Nachgefragt

Hans-Dietrich Kirmse hd.kirmse at gmx.de
Sat Apr 12 19:58:02 CEST 2003 

Hallo,

Maximilian Wilhelm schrieb:
> 
> Hans-Dietrich Kirmse scripsit:
> 
 
> [...]

> > Bei der Nutzerverwaltung ist sicher LDAP ein Problem.
> 
> Absolut nicht!
> Die LDAP-DB ist eine Erleichterung, da man alle Userdaten in *eine*
> Datenbank packt und sich nicht darum kuemmern muss, dass x DBs
> konsistente Daten haben. (Bsp. passwd <-> smbpasswd)

So meine ich das nicht. Das Prinzip ist mir eigentlich schon klar.
Problem ist, ob man diese LDAP-DB beherrscht. Und ob es genügend
Tools dazu gibt bzw. wenigstens die, die man braucht.

Kann sein das ich mich einfach von den negativen Erfahrungen
aus der Schulnetz Admin Liste oder aus dem Netz (Koehntopp!)
habe leiten lassen. Auch Reiner Klaroth wollte Arktur 4 mit LDAP, hat 
es aber aufgegeben. Man sollte nicht schlußfolgern, daß er keine
Ahnung hat ;-)

 
> > Falls man
> > damit nicht zurecht kommt, dann könnten ja auch die Server ohne
> > LDAP konfiguriert werden und man paßt dieses später an.
> 
> Das geht meiner Meinung nach in die Richtung, dass wir das Rad
> "später" neu erfinden sollen...

es war nur ein Vorschlag damit es weiter geht (eigentlich damit
es losgeht ;-). Außerdem sehe ich das nicht ganz so, es geht dann um
_eine_ Schnittstelle. Die Konfiguration auch ohne Nutzerverwaltung,
also mit ganz wenigen Nutzer (ein Lehrer, ein Schüler, Admin, ...)
muß ja auf jeden Fall gemacht werden.

> 
> > Hauptsache
> > man kommt erstmal zu einen Prototyp, der schon die wesentlichen
> > Eigenschaften hat.
> 
> Der Prototyp speichert die Unix-Account schon jetzt im LDAP.
> Hier Samba oder z.B. Squid anzuglieder ist kein Problem.

Ich würde mich freuen, wenn das Ergebnis meine Skepsis hinwegfegen 
würde. ;-)


> > > Die Eingabe grosser Nutzermengen konnte noch nicht
> > > getestet werden.
> 
> > Dieses Fileformat, was im Wiki angegeben wurde, ist absolut keine
> > Lösung. Die ist gelinde gesagt unbrauchbar.
> 
> Warum?

nach Wiki  "SkolelinuxFaq" dort 2.1    Format:

<zitat>

create:username:passwd:uid:gid:realname:homedir:shell:min:max:warn:inactive:expire. 

Anmerkungen: 
Falls uid und gid leer sind, werden sie automatisch generiert. 
Die Felder username, homedir und shell müssen ausgefüllt sein.
Falls passwd leer ist, wird kein Passwort für den User angelegt. 
Falls in passwd ein x eingetragen wird, wird der Account gesperrt. 

</zitat>


also bei diesem Beispiel mit dem 730 Accounts (meine Schule):

create: gut, das kopiert man sich an den Zeilenanfang.
username legt der Admin an - da frag ich doch gleich mal was passiert,
wenn so ein Name schon da ist. außerdem ist das Aufwand und 
dazu fehleranfällig.
passwd hat der Admin vorzugeben. Na da braucht er ein Programm zum
generieren oder die werden sehr einheitlich. außerdem müßte er bei
Handarbeit ja wieder die Passwörter nochmal bereitstellen, denn er
muß die ja an die Person weitergeben.
uid und gid können leer bleiben. - das ist die erste 
Arbeitserleichterung, leider fehleranfällig. Da kommen 3 Doppelpunkte
hintereinander. Da werden sich doch sicher welche fragen -
Schreibfehler?
Shell muß ausgefüllt sein (das wäre also jedesmal /bin/false), welcher
linux-unkundige Lehrer will so einen "Irrsinn" tun.

was "min", "max" und "warn" sein könnten, erschließt sich mir, weil
ich ein ganz klein wenig mit einem Server schon zu tun gehabt habe,
aber einen Linux-Laien?

aber was mit "inactive" bzw. "expire" ist, das weiß ich nicht.
Ich weiß noch nicht mal, ob es ein String oder eine Zahl ist, ich 
vermute letzteres ohne zu wissen welche dann sinnvoll sind.

jetzt mal für meinen Account:

create:hkirmse:djhfgh:::Hans-Dietrich
Kirmse:/home/hkirmse:/bin/false:?:?:?:?:?

dabei bekomme ich schon Probleme der Realname mit Anführungsstrichen 
oder nicht?


mal das Format von Arktur zum klassenweisen Anlegen der Accounts:

Kirmse Hans-Dietrich
Müller Egon
Schulze August Anton
Meier Emil

...

das ist lehrersicher - es ist robust: mehrere Vornamen, Umlaute - 
alles egal. Das einzige was nicht egal ist, bei Arktur muß diese
Datei unter Windows erstellt sein. Wenn diese auch unter Linux 
(bzw. Mac) erstellt werden könnte, dann wäre es m.E. perfekt.
Außerdem, ich kann mir die Datei von den Klassenlehrern geben lassen.
Bei Skolelinux wäre das undenkbar.




> > Von Arktur (vermutlich auch von GEE oder der Musterlösung) nichts,
> > denn die Nutzerverwaltung erfolgt mit passwd und shadow-Datei.
> > Das ist sicherlich etwas anderes, soweit ich das verstehe.
> 
> Dazu muesste man die Skripte wahrscheinlich nur ein wenig anpassen,
> aber das ist jetzt nur eine Vermutung :)

ich würde sagen, man kann sich etliches abschauen, z.B. wie die Namen
generiert werden (insbesondere wenn das Login schon vergeben ist)
aber es wird sicher ein neues Tool werden. Und wenn es wirklich eine
Teamarbeit werden soll, dann muß gut dokumentiert werden. Eine 
Schwachstelle bei Arktur, was die Doku für die Programmierer betrifft.
Bei einer Ein-Mann-Arbeit (sprich Reiner Klaproth) ist das aber 
weniger problematisch.



                                  /"\
Mit freundlichen Grüßen           \ / ASCII ribbon campaign
Hans-Dietrich                      X  against HTML mail 
                                  / \ and postings

More information about the SAN mailing list