Gå til innhold

Katalogtjeneste til Slack

Gjest Slettet+432

Av Gjest Slettet+432
i Operativsystemer

Anbefalte innlegg

Gjest Slettet+432

Gjest Slettet+432

Skrevet
Skrevet (endret)

Hei.

 

Setter opp en server for en "kreativ sone".. Et sted der folk kan komme og redigere film osv.

 

Serveren har installert Slackware 11.0. Maskinene som vil være i nettverket er Mac'er (1 PowerMac G5, 1 G4 og 1 G3) og Linux-bokser. Til dette trengte de en server, som jeg altså holder på å sette opp nå. Men vi er på utkikk etter en katalogtjeneste som kan brukes mot Mac, noe ala Open Directory. (ikke tenk på OS X server engang, vi har ikke budsjett til det.) Noen ideer?

 

Vi trenger å kunne lage brukerkontoer som kan brukes på alle maskinene (ikke lokale kontoer), og vi trenger å kunne fikse det slik at hver bruker får montert en ekstern mappe som er deres private hver gang de logger inn (denne er grei, bruker vel bare påloggingsscript). Vi trenger også en felles mappe + andre diverse mapper som skal monteres under pålogging. Disse mappene skal ikke nødvendigvis ligge på samme server som katalogtjenesten kjører på!

 

Altså noe lignende AD, men som kan funke for Mac og Linux. Stabilitet er et veldig viktig kriterie.

 

Så kom gjerne med forslag, jeg tar imot alt med takk! Gjerne en komplett løsning også, guider er ønskelig.

Endret av Slettet+432
Lenke til kommentar

Videoannonse

Videoannonse
Annonse
comicz

comicz

Skrevet
Skrevet

Det er desverre mye strev for å få satt opp OS X mot Samba(PDC)/LDAP... Men det er kanskje lettere nå? Mulig er det vel alltids... Ellers er vel Samba som domenekontroller m/montering av hjemmeområde + fellesområde og autentisering mot LDAP en løsning?

Lenke til kommentar
Gjest Slettet+432

Gjest Slettet+432

Skrevet
Skrevet

Nei absolutt ikke via Samba, det er ingen vits i det. Har ikke kikket på OpenLDAP men jeg har fått for meg at det er ikke noe komplett system.. Stemmer det? Hehe. Katalogene kan vel deles med NFS eller noe sånt, det er jo støttet av både OS X og GNU/Linux?

 

Det stemmer at jeg er ute etter en domenekontroller funksjon ja, men for OS X og GNU/Linux.

 

Takk for forslagene, skal kikke på OpenLDAP når jeg får tid. Fant imidlertid en ting som så interessant ut: http://www.sun.com/software/products/direc...vr_ee/index.xml

 

Kanskje litt overkill, men funker det så er jeg villig til å sette meg inn i Solaris. (stigfjel, du har vel vært borti solaris og kan komme med noen kommentarer?)

Lenke til kommentar
comicz

comicz

Skrevet
Skrevet

Det var strengt tatt derfor jeg nevnte Samba. Domenekontroller = samba. Å autentisere mot LDAP og sette opp et fellesområde basert på NFS/Samba/SSH/FTP wuevva er ikke stress... Noe av stresset ditt ligger forøvrig i at du ikke har et homogent miljø(OS X, Linux, evt andre?). Om det er et rent Linux-miljø kunne montering av fellesområde m/pam_mount ved innlogging være en mulighet. Har selv noe erfaring med dette...(i lag med LDAP).

Samba var et forslag for å gjøre dette komplett. LDAP er bare et autentiseringssystem(i bunn og grunn)...

Lenke til kommentar
kyrsjo

kyrsjo

Skrevet
Skrevet

NFS fungerer ypperlig både på linux og OSX.

 

Så vidt jeg vet er OSX sin directory-server-sak egentlig bare en frontend til openldap, så... Men har selv dårlige erfaringer med OpenLdap (OpenLDAP forårsaker permanent hjerneskade...). Har dog hørt mye bra om "fedora directory service" eller noe sånt - det er egentlig Novel sin sak som RH kjøpte opp. Det skal vist være en komplett løsning.

