KONTAKT  ARCHIV  IMPRESSUM  

LDAP-Clients

Inhalt

1. Übersicht
2. Ist-Analyse
3. Soll-Analyse
4. Betriebssysteme
5. Linux-Clients
6. Windows-Clients
7. unabhängige Clients (Linux und Windows Version verfügbar)
8. Fazit

Übersicht

Dieses Dokument soll eine Übersicht über die zur Zeit verwendeten Clients für Abfragen an LDAP-Server geben. Clients erfüllen verschiedene Anforderungen. Ziel des LDAP-Projektes bei der COLT Telecom Berlin soll es sein, einen Authentifizierungsserver einzurichten, der Administratoren die Möglichkeit gibt, sich auf Kundenmaschinen einzuloggen. Derartige Logins werden nicht mit LDAP-Clients durchgeführt, sondern der Server, auf den sich jemand einloggen möchte, fragt beim LDAP-Server nach, ob der Anfragende berechtigt ist.

Zu unseren Testzwecken benötigen wir einen Client, um einen angemessenen Überblick über die LDAP-Verfahren zur Authentifizierung und Verzeichnisdienstabfrage zu bekommen.

Weiterhin können LDAP-Clients zum Updaten und Ergänzen des Verzeichnisdienstes genutzt werden.

Ist-Analyse

Auf die Unix-Kundenmaschinen loggen sich Administratoren per SSH ein, also muss eine Möglichkeit gefunden werden, die Auth-Methode anzupassen. Momentan wird im System gechecked, ob der Administrator zugriffsberechtigt ist. Dies geschieht mit einem besonderen Account, und in Verbindung mit einem zentralen 'Zugriffs-Server'. Auf diesen Server kann sich jeder Administrator einloggen, mit seinem eigenen Account/Passwort. Von dort wird per SSH auf die Kundenmaschinen zugegriffen, mit immer dem gleichen Account. Dieser Account hat Zugriffsrechte, aber nur von der IP-Adresse des zentralen Auth-Servers.

Soll-Analyse

Zukünftig sollen sich Administratoren direkt auf Kundenmaschinen einloggen können. Um nicht in jeder Kundenmaschine zig Adminaccounts zu haben, wird der Login an zentraler Stelle (LDAP-Verzeichnis) authentifiziert. Somit wird mitgeloggt, wer sich wann und wo eingeloggt hat. Administratoren im Schichtdienst haben dann die Möglichkeit nachzuvollziehen, wer als letzter Änderungen im System angerichtet hat. Mögliche Schäden unerkannt agierender Administratoren werden somit ausgeschlossen.

Betriebssysteme

Bei der Colt Telecom arbeiten Administratoren unter Unix (Linux) und Windows. Somit beschränke ich mich auf diese beiden Betriebssysteme.

Linux-Clients

• GQ - GTK LDAP-Client von http://biot.com/gq/

Auf GTK basierender Client für X-Windows. Suchen, lesen, bearbeiten, erzeugen, im- und exportieren von Einträgen ist möglich (LDIF), Sessionmanagement. Unterstützt TLS, Kerberos und SASL, ausserdem ist GQ OpenSource.

• Frood - a GTK-Perl LDAP-Client von http://frood.sourceforge.net/index.html

GPL-lizensierter LDAP-Client, unterstützt suchen, lesen, schreiben, Im- und Export von LDIF. Projekt scheint jedoch momentan nicht weitergeführt zu werden, Downloadserver nicht zu erreichen.

 

Windows-Clients

•     LDAP Administrator - ein LDAP-Client für Windows von http://www.ldapadministrator.com/

ist ein Explorer-ähnlicher Windows-basierender LDAP-Client. Bietet 'drag-n-drop', suchen, browsen und modifizieren von Einträgen, Wizards, SASL, SSL certificate manager, TLS, Sessionmanagement. Single license 215 $ (ohne Support). Freier LDAP-Browser (ohne modifizieren von Einträgen) erhältlich.

unabhängige Clients (Linux und Windows Version verfügbar)

•     JXplorer LDAP Browser v3.0 von http://pegacat.com/jxplorer/index.html

Dieser Client steht unter beiden Betriebssystemen zur Verfügung, und basiert auf JAVA. Da wir keine zusätzliche Software installieren wollen, kommt dieser Client nicht weiter für uns in Frage. Unterstützt hinzufügen/entfernen von Einträgen, ganze Bäume kopieren/löschen/verschieben, Filter zum Suchen im Verzeichnis, SSL und SASL Authentifizierung, kann LDIF-Dateien lesen und auch schreiben.

•     LDAP Browser/Editor von http://www.iit.edu/ gawojar/ldap/

Der LDAP-Browser von Jarek Gawor steht auch für beide Betriebssysteme zur Verfügung, und basiert auf JAVA. Unterstützt browsen, suchen und editieren der LDAP-Einträge und Attribute, LDIF, SSL, 'drag and drop' und Sessionmanagement.

•     web2ldap - ein Webinterface von http://web2ldap.de/

Dieses Webinterface kann auf dem LDAP-Server betrieben werden. Es wird mit einem http-Browser angesprochen, und greift lokal auf den LDAP-Server zu. Falls ein Zugriff auf den LDAP-Server aus Sicherheitsgründen nicht stattfinden kann (internet-firewall-ldap-server), wird mit diesem Tool eine Möglichkeit geschaffen, Basisabfragen durchzuführen. Unterstützt lesen/schreiben von Einträgen, Abfragen aller Art.

Fazit

Für unsere Entwicklung eines LDAP-Servers, und den damit verbundenen Tests, eignet sich die Software GQ von -unter anderen- Bert Vermeulen am besten. Sie unterstützt TLS,SASL und Kerberos, ist Open-Source, und kann unter Linux betrieben werden. Nach dem Kompilieren des Quellcodes steht dem User ein einfaches, jedoch umfangreiches Interface zur Verfügung, um Abfragen jeglicher Art zu betreiben.

Sourceforge.net hostet Downloads und Mailinglisten.

FAQ's, Foren und eine Dokumentation fehlen leider bei diesem Client.

Inhalt

1. Übersicht
2. Ist-Analyse
3. Soll-Analyse
4. Betriebssysteme
5. Linux-Clients
6. Windows-Clients
7. unabhängige Clients (Linux und Windows Version verfügbar)
8. Fazit

Malte Eismann malte(_at_)fuldastrasse.de 2004-03-02