Re: NIS-Acounts

Moin.

On Wed, Sep 07, 2005 at 11:54:04PM +0200, Bernd Walter wrote:
> > NIS und LDAP dagegen sind u.a. zur Benutzerverwaltung gedacht und
> > entsprechend dokumentiert. Bevor man also anfängt, irgendeinen
> > DNS-Server zu mißhandeln, hat man längst eine eigene NIS-Map
> > implementiert oder einen LDAP-Server aufgesetzt.
>
> Ich kann nur hoffen, dass LDAP lediglich eine Modeerscheinung ist.
> Bedarf danach gab es jedenfalls nicht wirklich, nur gute Marketing-
> leute und schon gibt es noch ein Protokoll.

Ich will nicht bestreiten, daß das auch wegender Existenz von LDAP
passiert sein könnte, aber das NIS unter durchaus seine Schwächen und
Grenzen - vielleicht rede ich natürlich auch einfach von einem
Spezialfall vor dem ich stand und habe daher nicht unbedingt
repräsentative Erfahrungen.

Ich habe eine Migration einer Umgebung aus einer homogenen Sun-Umgebung
(Solaris 2.6, nicht unbedingt das neuste) mit NIS+ auf eine nun homogene
FreeBSD-Umgebung hinter mir ("homogen" bezieht sich hier zumindest auf
den Bereich, wo die gemeinsame Verwaltungsstruktur gebraucht wird). Die
Anzahl der Accounts liegt bei der etwa 80.000, das ist für das, was
dienaufgebaute Infrastruktur verkraftet noch ein übersichtlicher
Bereich.

Wir haben im LDAP System-Accounts und teilweise userspezifische
Informationen für einzelne Dienste (ob ein User IMAP nutzen darf oder
POP, ob der Spam/Virenfilter aktiviert ist, bei welchem SpamAssassin
Score die Mail eines Users als Spam markiert wird, nach wievielen Tagen
Mails expiren, ob der User einen CGI-Bereich hat und und und). Es ist
sicherlich keinerlei Problem, all diese Informationen in NIS über eigene
Maps abzubilden - allerdings müssen die verschiedenen Anwendungen diese
Informationen auch wieder lesen. Und hier heißt, wenn man eine große
Menge an freier Software zugrunde legt, der gemeinsame Nenner entweder
LDAP oder MySQL. Dies sind die beiden Protokolle, die für das System, in
diversen MTAs, in diversen POP und IMAP Servern bis hin zu Webservern
fertig implementiert sind (in verschiedener Qualität). Die folgende
Aussage mag jetzt Subjektiv sein und sich auf vielleicht veraltete
Erfahrungen beziehen - das gebe ich unumwunden zu - aber wenn ich die
Wahl habe zwischen:

  - ich patche diverse Software, damit sie per-user Configs aus dem
    System (sprich NIS) zieht

  - ich habe eine Mehrfachhaltung von Daten

  - ich nutze MySQL für Auth und Config

  - ich nutze LDAP für Auth und Config

Dann fiel mir es mir nicht schwer, mich für LDAP zu entscheiden.
Mit Replikation und Failover unter LDAP sind keine gravierenden Probleme
zu verzeichnen in unserem Setup, es ist flexibel genug, um die von uns
benötigten Daten zu halten und schnell zur Verfügung zur stellen
(Schreibgeschwindigkeit ist ja in solch einem Setup nur ein
untergeordnetes Problem).

Ich bin der letzte, der aus Glaubensfragen jetzt LDAP und keine Dinge
daneben verfechten würde. Aber in der derzeitigen Softwarelandschaft ist
LDAP zumindest eine passable Möglichkeit.

Wenn es einzig darum geht, ein Authentifizierung am System durchzuführen
und keine anderen Dienste mit angebunden werden müssen, dann mag die
Entscheidung allerdings durchaus anders aussehen.

- Olli

PS: Aber resolven tu ich über DNS und meine primären Nameserver benutzen
    gute alte Files :-)

-- 
| Oliver Brandmueller | Offenbacher Str. 1  | Germany       D-14197 Berlin |
| Fon +49-172-3130856 | Fax +49-172-3145027 | WWW:   http://the.addict.de/ |
|               Ich bin das Internet. Sowahr ich Gott helfe.               |
| Eine gewerbliche Nutzung aller enthaltenen Adressen ist nicht gestattet! |
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message