 

Kan godt være du får pakka i andre distroer enn fedora også, vil tro det.

Lenke til kommentar
Gjest Slettet+432

Gjest Slettet+432

Skrevet
Skrevet
Det var strengt tatt derfor jeg nevnte Samba. Domenekontroller = samba. Å autentisere mot LDAP og sette opp et fellesområde basert på NFS/Samba/SSH/FTP wuevva er ikke stress... Noe av stresset ditt ligger forøvrig i at du ikke har et homogent miljø(OS X, Linux, evt andre?). Om det er et rent Linux-miljø kunne montering av fellesområde m/pam_mount ved innlogging være en mulighet. Har selv noe erfaring med dette...(i lag med LDAP).

Samba var et forslag for å gjøre dette komplett. LDAP er bare et autentiseringssystem(i bunn og grunn)...

7237075[/snapback]

Ja greit nok at du nevnte samba men det blir litt dumt fordi samba trengs ikke når det ikke er windows maskiner i nettverket...

 

Men en jeg kjenner som skal være med på dette snakket om kerberos... Så vi får se hva det blir til.

Lenke til kommentar
JonJ

JonJ

Skrevet
Skrevet
Har dog hørt mye bra om "fedora directory service" eller noe sånt - det er egentlig Novel sin sak som RH kjøpte opp. Det skal vist være en komplett løsning.

 

Red Hat/Fedora Directory Server er Netscapes directory server som Red Hat har kjøpt. Novells løsning heter eDirectory, om jeg ikke husker helt feil. Uansett er Novell teite, fysj.

Lenke til kommentar
comicz

comicz

Skrevet
Skrevet (endret)
Det var strengt tatt derfor jeg nevnte Samba. Domenekontroller = samba. Å autentisere mot LDAP og sette opp et fellesområde basert på NFS/Samba/SSH/FTP wuevva er ikke stress... Noe av stresset ditt ligger forøvrig i at du ikke har et homogent miljø(OS X, Linux, evt andre?). Om det er et rent Linux-miljø kunne montering av fellesområde m/pam_mount ved innlogging være en mulighet. Har selv noe erfaring med dette...(i lag med LDAP).

Samba var et forslag for å gjøre dette komplett. LDAP er bare et autentiseringssystem(i bunn og grunn)...

7237075[/snapback]

Ja greit nok at du nevnte samba men det blir litt dumt fordi samba trengs ikke når det ikke er windows maskiner i nettverket...

 

Men en jeg kjenner som skal være med på dette snakket om kerberos... Så vi får se hva det blir til.

7237626[/snapback]

 

Ja, Samba er unødvendig om du ikke har Windows i nettverket... fikk inntrykk av at det kanskje kunne være det, men om det ikke er det driter du i Samba.

 

Kerberos... Nei. AD bruker kerberos til sikker autentisering, det gjør ikke openLDAP. OpenLDAP bruker SSL/TLS(med mindre du dropper kryptering), så Kerberos har ingen ting her å gjøre.

 

For å være sikker: dette er lokalt? Eller er det via nett? Slik at det egentlig kun er snakk om autentisering for å få montere fellesområde... Uansett løser du dette greit med OpenLDAP + NFS/Samba/SSH.

 

Edit:

Jeg vil fortsatt si at Samba er en mulig løsning for fildeling, dersom det er lokalt. På jobb kjører vi et homogent Linux-miljø, og har gått fra NFS til Samba for montering av fellesområde... Samba er ikke satt opp som domenekontroller. Vi slipper NFS-tull, og Samba yter gjerne bedre "ut av boksen" hva hastigheter angår... I tillegg har vi planer om å legge på et lag(dette finnes) som introduserer mulighet for "Trash", slik at filer som slettes blir "marked for deletion", og vi kan slippe uhell som kan forekomme når alle har skrive-/slettetilgang. Det er selvsagt backup også, men a) man slipper uhell i disse drag-and-drop-dager, og b) backup kjøres kun om natten, ikke kontinuerlig.

 

Eksternt er nok SSH like greit... Montér med sshfs eller Gnome-VFS(eller liknende under KDE).

