Um einen LDAP Server für sein eigenes Netzwerk einzurichten gibt es zwei Möglichkeiten.

Die eine Möglichkeit besteht über die  Commando-Zeile und Verbindung mit einer Textdatei.

Der andere Weg ist nicht nur die sichere  sondern auch in die bequemere Methode.

Dafür gibt es Anwendungen mit einer GUI.

Die folgenden Tools habe ich selber getestet ( phpLDAPadmin, JXplorer, ApacheDirectory-Studio) und für mich persönlich war das Tool 'ApacheDirectory-Studio' von der Bedienung das Durchdachteste. 

Warum openLDAP bzw. LDAP?

LDAP steht für "Lightweight Directory Access Protocol". Es ist ist eine Protokollart für den Zurgriff auf einen Verzeichnisdienst!

Verzeichnisdienste gibt es leider zur Zeit einen Wildwuchs, dem der Administrator Herr werden muß. Dem Anwender ist heute eigentlich nicht recht klar, woher die Informationen, die er tagtäglich verwendet, eigentlich stammen: DNS, NIS, SAMBA, ADS, DS ... .

In diesen Verzeichnissen liegen oft die Informationen redundant vor und erschweren daher die Pflege des Datenbestandes.

( Die Internet-Suchmaschinen verfolgen einen ähnlichen Ansatz ...)

Ziel von LDAP ist es eigentlich einen einzigen/einzigartigen  Zugriffsmechanismus auf all diese Dienste zu schaffen. Leider sind wir davon noch weit entfernt. Die Idee ist sehr gut, aber ob die Realisierung auf dem besten Weg ist, das muß sich erst noch mit der Zeit zeigen.

Leider ist noch vieles nicht richtig und einheitlich geklärt, siehe ADS(Microsoft) contra OpenLDAP (Unix,Linux).

Ich will hier einmal zusammentragen wie der Stand der Dinge sich einem darstellt und auf Basis dieses Konglomerat ein Beispiel für eine Installtion und Wirkung eines zentralen Verzeichnisdienstes vorführen.

Packend wir es mal an ...

                                                                  DNS-Server [1.1] [1.2.1] [1.2.2] [1.2.3]

Das Domain Name System = DNS heutzutage ein wichtiger Dienst im TCP/IP basierendem Netzwerk. Es ist quasi wie ein weltweit umfassendes "Register" in dem nach Namen im Netzwerk gesucht werden kann und die entsprechende Registernummer (IP) für einen Verbindungsaufbau zu finden. Bei dem Netzwerk kann es sich um das WWW Netz handeln oder einfach um ein Hausinternes-Netzwerk. Ziel ist es, mit dem entsprechenden Ansprechpartner nicht über seine IP-Adresse sondern einfach über seinen Namen eine Kommunikation aufbauen zu können. 

(ganz grobe Verallgemeinerung!)

ACL (Access Control List)

Die Kapitel "Zugriffsrechte & Users [1.1] [1.2] [1.3]" machen die Schwächen der Standard-Rechtevergabe in Linux deutlich.

Die in den Kapiteln 1.1 bis 1.3 angesprochene Rechtevergabe bezieht sich nur auf den gerade lokalen Rechner Z und die dort freigegeben Verzeichnisse (Shares). Soll aber ein Mitarbeiter X mit seinem Arbeitsplatzrechner Y auf diese Shares zugreifen funktioniert leider das ganze Konstrukt der Rechtevergabe nicht so einfach, denn die User und Gruppenrechte kennt ja nur der Rechner Z mit den freigegebenen Verzeichnisses nicht aber der Rechner Y.

Hier schlägt die Stunde von übergeordneten Konstruktionen, die die User und Gruppen fast "weltweit" verwalten können. Hier hat Microsoft im Augenblick mit seiner Konstruktion des ADS (Active Directory Service) die Nase vor, dank seiner zentralisierten System-Entwicklung.

Teil 3

Nachdem man sich durch die Rechte der Benutzer (User) gekämpft hat, fehlt eigentlich nur noch die Rechte für die Gruppe.

In einem Mehrbenutzersystem vergibt man eigentlich keine Recht auf Dateien an einen bestimmten User, außer der Ersteller oder Owner oder Besitzer eine Datei.

Es sollten ich der Verwaltung der Rechtevergabe eigentlich nur noch von Gruppen die Rede sein. Deshalb hat die sekundäre Gruppe eines Users  den Usernamen (Anmeldenamen) des Hauptbenutzers im OS Debian/GNU erhalten ( siehe Teil 2).

Teil 2                                                                                                                       Teil 1|Teil 3

Dem Thema  'Verzeichnis-Rechte' wurden im Teil 1 relativ viel Aufmerksamkeit geschenkt.

Warum das Ganze?

Auf einem Einzelplatz-System, was nun mal der Arbeitsplatz-PC ist, ist die Rechtevergabe  im Home-Verzeichnis, wenn man keine Freigaben (Shares) einrichten will, nicht von so entscheidender Bedeutung. Auf einem Server ( z.B.: Zentyal oder NAS-Gerät), der naturgemäß auf die Benutzung mehrere Benutzer ausgerichtet ist,  ist die Rechtevergabe von immens großer Bedeutung. Die oberste Instanz ist nun mal ein Verzeichnis namens 'Root' oder das Wurzelverzeichnis. Darunter kommen Unterverzeichnisse und Dateien.

Dateien können entweder ASCII- (Text-) oder Binär-Dateien(Programm-) sein.

Deshalb muss unbedingt vor allen anderen Tätigkeiten ein Planung der Rechte für Verzeichnisse, Gruppen und User erstellt werden.

In einem späteren Teil gehe ich noch auf ACL (Access Control List) ein, wo das Thematik des Verzeichnis wiedermal eine bedeutende Rolle spielen wird. Aber immer eins nach dem anderen... .