoort te gebeuren:

Dat betekent dus niet dat het niet mogelijk is he Ik kan makkelijk een plaintext of md5 password direct in de ldap-dir plaatsen. Probleem is alleen dat ldap standaard over een onbeveiligde lijn gaat. Zodra je dus het wachtwoord opvraagt gaat je wachtwoord info over het netwerk (ook als ldap op de machine zelf draait (via loopback interface namelijk). Je snapt dat iemand die zit te sniffen daar wel wat mee kan

Nu heb je aan een md5 password zelf natuurlijk nog niet veel, alleen een andere user behoort daar gewoon al helemaal niet te kunnen komen. Standaard linux shadow accounts hebben hun md5 bijvoorbeeld in een bestand staan dat alleen door root leesbaar is. Bijkomend probleem is, dat er aardig wat mensen de access control op ldap volkomen verkeerd hebben staan, waardoor het bijvoorbeeld mogelijk wordt om als anonieme !! gebruiker zomaar van iedere user in de dir het wachtwoord op te vragen.

Uiteraard behoort een acl op het userpassword attribuut er ongeveer als volgt uit te zien.
1 of meerdere admin's cq superusers moeten naar dat attribuut van iedere user kunnen schrijven. Een anonieme gebruiker moet alleen kunnen authenticeren op het attribuut en ieder ander heeft er erg weinig te zoeken.

Laat ik maar in het kort uitleggen hoe kerberos V en Sasl met TLS/SSL in beeld komen.

---

TLS/SSL heeft betrekking op de ldap-server. Dit zorgt er voor dat het verkeer over een versleutelde verbinding plaatsvindt. Vergelijkbaar dus met het verschil tussen telnet en ssh . Een client die info opvraagt moet een certificaat hebben dat ook op de server bekend is. Alle info wordt nu versleuteld uitgewisseld. Als je een programma als ngrep of etherreal draait, dan zul je ook mergen dat je zonder TLS/SSL precies kunt onderscheppen welk verkeer met welke inhoud er plaatsvindt tussen client en server. Bij TLS/SSL heb je er niet zo veel meer aan

---

Kerberos (V) is een authenticatie protocol. Het gebruikt sterke cryptografie. Dit is wederom vergelijkbaar met bovenstaande. Je kunt dit gebruiken in bijvoorbeeld een groot onveilig netwerk. Alle communicatie kan wederom over een versleutelde verbinding plaatsvinden. Als je inlogt op kerberos vraag je een ticket aan als user zijnde (ook wel een principal genaamd). Die principals zijn verschillende rechten toe te kennen. Sterker nog, je kan heel eenvoudig bijvoorbeeld tijdelijk een andere user bepaalde rechten van jezelf toekennen, zonder dat die persoon met jouw wachtwoord hoeft in te loggen

Dat ticket is heel erg handig. Het heeft een bepaalde tijdsduur. Als je meerdere kerborized services hebt (ssh, telnet, rsync, cvs etc), dan kun je zelfs met dat zelfde ticket zonder een wachtwoordt in hoeven te voeren direct die services benaderen (zelfs op andere hosts!). Erg leuk spul dus

Zo kan ik bij mij bijvoorbeeld een ticket aanvragen en hoef ik mij vervolgens niet meer op de ldap-server aan te melden om alles te kunnen. Als ik dat ticket niet heb moet ik me wel aanmelden, wil ik meer rechten hebben.

---

Sasl is de "laag" tussen de ldap-server en kerberos. Dit zorgt geeft authenticatie support aan verbindingsgebasseerde protocols. Sasl bestaat uit meerdere protocols. Ik gebruik alleen gssapie wat speciaal bedoeld is voor kerberos V authenticatie. Sasl zorgt voor beveiliging van interacties als de methode eenmaal gekozen is.

Zoals je kunt zien is bovenstaande even heel wat ingewikkelder dan een standaard ldap server die of in de dir zelf de wachtwoorden heeft staan of die via /etc/passwd de wachtwoorden ophaalt (al dan niet via pam).

[ Voor 3% gewijzigd door Verwijderd op 28-08-2003 19:11 ]

Even een kleine update van mijn kant:

Ik heb inmiddels LDAP draaiend gekregen en alle hiervoor benodigde stappen op "papier" staan (in het Engels). Voor ik een en ander in het Tex bestand ga zetten wil ik eerst Samba laten babbelen met LDAP.

Oke uhm volgens mij is er nog een Directory vergeten, Opensource wel te verstaan bij mijn weten, Apple heeft zelf "Open Directory"

http://developer.apple.com/darwin/projects/opendirectory/

Is dit ook een optie voor windows client of alleen voor OSX, hier ben ik zelf geinterresseerd in, want ik heb sinds gister mn Darwin 10.2.6 X86 versie online gezet!

Mischien een beetje laat maar beter laat dan nooit. Ik kwam op internet het ldap user programma GOsa tegen en dit ziet er zeer gelikt uit.

https://gosa.gonicus.de/index.php

Heeft er iemand ervaring met dit programma ?

Mooi documentje geworden! Ik zie bij hoodstuk 9 alleen dubbele aanhalings tekens staan die er niet horen denk ik.
Waarom heb je trouwens de source files weggehaald? Die zijn nog wel eens van pas gekomen!