Godfather_d

Der Server auf dem ich anmelde ist auch der LDAP-Server, dort laufen die ganzen Dienste. Möchte ich dann Daten aus dem LDAP Verzeichnis aufrufen bzw. auslesen, geht es dann lokal über die Loopback-Adresse + Port -> 127.0.0.1:389. Anders ist wenn ein Client den Anspruch des LDAP-Servers in Anspruch nehmen möchte (LDAP-Dienst). Dort geschieht folgendes: Der User öffnet Bsp.: Phpmyadmin (Adminkonsole) gibt dort IP + Port des LDAP-Server ein. Was ist geschehen? Das Programm Phpmyadmin übergibt an den entsprechenden Dienst der auf den PC läuft. Dieser Dienst ist die Schnittstelle zwischen OS und der Anwendungsschicht. Die Daten (Befehle) werden dann an LDAP als Kommunikationsprotokoll übergeben. Damit dann auch eine Session (Sitzungsschicht) zwischen Client und LDAP-Server aufgebaut wird, wird erstmal eine Verbindung benötigt. Über TCP/IP (Transportschicht) wird diese Verbindung zwischen Client und LDAP-Server aufgebaut. Diese Daten werden über TCP/IP in Segmente zerteilt. In jedes Segment wird ein Header (PDU) ran gehangen. Dort steht vom Absender (Client) der Port in dem Fall ein dynamischer Port und der Port vom Ziel (LDAP-Server) in dem Fall 389. Die Verbindung (immer noch die Transportschicht) wird dann vom Client über ein Drei-Wege-Handshake (auch three-way handshake verfahren genannt) über ein Syn-Flag versucht aufzubauen. Ein erfolgreiche Bestätigung zum versuch eines Verbindungsaufbaus wird von Seitens des LDAP-Servers mit einem ACK-Flag bestätigt. Bei Verbindungsschluss sendet Client oder LDAP-Server ein Fin-Flag, dieser muss dann auch über ein ACK-Flag bestätigt werden. Als nächstes werden die Segmente zur Netzwerkschicht gesendet, wo sie in Paketen geteilt werden. Dort wird ein Header (PDU) ran gehangen. Dieser beinhaltet die Absender-IP-Adresse (Client) und die Ziel-IP-Adresse (LDAP-Server). Es werden dort noch mehr Informationen ran gehangen, aber das würde hier den Rahmen sprengen. Die Pakete werden dann an die Sicherungsschicht übergeben, wo sie nochmal in Frames unterteilt werden. Danach geht es zur Bitübertragungsschicht (in den meisten Fällen mittels Ethernet), wo sie mittels einer physikalischen Verbindung (Kabel: Cat 5, LWL, W-Lan, GPRS/UMTS) übertragen werden. und so weiter... Damit des Clients Homeverzeichnis exportiert werden kann, muss sich doch der Client erstmal authentifizieren mittels seines Public-Keys? Ansonsten melde ich mich (hacker) an als User xyz an und bekomme das Homeverzeichnis exportiert wo der Public-Key von User xyz ist. Ich glaube wir kommen hier zu nichts. :schlaf: Ich setze mich dann mal mit meinem Ausbilder am Montag zusammen. Trotzdem danke!

Wenn ich mich über SSH auf dem Server anmelde und mich von dort aus anmelde, wird ja die Verbindung auch getunnelt, somit wird SSL überflüssig? Ich weiß halt nicht, ob es es prinzipiell möglich ist LDAP in der DB so einzustellen, dass er anstatt das Kennwort der User überprüft, den Public Key des Users überprüft. Damit meine ich den Public Key in der LDAP DB zu hinterlassen. Wenn das nicht gehen sollte scheint da Kerberos eine Lösung zu sein. Es geht mir prinzipiell ums einloggen ohne Kennwort.