Endret av comicz
Lenke til kommentar
Gjest Slettet+432

Gjest Slettet+432

Skrevet
Skrevet (endret)

Ok takk for infoen! Dette er seff lokalt, for å kunne logge inn på maskiner (veldig klart her at en må ha brukerkonto for å logge inn), og legge til en privat mappe som kun den innloggede brukeren har tilgang til (+ root seff) og en fellesmappe.

 

Men det kunne jo vært greit å ha tilgang over nett for oss admins også, men da sjekker vi heller med noe VPN greier..

 

Edit: Fedora DS er grafisk,og det er vi skeptisk til.

Endret av Slettet+432
Lenke til kommentar
kyrsjo

kyrsjo

Skrevet
Skrevet
Har dog hørt mye bra om "fedora directory service" eller noe sånt - det er egentlig Novel sin sak som RH kjøpte opp. Det skal vist være en komplett løsning.

 

Red Hat/Fedora Directory Server er Netscapes directory server som Red Hat har kjøpt. Novells løsning heter eDirectory, om jeg ikke husker helt feil. Uansett er Novell teite, fysj.

7237948[/snapback]

 

Eh. Feil selskap på N. Hadde glemt stor bokstav, og så skreiv jeg om hele navnet...

 

Grafisk: Ja de har et grafisk admin-grensesnitt. Bruk det om du føler for det, eller bruk CLI-grensesnittet om du føler for det. Advarer dog mot OpenLDAP...

Lenke til kommentar
Gjest Slettet+432

Gjest Slettet+432

Skrevet
Skrevet (endret)
Har dog hørt mye bra om "fedora directory service" eller noe sånt - det er egentlig Novel sin sak som RH kjøpte opp. Det skal vist være en komplett løsning.

 

Red Hat/Fedora Directory Server er Netscapes directory server som Red Hat har kjøpt. Novells løsning heter eDirectory, om jeg ikke husker helt feil. Uansett er Novell teite, fysj.

7237948[/snapback]

 

Eh. Feil selskap på N. Hadde glemt stor bokstav, og så skreiv jeg om hele navnet...

 

Grafisk: Ja de har et grafisk admin-grensesnitt. Bruk det om du føler for det, eller bruk CLI-grensesnittet om du føler for det. Advarer dog mot OpenLDAP...

7238671[/snapback]

Å.. så det går an å bruke terminal ja. Det trekker opp. men bør kunne installere det på Slack

Endret av Slettet+432
Lenke til kommentar
comicz

comicz

Skrevet
Skrevet

Jeg tror du legger lista litt høyere enn det som er virkeligheten, kyrsjo, men du har kanskje ikke satt deg ordentlig inn i LDAP selv? ;-p

Kyrsjo har dog et godt poeng, det er ikke bare bare å gi seg i kast med LDAP, men tar du i bruk litt hjelpemidler som f.eks. webgrensesnitt for administrering og slikt er det vel ikke så vanskelig? Å sette opp OpenLDAP fra bunnen av kan nok være litt pes om du ikke kjenner til det i det hele tatt... Skolelinux fikser vel forresten "alt" selv, så det kunne jo vært en mulighet det og, dersom du skal lette ditt eget arbeid.

Lenke til kommentar
Torbjørn

Torbjørn

Skrevet
Skrevet

Alle som roper ut "NFS" tar alt for lett på dette spørsmålet.

 

NFS er trust via network - det har man sjelden!

 

Hva hindrer din skøyer av en kamerat å ta din ipadresse, gi seg selv din uid på sitt system, og montere din katalog?

 

Du kan si at du stoler på ham, men bør du ikke likevel hvertfall vurdere hvilke andre alternativer som finns?

 

 

Hvertfall linux kan du enkelt sette opp til å autentisere mot en ldap server. Det følger med "migration tools" med open ldap på de fleste linux distribusjoner.

