FAQ:Arktur4/LDAPSichtU

Aus Delixs
Zur Navigation springen Zur Suche springen


Baustelle Archiv: Dieser Artikel beschreibt nicht die Funktionalität des derzeit aktuellen delixs-Servers. Er beschreibt ältere Schulserver-Funktionen und dient dem Zweck der Archivierung.


LDAP aus Benutzersicht

Frage:

Ich möchte eigentlich nur wissen, was mir LDAP für Vorteile bringt, ohne daß ich erst 500 Seiten Doku lesen muß.


Antwort:

LDAP ist nicht nur das Protokoll zum Austausch von Informationen, sondern es wird auch vorgegeben, wie man auf diese Informationen zugreifen kann. anders ausgedrückt: es wird die interne Struktur praktisch impliziert (als Baum) ohne diese direkt vorzugeben.

In dieser (Baum-)Struktur können *alle* Informationen, die sonst über alle möglichen Dateien verteilt abgelegt wurden an einer zentralen Stelle genauso wie in der Registry abgelegt und damit auch verwaltet werden. Ein Vorteil ist (wie in den Bäumen üblich) der deutlich schnellere Zugriff auf einzelne Einträge. eine shadow von 20000 Einträgen zu durchsuchen dauert möglicherweise zu lange, bei 20000 Einträgen im LDAP ist das kein zeitliches Problem.

Weiter: in einem Baum können recht unproblematisch neue Informationen eingetragen werden. jedes neu installierte Windowsprogramm kann und soll seine Informationen eintragen. Es gibt (fast) keine Vorgaben und die anderen Einträge werden davon nicht betroffen. Auf den LDAP bezogen ist das genauso: die Baumstruktur ist keineswegs vorgegeben, sondern das liegt in der Hand der Entwickler der Distribution. Für uns wichtig ist, dass diese Datenbank um "beliebige" Einträge erweitert werden kann, ganz im Gegensatz zu dem starren Schema von passwd & Co.

Das bedeutet, es können eben viel filigraner die Rechte vergeben und im LDAP gespeichert werden, an das im passwd/shadow-System nie zu denken war. Konkret: So um 2002 wurde in der SN-Liste über die Probleme bei der Nutzung von E-Mail in Schulnetzen diskutiert. Zumindest waren einige der Ansicht, dass es sinnvoll sein könnte, wenn man eben jeden Schüler erst dann die Nutzung dieses Dienstes freischaltet, wenn er ein bestimmtes Alter hat oder erst, wenn die Erlaubnis der Eltern vorliegt.

Mit LDAP gibt es kein Problem, solche Rechte zu hinterlegen, nicht nur für E-mail, sondern für jedes Programm, für jeden Dienst...

Das bedeutet, LDAP hat das Zeug dazu, auch zukünftigen Anforderungen gerecht zu werden. Damit ist nicht gesagt, dass man diese Möglichkeiten jetzt schon nutzt - aber mit passwd/shadow hat man nichtmal die Chance.

Mit LDAP gibt es die Grundlagen für die Verwendung und Verwaltung des gleichen Passwortes für alle Dienste und bietet zukünftig die Grundlage für die einmalige Anmeldung am Kerberos und der Kerberos-Server übernimmt dann die Anmeldung der Dienste. Die Rechte holt der aus dem LDAP (wie oben beschrieben). Das ist dann echtes "single sign on", wie es derzeit nur in prioritären Umgebungen (Komplettlösungen) für viel Geld zu haben ist.

ein weiterer Vergleich mit der (windows-)Registry. dort gibt es natürlich die vorgegebenen Pfade, aber wo sich das Programm einträgt ist letztlich die Sache des Programms, ebenso wie es diese Daten einträgt. Das ist beim LDAP nicht so. Dort baut man den Baum aus "Komponenten" auf. Es gibt also definierte Schematas - diese sind also standardisiert - und mit Hilfe dieser "Schematas" wird der Baum zusammengebaut. Das hat für dich/uns z.B. folgende Bedeutung. Wenn die Adressen der User in einem LDAP vorgehalten werden, dann kann jedes Programm darauf zugreifen, denn es wird ja für diese Adressen ein Standard-Schema verwendet. Schau dir doch einfach mal Thunderbird an. du gehst dort auf Adressbuch > Extras > Einstellungen > Verfassen > Adress-Autovervollständigung. Damit wird dir klar, dass du normalerweise jeden x-beliebigen LDAP-Server nutzen kannst, sofern der eben die Adressen hat und du die Leserechte hast. Klar, wenn es um die Daten für Windows(98)-Rechner geht gibt es eben auch ein standardisiertes Schemata und genau deswegen lassen sich auch diese Daten problemlos von einem LDAP auf einen anderen LDAP-Server übertragen, egal ob der von SuSE, MS oder eben auf Arktur ist.

Aber es kommt noch besser: es könnte ja sein, dass eben doch ein Feld fehlt. Dann können neue Schemata abgeleitet werden, heißt: es gibt dort auch die Möglichkeit der Vererbung. Aber selbst dann ist der Datenaustausch möglich, denn dann werden eben nur die Daten übernommen, die übernommen werden können (eben der Standard).

Für mich ist es so: ich weiss, dass etliche der aktuellen Probleme mit passwd/shadow im normalen Schulnetz nicht umgesetzt werden können. Mit LDAP ist das Potential da. Es muss einfach der Standard werden.

Ich habe als Admin noch nie an der shadow selbst manipulieren müssen, warum soll ich das bei LDAP tun müssen? Aber ich will doch ein System, was auch in Zukunft den Anforderungen gerecht werden kann.

Wenn der LDAP-Baum richtig aufgebaut ist, dann wird das in zweierlei Hinsicht "korrigiert": erstens sollten alle Informationen in diesen Baum, sofern man es mit zentraler Datenhaltung ernst meint und zweitens ist wegen der Verwendung standardisierter Schemata eben der Austausch dieser Informationen auch über verschiedene LDAP-Server möglich.

Schon diese letzte Frage sollte dich zu einem glühenden Verfechter von LDAP werden lassen. (meine persönliche Meinung)

Vergleich LDAP - Telefonbuch

Ich will das mal so verdeutlichen: Ein LDAP ist ein Verzeichnisdienst.

Ein bekanntes Verzeichnis ist das Telefonbuch. Du kannst in diesem Telefonbuch sehr schnell eine Telefonnummer finden. Aber du wirst nicht so ohne weiteres und schon gar nicht sehr schnell eine neue Nummer in das Telefonbuch bekommen oder einen Eintrag löschen können (alle halbe Jahre?)

Anders ausgedrückt: Ein Telefonbuch ist ein *Verzeichnis*, das heißt es ist leseoptimiert, aber nicht schreiboptimiert.

Ein LDAP ist ebenfalls ein Verzeichnis, welches leseoptimiert ist. Schreib (und Löschzugriff) sind deutlich langsamer und viel aufwendiger. (ist ja auch logisch: in einem Baum ein Element zu finden ist trivial. Aber versuche mal ein Element einzufügen, was kein Blatt ist oder ein Element zu löschen.)

Bedeutet: Es kommen nur Daten in den LDAP, die gelesen werden. Das sind z.B. feste IPs. Da kann man auch gleich noch andere Informationen dazu ablegen z.B. den Raum. Feste IPs werden sich nicht laufend ändern, also werden diese "nur" gelesen.

-- aus einer Mail von HDK.

Anm. d. Red.:

Unter LDAP im Administratorhandbuch finden Sie eine Kurzanleitung.



zurück | Hauptseite