Hallo Liste!
Ich habe die Aufgabe ein zentrales Adressbuch mit Hilfe von OpenLDAP zu erstellen. Nach dem Artikel auf pro-linux ist die Installation nicht das Problem.
Verstehe ich das richtig, dass nach der Installation sich jeder auf den Server verbinden kann und Adressen und Telefonnummern lesen kann? So zum Beispiel UserB=böse Absicht, liest dort die Nummer der ängstlichen Sekretärin und terrorisiert diese mit nächtlichen Anrufen? Wie kann ich das lösen oder habe ich was falsch verstanden und schiebe nur Paranoia?
Die besagte Sekretärin benutzt ein Betriebssystem des amerikanischen Monopolherstellers. Bislang pflegt Sie mühsam die Adressen von neuen Kontakten über Thunderbird ein und speichert diese lokal, was in unserer schnellen Zeit manchmal für Verwirrungen sorgt, weil die Leute umgezogen sind oder oder oder. Ich denke für das Aktualisieren des zentralen Adressbuches sollte auch Sekretärin S verantwortlich sein. Bekommt Sie dann das admin-Passwort für das LDAP (aaahhh_Angst_Panik_Herzrasen)? Das macht mir etwas Angst, auch wenn hinterher "nur" die Kontakte fort sein könnten. Als Software habe ich mir für S JXplorer ausgeschaut. Was haltet ihr davon? Gibt es andere Frontends, die noch einfacher sind? Ein Drag und Drop wäre Traum, aber wohl nicht zu bekommen ;-)
Marek
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
Marek Werstak schrieb:
Hallo Liste!
Hi,
[...]
Verstehe ich das richtig, dass nach der Installation sich jeder auf den Server verbinden kann und Adressen und Telefonnummern lesen kann?
Nein.
So zum Beispiel UserB=böse Absicht, liest dort die Nummer der ängstlichen Sekretärin und terrorisiert diese mit nächtlichen Anrufen? Wie kann ich das lösen oder habe ich was falsch verstanden und schiebe nur Paranoia?
Wenns in diesem Sinne falsch konfiguriert is...ja.
Bekommt Sie dann das admin-Passwort für das LDAP (aaahhh_Angst_Panik_Herzrasen)? Das macht mir etwas Angst, auch wenn hinterher "nur" die Kontakte fort sein könnten.
Nein, das muss sie nicht. Der LDAP-Admin bleibt LDAP-Admin und es gibt kein Grund allen das Adminpasswd zu geben.
Vielmehr muesste man hier in etwa so vorgehen, dass man anonymes binding zum Server komplett deaktiviert und die Benutzer, die das Adressbuch lesen dürfen, in einer OU speichert. Der Server muss dann so konfiguriert werden, dass er die Benutzer gegen diese OU authorisiert. Dann kann man ziemlich flexibel den Zugriff auf die Adressbuch-OU und/oder auf einzelne Attribute fuer best. Benutzer dort geben/sperren...
Als Software habe ich mir für S JXplorer ausgeschaut. Was haltet ihr davon? Gibt es andere
Hmm, ich schreibe meine Daten in ldif Dateien und importier die per Hand :-D... Sonst habe ich GQ, aber das is ein sehr generisches Tool...
MfG - -Dimitri aka Tristan-777
lug-dd@mailman.schlittermann.de
-
Dimitri Puzin -
Marek Werstak