Laut Wiki: Kerberos bietet sichere und einheitliche Authentifizierung in einem ungesicherten TCP/IP-Netzwerk auf sicheren Hostrechnern. Die Authentifizierung übernimmt eine vertrauenswürdige dritte Partei (auch als Trusted Third Party bezeichnet). Diese dritte Partei ist ein besonders geschützter Kerberos-5-Netzwerkdienst. Kerberos unterstützt Single Sign-on, das heißt, ein Benutzer muss sich nur noch einmal anmelden, dann kann er alle Netzwerkdienste nutzen, ohne ein weiteres Mal ein Passwort eingeben zu müssen. Kerberos übernimmt die weitere Authentifizierung. " target="_blank"> Kerberos bietet sichere und einheitliche Authentifizierung in einem ungesicherten TCP/IP-Netzwerk auf sicheren Hostrechnern. Die Authentifizierung übernimmt eine vertrauenswürdige dritte Partei (auch als Trusted Third Party bezeichnet). Diese dritte Partei ist ein besonders geschützter Kerberos-5-Netzwerkdienst. Kerberos unterstützt Single Sign-on, das heißt, ein Benutzer muss sich nur noch einmal anmelden, dann kann er alle Netzwerkdienste nutzen, ohne ein weiteres Mal ein Passwort eingeben zu müssen. Kerberos übernimmt die weitere Authentifizierung. Das Verzeichnis wird auf dem Client der sich anmeldet exportiert. Ich möchte mich mit dem Befehl: ssh client@ldapserver authentifizieren (Verbindung ist verschlüsselt). Die Authentifizierung soll über den Public Key hergestellt werden ohne jegliche Kennworteingabe. URL://ldaps wie du mir vorgeschlagen hast, geht ja über SSL und nicht über SSH. Um URL://ldaps zu bewerkstelligen benötige ich eine Bestätigung meines Keys von einer Zertifizierungsstelle. Edit: Ich habe hier was gefunden, vielleicht klappt es (kann es erst am Montag probieren):

Super, nun kann ich mich über Putty ohne Kennworteingabe verbinden. Diesen Effekt möchte ich auch bei der Authentifizierung mit LDAP hinbekommen. Klappt es dann mit Kerberos oder NFS? Wie sieht es mit Kerberos aus? Diese dritte Partei ist ein besonders geschützter Kerberos-5-Netzwerkdienst. Kerberos unterstützt Single Sign-on, das heißt, ein Benutzer muss sich nur noch einmal anmelden, dann kann er alle Netzwerkdienste nutzen, ohne ein weiteres Mal ein Passwort eingeben zu müssen. Kerberos übernimmt die weitere Authentifizierung. " target="_blank"> Diese dritte Partei ist ein besonders geschützter Kerberos-5-Netzwerkdienst. Kerberos unterstützt Single Sign-on, das heißt, ein Benutzer muss sich nur noch einmal anmelden, dann kann er alle Netzwerkdienste nutzen, ohne ein weiteres Mal ein Passwort eingeben zu müssen. Kerberos übernimmt die weitere Authentifizierung. Dies User laden nun im Homeverzeichnis. Putty verbindet sich ja nun über SSH. Oder soll ich das ganze jetzt nun mit SSL machen?

Danke! Bei der Menge wäre es natürlich sinnlos. In meinem Fall sind es max. 30 Linux-Recher. Stimmt schon, deswegen Frage ich hier nach. Vielleicht kannst du mir Tipps geben wo ich das nachlesen könnte? P.S. Im mom. habe ich wie gesagt OpenLDAP am laufen. Die User + Passwort kann ich in die LDAP-Datenbank eintragen. Die Passwörter werden mit SHA-1 verschlüsselt. Das Homeverzeichnis wird in der Shell "/bin/bash/" angelegt. Bsp.: LDAP-Server IP: 192.168.9.5 Client IP: 192.168.9.6 Wenn der Client sich mit dem Befehl: ssh client@192.168.9.5 verbindet, muss er die Zertifizierung überspringen und dann sein angelegtes Kennwort eingeben. Nach erfolgreichen einloggen landet der Client in /home/client/. Im Moment ist es so, dass das Passwort zwar verschlüsselt ist, aber das Hash-Kennwort unverschlüsselt durchs Netzwerk übertragen wird.

Naja ich dachte, dass das System auf die LDAP Datenbank zugreift und überprüft, ob es der Public Key ist. Bsp.: ssh-rsa = FHFKKIDK32342kdfi3 == FHFKKIDK32342kdfi3. Jeder Client hat seinen Public Key lokal auf seiner Festplatte. Ich soll als Projekt erstmal die SSH-Verbindung aufbauen. Ansonsten wurde mir gesagt, dass es keinen Sinn macht, wenn ich alles super aufbaue ohne Verschlüsselung.

Und wie bekomme ich das hin? Man kann ja so einiges in der slapd.conf einstellen wie z.B.: SSL/TLS? Hat das was mit der Authentifizierung zu tun? Wo sage ich OpenLDAP, dass er bei Verbindungsversuch durch seitens des Clients überprüft, ob der Public Key stimmt?

Hi, welche Authentifizierung würdest du mir empfehlen? Möchte es so handhaben, dass die User sich mit ihrem Public Key Authentifizieren.

