LDAP in der Praxis (war: Re: suse schulserver , skolelinux)

[Maximilian Wilhelm]

Helmut Hullen schrieb:

Hi all!

> Du meintest am 02.03.03 zum Thema suse schulserver , skolelinux:

> > ausserdem : we kennt sich mit LDAP aus ?
> > ich würde ja gerne Infos über User & Rechner
> > per LDAP verwalten, bin mir aber noch nicht sicher,
> > ob sich die mühe lohnt.


> So rein technisch sicherlich interessant.

Wieso nur "rein technisch"?

> Aber an Schulen nur ABM.

Durchdacht und (sicherheits-)technisch gut realisiert eher
AErleichterungsM, IMO.

> Nur zur Verdeutlichung: an unserer Schule bleiben die Leute 2 Jahre,
> und jährlich kommen so etwa 300 Neue dazu (und 300 Alte werden
> ausgeschult).
> An einer Nachbar-Berufsschule (berufsbegleitend, also 1
> Berufsschultag/Woche): jährlich etwa 2000 Neue.

> Wenn das Sekretariat die Daten verwaltet, dann reicht mir das. Der
> Administrator sollte damit nicht auch noch beschäftigt werden, und
> andere Leute noch weniger (schon aus Datenschutz-Gründen).

Mir schwebt gerade folgendes vor:

Man nehme:
-> einen zentralen LDAP (evtl. Replika)
-> ein (oder mehrerere) eigene(s) LDAP-Schema fuer die Schueler, Lehrer
-> einen File-Server mit 2 NICs (eth0 -> Schueler-Netz, eth1 -> LDAP)
-> evtl. andere Server jew. mit 2 NICs

			,------.
		.- FW - | LDAP | -----> Verwaltung
		|	`------´
		|	  
		| -- Samba  \
		| -- MTA     +--- > Schuelernetz
		| -- Apache /


Im LDAP speichert Frau (Sekretaerin) die neuen Schueler (dazu braucht
man dann das passende Schema mit den passenden Daten).

Bevor jetzt wieder nach Datenschutz geschriehen wird:
 Man kann sLDAPd so einstellen, dass nur bestimmte Benutzer (z.B. der
 Admin / die Sekretaerin) bestimmte Attribute der Benutzer sehen /
 editieren koennen und der Rest der Welt keinen Zugriff erhaelt.

Damit haette man dann einen zentralen Server - oder auch zwei, die
sich replizieren ( einen in der Verwaltung, einen im "RZ" ) - der
die viele Daten der Schueler bereithaelt um
a) die Netzanmeldung durchzufueren -> SAMBA
b) Mail-Accounts zu verwalten -> MTA des geringsten Misstrauens
c) Adress-Verzeichnis fuer $MUA

So inetwa koennte ich mir das vorstellen...
Vorschlaege / Kritik sind ausdruecklich erwuenscht.

Im Anhang ein LDAP-Baum, mit dem ich im Moment hier zu Hause rumspiele.
Die User koennte man evtl. mit weiteren OUs unterteilen, evtl. nach
vorraussichtlichen Abgang o.ae.

Ciao
Max
-------------- next part --------------

wilhelm-clan,de
	|
	|-- Admin
	|
	|-- group
	|   |-- ldapadm
	|   |-- domadm
	|   |-- machines
	|   |-- benutzer
	|   |-- gaeste
	|
	|-- services
	|
	|-- networks
	|
	|-- aliases
	|
	|-- Sysuser
	|   |-- smbroot
	|   
	|    
	|-- Samba
	|   |--	Rechner
	|       |-- Methusalem$
	|	|-- Maxstation$
	|	|-- Galaxy$
	|	|-- Maxwell$
	|	|-- Majestix$
	|
	|-- user
	    |-- max
	    |-- franz