Lenke til kommentar
kyrsjo

kyrsjo

Skrevet
Skrevet
Jeg tror du legger lista litt høyere enn det som er virkeligheten, kyrsjo, men du har kanskje ikke satt deg ordentlig inn i LDAP selv? ;-p

Kyrsjo har dog et godt poeng, det er ikke bare bare å gi seg i kast med LDAP, men tar du i bruk litt hjelpemidler som f.eks. webgrensesnitt for administrering og slikt er det vel ikke så vanskelig? Å sette opp OpenLDAP fra bunnen av kan nok være litt pes om du ikke kjenner til det i det hele tatt... Skolelinux fikser vel forresten "alt" selv, så det kunne jo vært en mulighet det og, dersom du skal lette ditt eget arbeid.

7241331[/snapback]

 

Jeg har satt opp en LDAP-server fra bunnen av med OpenLDAP. Nettop derfor vil jeg på det aller sterkeste ikke annbefale dette, det var snakk om en helt enkel autentiserings-sak.

 

Skolelinux fikser desverre litt for mye på egenhånd, og med mindre du skal bruke like mye tid på å strippe serverinstallasjonen deres som du ville brukt på å sette opp en LDAP-server på egenhånd, så må den i praksis isoleres bak en egen ruter... Den krever å få ting i nettet på *sin* måte.

 

Alle som roper ut "NFS" tar alt for lett på dette spørsmålet.

 

NFS er trust via network - det har man sjelden!

 

Hva hindrer din skøyer av en kamerat å ta din ipadresse, gi seg selv din uid på sitt system, og montere din katalog?

 

Du kan si at du stoler på ham, men bør du ikke likevel hvertfall vurdere hvilke andre alternativer som finns?

 

 

Hvertfall linux kan du enkelt sette opp til å autentisere mot en ldap server. Det følger med "migration tools" med open ldap på de fleste linux distribusjoner.

7241784[/snapback]

 

NFS er helt greit. Det er raskt og enkelt og lett å sette opp. Og ja, sikkerheten er så godt som ikke-eksisterende. Forøvrig er det andre ting som har en tendens til å "skjære seg" med to maskiner med samme IP på ett nett... Men slik som jeg forstod det så kom det til å være et "lukket" rom med en switch og et par mac'er/linuxmaskiner, og en server som bare er kopla opp mot disse. Am i rigth?

 

Forøvrig så går det vel å blokke på andre ting enn ip, om ikke i nfs direkte - bare slippe til maskiner med riktig mac-adresse eller noe?

 

Og ja, LDAP-klienter er pice of cake. Tok meg sånn ca. 1 minutt å finne ut hva som skulle tastes inn i de boksene (servernavn og base-ou eller noe) når serveren først var oppe og gikk. Det er serveren som er helvete...

Lenke til kommentar
DJViking

DJViking

Skrevet
Skrevet
Advarer dog mot OpenLDAP...

7238671[/snapback]

 

Hvorfor? Utdyp det litt mer. Hvorfor advarer du mot OpenLDAP?

Er det dårlig

Er det lite sikkert

Er det ustabilt

Er det uhyre vanskelig

Mangler det noe....

 

Hvis du bruker et så sterkt ord som "advarer" bør du nok utdype det litt mer.

Lenke til kommentar
kyrsjo

kyrsjo

Skrevet
Skrevet

Dårlig? Sikkert ikke. Er så godt som du gjør det til. Har vel relativt pinglete støtte for replication da, men det er vel uansett neppe aktuellt her

 

Ustabilt? Ja, vi hadde store problemer med det dyret. Nå skyldes det sannsynligvis mine manglende interesser for LDAP, men likevel... Kan nevne at vi kjørte det på debian (woody og seinere sarge)

 

Uhyre vanskelig? Jeg hadde i allefall store problemer med å forstå grunnprinsippet - ikke fordi det egentlig var vanskelig, men fordi det var elendig dokumentert.

 

Migration tools er greit nok det, men det er veldig langt fra rett fram. Problemet ligger vel i at OpenLDAP i seg selv er svært generell - og du må vite hvilke sjemaer som gjør hva, hvor du skal putte ting, hvordan du skal sette opp backend-databasen etc. Forøvrig så er PHPLdapadmin (eller noe sånt) en fin ting.

Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
Gå til emneliste

  • Hvem er aktive   0 medlemmer

    • Ingen innloggede medlemmer aktive
×
×
  • Opprett ny...