OK, nun sitzt es. Vielen Dank für deine mühe, aber es hat sich gelohnt. Nochmals Danke! Grüße Godfather_d

Danke für deine Antwort. Das mit dem ausrechnen des Subnetzes hat bei dir glaube ich per Zufall geklappt. Noch eine Aufgabe: Given address/prefix of 135.24.55.67 /22 Network: 135.24.52.0 Broadcast: 135.24.55.255 First Usable Host Address: 135.24.52.1 Last Usable Host Address: 135.24.55.1 Wie kommt man hier auf die Subnetzmaske bzw. das dritte Octet.

Hallo Leute, erstmal sry, wenn ich in den falschen Bereich poste. So nun zu meiner Frage: Wir behandeln im Moment Subnetze. Nun verstehe ich nicht wie man auf das 3 Octet im Beispiel kommt. Hier die Aufgabe: Given: adress/prefix of 169.121.207.178 /19 Network: 169.121.192.0 Broadcast: 169.121.223.255 Fist Usable Host Adress: 169.121.192.1 Last Usable Host Adress: 169.121.223.1 Wenn mir jemand das vorrechnen könnte, wäre ich sehr froh. Danke im Voraus!

So die Präsentation habe ich hinter mir. Der Vergleich hat hin gehauen. Habe heute schon sogar den LDAP-Server aufgesetzt. :cool: Nun muss noch ein Radius-Server oder was anderes aufsetzen, damit ich die Authentifizierung hin bekomme. :floet: Danke für die Hilfe.

@ flashpixx: OK erstmal verstanden. Anhand der UIDs bzw GIDs kann dann LDAP die Berechtigung für den User managen. Die Kriterien: Das Problem: Gewachsene Strukturen Anwendungen müssen heute oft nicht nur auf Ressourcen im eigenen Local Area Network (LAN) oder im Intranet einer Institution zugreifen, sondern auch auf Ressourcen irgendwo im weiteren Universitätsnetzwerk, bei Projektpartnern oder im Internet. Das wilde Wachstum der letzten Jahre hat dazu geführt, dass es in den meisten Netzen verschiedene, spezialisierte Verzeichnisse mit teilweise redundanten Informationen gibt, die oft nur schwer gemeinsam genutzt werden können. Irgendwann ist ein Irrgarten aus Import- und Exportskripten entstanden, der praktisch nicht mehr wartbar ist. Gleichzeitig wächst der Wunsch nach zentraler Datenhaltung für neue Applikationen, die man andererseits vor nicht autorisiertem Zugriff schützen will. Die Lösung: Verzeichnisdienste Quelle Diese Seite beschreibt das Problem das ich lösen möchte mit eine Verzeichnisdienst.

So fangen wir mal ganz weit von vorne an. Für was dient dann das LDAP-System? Ist es nur eine Datenbank? Gibt es für die ACL wiederum extra Programme? Für welches LDAP-System soll ich mich dann entscheiden um am besten die Planung oben zu realisieren zu können?

Das müsste ich noch klären. Was ich aber 100% sagen kann, es soll eine Verwaltung werden, wie man es von AD kennt. Es sollen ungefähr 40 Linux Benutzer verwalten werden können, also sprich Benutzerauthentifizierung, Rechtevergabe (auf bestimmte Verzeichnisse, Kontingente, max. Speicherplatz zuweisung auf bestimmte Netzlaufwerke), Benutzerinformationen Verwaltung (Raum, Vor- und Nachname, Abteilung).

Laut Wiki: Bekannte Verzeichnisdienste Bekannte Verzeichnisdienste, heute praktisch alle auf dem LDAP-Standard basierend, sind: * Active Directory in Windows-2000-, Windows-2003- oder Windows-2008-Netzwerken * eDirectory, ehemals NDS in Novell-Netzwerken * Fedora Directory Server, unterstützt von Red Hat * OpenLDAP (Open Source Software für diverse Betriebssysteme) * Siemens-Verzeichnis Dir.X * Network Information Service (NIS) in Unix-Netzwerken (nicht LDAP-basiert) * Sun Directory Server, ehemals Sun ONE LDAP Server * Critical Path Directory Server * Apache Directory, Directory Server der Apache Software Foundation (LDAP-zertifiziert, Open Source Software) Ich möchte laut deinem Post ein Vergleich von LDAP-Systemen machen.

