[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Frage zu LDAP
[Thread Prev] | [Thread Next]
- Subject: Re: Frage zu LDAP
- From: Markus Hochholdinger <Markus@xxxxxxxxxxxxxxxxx>
- Date: Tue, 17 Apr 2007 17:58:47 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Hi, Am Montag, 16. April 2007 09:26 schrieb Patrick Machauer: > ich wuerde mich anfangs an die von Samba3 vorgegebene Struktur halten: > dc=organisation,dc=de > | - ou=group,dc=organisation,dc=de > | |- cn=Gruppe,ou=group,dc=organisation,dc=de > | -ou=people,dc=organisation,dc=de > | |- uid=Benutzer,ou=people,dc=organisation,dc=de > |- ou=computers,dc=organisation,dc=de > |-uid=Rechnername,ou=computers,dc=organisation,dc=de ja, das ist ein guter Startpunkt. Vorallem wenn es um nicht allzuviele Benutzer geht ist ein flache Struktur besser. > Am Sonntag, 15. April 2007 schrieb Rainer Fleischhacker: > > Hallo an alle, > > ich moechte mich mit LDAP bzw. OpenLDAP beschaefitgen. Die Installation > > ist soweit klar hat auch geklappt. Mein Interesse liegt darin was man > > bei der Erstellung der Struktur so alles beachten soll? > > Welche Fussangeln gibt es? Hat jemand Tipps aus der eigenen Praxis? Gibt > > es Dinge die man grundsaetzlich vermeiden soll? Meine erste LDAP-Installation (vor einigen Jahren) habe ich mit einer sehr verzweigten Struktur gemacht und es hat sich in der Praxis gezeigt dass dies mehr Aufwand als nutzen gebracht hat. Ich lege noch gerne ou=contacts,dc=organisation,dc=de an worin ich das globale Adressbuch speichere wobei ich ueber ACLs (bzw. LDAP-Gruppen) definieren kann wer darauf lesen und schreiben darf. Dann lege ich auch meistens noch ou=roaming,dc=organisation,dc=de an. Die Idee ist von Netscape. Hierin kann jeder Benutzer, sofern eine ou=$USER vorhanden ist, eigene Daten rein schreiben. z.B ein persoenliches Adressbuch. Bei solchen Sachen ist zu beachten dass man korrekte ACLs (slapd.conf) verwendet und nicht ploetzlich ein normaler Benutzer neue Benutzer anlegen kann. Im Prinzip kann man eine Baumstruktur bei LDAP beliebig anlegen und wird auch nicht wirklich Funktionseinschraenkungen damit bekommen. Dennoch empfehle ich eine sehr flache Struktur zu verwenden (solange man weniger als 100 Eintraege pro Ast hat) und die Baum-Struktur von den Zugriffsrechten ableiten (computers, people, contacts, roaming, ..). Wenn Interesse besteht kann ich auch mal eine (Beispiel-)Konfiguration (slpad.conf und ldif) wie ich sie normalerweise umsetze hier posten. -- Gruss \|/ eMHa (o o) ------------------------------------------------------oOO--U--OOo-- Markus Hochholdinger e-mail mailto:Markus@xxxxxxxxxxxxxxxxx .oooO www http://www.hochholdinger.net ( ) Oooo. ------------------------------------------------------\ (----( )- \_) ) / (_/ -- http://mailman.uugrn.org/mailman/listinfo/uugrn