Benutzer verwalten auf mehrer Systemen

[Anonymous]

Hallo Leuts,

ich stehe vor dem Problem, dass wir hier mittlerweile einige Server verwalten und ich verschiedenen Benutzern gerne SSH-Rechte für die Server geben möchte. Läuft bisher auch ganz gut ich verteile ssh-keys und die Jungs loggen sich per Putty und SSH-Key ein. Kennt jetzt jemand von euch einen _einfachen_ Weg die Verwaltungsarbeit zu minimieren? LDAP für PAM ist z.B. scheinbar nicht Mittel der Wahl, da die Rechner verteilt sind und nur lose per ssh-keys gekoppelt sind. Die Frage ist, kann ich vielleicht einfach die passwd und shadow Dateien generieren oder gar kopieren? Oder ähnliches? Oder ganz anders?

Ich bin für jede Anregung dankbar. Mir geht es vor allem nicht um eine schrittweises Tutorial sondern eher um Denkanstöße...

Grüße, Joker

[Joe User]

http://code.google.com/p/openssh-lpk/

[Anonymous]

Wow, das ist schonmal ne Interessante Alternative. Den ganzen LDAP Kram/Aufwand habe ich dann aber dennoch (wie bei pam_ldap o.ä.) woll?

Nicht das es kein K.O. Kriterium wäre aber es steht auf jeden Fall auf der Negativ-Seite :-)

[Joe User]

Für eine zentrale Userverwaltung gibt es kaum etwas besseres als LDAP, insofern wäre es immer die erste Wahl. Man könnte sich auch etwas individuelles mit einem DBMS basteln, was aber einen erheblich höheren Aufwand bedeutet...

[daemotron]

http://phpldapadmin.sourceforge.net

[tiberian]

Hallo matzewe01,

so auf die Schnelle hab ich das hier aus meinen Bookmarks ausgegraben:

http://home.subnet.at/~max/ldap/
http://www.zytrax.com/books/ldap/
http://www.ldapman.org/articles/tree_design.html
http://www.ldapman.org/

Ansonsten kann ich das Buch OpenLDAP: Grundlagen und Installation. Konfiguration und Verwaltung sehr empfehlen.

Ich hoff das hilft Dir weiter. Wenn nicht solltest Du mit Deinem Problem "kann keine Objekte anlegen" etwas detaillierter werden ;-)

Grüße
Tiberian

[tiberian]

(no new attributes available for this entry)
(no new binary attributes available for this entry)

Wie und wo versuchst Du denn ein Attribut hinzuzufügen ? Vllt. kannst du ja mal nen LDIF von diesem DN exportieren und hier reinposten.

Template Value Error
This template uses a selection list for attribute [gidNumber], however the selection list is empty.
You may need to create some dependancy entries in your LDAP server so that this attribute renders with values. Alternatively, you may be able to define the appropriate selection values in the template file.

Das klingt für mich, wie als ob PHPLDAPAdmin nicht sauber konfiguriert wäre. Vllt da mal bissl in der Doku graben :-)

Hier mal n Beispiel für nen User den Du anlegen könntest (Bitte beachten, dass die ou=People vorher angelegt werden muss):

Code: Select all

dn: uid=matzewe01,ou=People,dc=domain,dc=tld
cn: matzewe01
homeDirectory: /home/matzewe01
sn: we
uid: matzewe01
userPassword: {crypt}$213123123123123
gidNumber: 1234
objectClass: person
objectClass: organizationalPerson
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
objectClass: shadowAccount
uidNumber: 1005
loginShell: /bin/bash

Und noch n Beispiel für ne Gruppe die Du anlegen könntest (Bitte beachten, dass die ou=Group vorher angelegt werden muss):

Code: Select all

dn: cn=matzesgruppe,ou=Group,dc=net
cn: matzesgruppe
objectClass: posixGroup
objectClass: top
gidNumber: 1234
memberUid: matzewe01

Viele Grüße
Tiberian

[daemotron]

Ansonsten kann ich das Buch OpenLDAP: Grundlagen und Installation. Konfiguration und Verwaltung sehr empfehlen.

Von dem Buch gibt es eine (brand)neue 2. Auflage (http://www.edv-buchversand.de/product.p ... 1198&lng=0) mit leicht verändertem Titel, die auch auf die Neuerungen in OpenLDAP 2.4 eingeht.

[tiberian]

LDIF? Was meinst Du damit?

http://de.wikipedia.org/wiki/LDIF
Das ist das Format mit dem Du deinen LDAP Server mit Daten fütterst. In PLA kann man mit der Funktion Export ein solches Format erzeugen. Entweder für den ganzen Tree oder auch nur für einzelne Objekte. Um Dir helfen zu können muss ich schon wissen was Du wo anlegen wolltest und wie.

Wegen der PLA Config kann ich Dir nicht helfen, da ich PLA nicht zum anlegen von neuen Objekten benutze. Vllt. wär das hier was für Dich: http://lam.sourceforge.net/ Mit dem Tool kannst Du deine User bequem verwalten.

Keine ahnung ob, und was ich dabei vergessen habe.
Obig genannte Gruppe Zwar mit anderem Namen wollte ich ebenfalls schon anlegen.
Ebenfalls ohne erfolg.

Zeig mir doch mal wie dein Tree aussieht und wo Du das neue Objekt anlegen willst. Mit den Infos kann Dir keiner wirklich weiterhelfen, da das nicht besonders viel aussagt.

Grüße
Tiberian

[tiberian]

Ich weiss nicht wie Suse vorgeht um einen LDAP Tree initial zu befüllen. Nur weil Du dich gegen den LDAP Server authentifizieren kannst heisst das noch lange nicht, dass dort schon die dc=domain,dc=tld angelegt wurde. Geschweige denn der cn=root. Die Authentifizierung für den Manager Account cn=root wird ja gegen die slapd.conf geprüft. Ob der User in LDAP angelegt ist oder nicht is da erstmal ziemlich egal.
Ich vermute mal dass genau dass das Problem ist, dass der Baum noch nicht soweit aufgebaut ist, dass Du dort etwas neues einfügen kannst. Darum wäre es interessant gewesen wenn Du mal einen LDIF deines Baums zur Verfügung stellst damit ich sehen kann was schon alles drin ist. Ins Blaue reinzuraten bringt da leider nicht viel ;-)
Da das mit PLA ja nicht so dolle funzt, kannst Du auch mal mit

Code: Select all

slapcat -f /etc/ldap/slapd.conf -f /root/tmp.ldif

einen Export deines gesamten Baums machen lassen. Wichtig ist, wenn du die slap* Utils benutzt darf der LDAP Server nicht laufen und ggf. musst noch den Pfad zu deiner slapd.conf anpassen.
Vielleicht kommen wir dann so deinem Problem auf die Spur :)

Grüße
Tiberian