AD läuft ja nur unter Windows. Ich soll nur Verzeichnisdienste herausfinden, die unter Linux-Distributionen laufen. LDAP ist ja nur das Protokoll, das die ganzen Befehle versteht und dann auch hinzufügt, löscht oder verändert. Die ganzen Verzeichnisdienste sind doch nur visuelle Oberflächen die dem Admin eine bessere Übersicht bieten. NIS ist auch nur ein Protokoll. Ist das erstmal so richtig? Ich soll anhand der Präsentation die verschiedenen Verzeichnisdienste, die auf LDAP basieren bzw. LDAP verstehen heraussuchen. Aufgrund des vergleiches soll ich das "beste" Verzeichnisdienst nehmen und mit dem dann ein LDAP-Server aufziehen. Danke für deine Antwort! Wollte ursprunglich auch eDir nehmen. Mein Problem ist nur wie vergleich ich die ganzen Verzeichnisdienste mit einander?

Hallo Leute, meine Aufgabe ist es eine Präsentation über die verschiedenen Verzeichnisdienste, die unter Linux laufen zu halten. Ich habe mir folgende Verzeichnisdienste herausgesucht: OpenLDAP Fedora Directory (389 Directory Server) CentOS Directory Server Sun Directory Server Nun würde ich gern ein Vergleich zwischen den Verzeichnisdiensten aufstellen, also quasi Vor und Nachteile nennen. Leider habe ich mit keinem von oben aufgelisteten Verzeichnisdiensten gearbeitet (außer mit Active Directory). Und deswegen dachte ich mir, dass ihr mir vielleicht ein paar Hauptgründe nennen könntet (Vor und Nachteile), damit ich mich für einen entscheiden kann. Danke im Voraus! P.S. Gibt es überhaupt ein Unterschied zwischen 389 Directory Server und CentOS Directory Server, außer das 389 Directory Server auf fast allen aktuellen Linux-Distributionen läuft?

Stimmt schon, bei uns treten auch diese Probleme auf. Nichtsdestotrotz finde ich das Programm echt gut, da man die Netzwerkverbindungen simulieren kann (auch wenn es manchmal diese Probleme gibt ). Dadurch muss man sich keine Hardware anschaffen um diese Verbindungen herzustellen. Ich hoffe auch, dass ich dadurch viel mehr lernen kann. Wie du es bereits angesprochen hast, bezweifle ich auch, dass man was gescheitest vom Berufsschullehrer lernen kann. Mal schauen vielleicht sind ja die CISCO Lehrer besser...

Danke für deine Empfehlung!! Das Programm Packet Trace habe ich bereits diese Woche ausprobiert und bin echt verzaubert von dem ding. Allein am Programm sehe ich, dass sich CISCO wahrscheinlich lohnen wird.

Ok, dann werde ich mir wohl die Bücher kaufen. Kann mir einer die zwei Bücher für den CCNA posten?

Erstmal danke für deine Antwort. Ich mache die Ausbildung in der Richtung Systemintegration (FISI). Ich habe mich dann doch anders entschieden und mache nun doch den CISCO-Kurs. Meine Angst besteht halt darin wie die Kompetenz der Lehrer sein wird. So wie ich den Unterricht ITS momentan durch den Lehrer wahrgenommen habe, empfand ich als Witz. Und CISCO ist ja kein Peanuts und deswegen muss es gut vermittelt werden, ansonsten geht man unter.

Danke für eure Antworten. Ich möchte mich mehr auf die Ausbildung konzentrieren. CISCO mache ich erst dann, wenn ich die Ausbildung geschafft habe. Grüße Godfather_d

Hallo Leute, habe gerade die Auswahl im 2. Lehrjahr bis zum ende meiner Ausbildung zusätzlich am CISCO-Kurs teilzunehmen. Es sieht dann so aus aus, dass ich anstatt des gewohnten "solo" Unterrichts: "informationstechnische Systeme" dann noch dazu CISCO behandelt wird bzw. nur CISCO. Nun stellt sich mir die Frage, ob die anderen Themen nicht zu kurz kommen? Der Kurs ist dann auch nur in englisch (schriftlich). Uns wurde auch noch gesagt, dass im Unterricht 20% dessen behandelt wird, was eigentlich behandelt werden soll, sprich wir müssen 80% dann zu Hause lernen. Wie sieht es aus, würdet ihr dran teilnehmen? Oder würdet ihr euch lieber auf die Ausbildung konzentrieren wollen und versuchen so gut wie möglich die IHK-Abschlussprüfung zu bestehen? Danke im Voraus! Grüße Godfather_d

Werden die Berufsschulnoten vom 1(1) Halbjahr, 1(2) Halbjahr, 2(1) Halbjahr, 2(2) Halbjahr und 3(1) Halbjahr, 3(2) Halbjahr berechnet? Da unsere Berufsschullehrerin meinte, dass die Zeugnisnoten vom 1. Halbjahr nicht in den 2. Halbjahr einfließt.