nis oder doch ldap ?

[tassilo]

moin moin

der eine oder andere hat es ja vielleicht mitbekommen das wir hier einen verein gründen wollen der sich u.a. zur aufgabe macht viele rechner mit deren eigentlichen os / software einem "breiteren" publikum bereitzustellen.

dafür möchte ich das userhandling -soweit es geht- zentral gestalten. da ist -imho- nis ganz gut denke ich da "neuere (bessere)" sachen wohl nicht für die meisten unices existieren aber bisher jedes unix das ich kenne nis "sprach"
da mein horizont was alte hard und software doch recht klein ist wollte ich mal in die runde fragen ist das wirklich so? denn wenn ich sowieso für mehr als 50% der installationen was eigenes stricken muss, dann doch lieber gleich ldap oder kerberos oder was auch immer ...

ach ja wir haben hier einen guten wildwuchs, unzählige sparc kisten, rs6k, as400, s/390, ne cray, hp parisc, sgi, dec und vax stations, siemens rm, nixdorf targon, mips und alpas etc etc
aber auch "orcideen" wie 68k oder 88k rechner

grüße

tassilo

[marmorkuchen]

OT: Wer ist wir und wo ist wir? 

[Tschokko]

Ich denke LDAP kannste mal ganz unabhängig von NIS und Co. auf jeden Fall impementieren. Als zentrale Benutzerdatenbank macht LDAP einfach am meisten Sinn und ist ja auch dafür gedacht. Für ältere Systeme die keine entsprechenden PAM Module, etc. haben, kann man gewiss Cron Jobs einrichten die Daten in ein passendes Dateiformat exportieren. Auch bin mir relativ sicher, dass man NIS/NIS+ irgendwie mit LDAP verheiraten kann.

Gruß
Tschokko

[andre_paetzold]

Hi,

also wesentlich einfacher wird es wohl sein, NIS zu nehmen,
aber LDAP/KRB ist doch die schönere Herausforderung, zumal
Du das Museum sicher nicht alleine betreiben möchtest. 

So long,
         Andre

[truerasp]

nunja,

NIS ist ja doch ein bisschen in die Jahre gekommen und im Hinblick auf einen mittelfristigen Betrieb wuerde ich heute damit nicht mehr anfangen. Ich habe eine große Produktivumgebung in der NIS noch gefahren wird und wir winden uns Woche um Woche um da irgendwann doch mal von los zu kommen. Man schleppt doch ne Menge kruecken mit, die man mit LDAP nicht hat.

Und so groß sind die LDAP Herausforderungen selbst bei legacy Umgebungen nicht mehr.

[stiefkind]

der eine oder andere hat es ja vielleicht mitbekommen das wir hier einen verein gründen wollen der sich u.a. zur aufgabe macht viele rechner mit deren eigentlichen os / software einem "breiteren" publikum bereitzustellen.

Nö. Erzähl mal, interessiert mich.
Cray-Cyber.org ist ja auch sowas in der Art. Wenn vielleicht auch mit einem etwas anderen Ansatz...

dafür möchte ich das userhandling -soweit es geht- zentral gestalten. da ist -imho- nis ganz gut denke ich da "neuere (bessere)" sachen wohl nicht für die meisten unices existieren aber bisher jedes unix das ich kenne nis "sprach"

LDAP ist halt schon eine Ecke "mühsamer" und aufwändiger als NIS zu implementieren und zu pflegen. Finde ich. Dafür ist NIS alles andere als brauchbar sicher. Da müsste man auf NIS+ gehen und wenn Du mal an der Stelle bist, willst Du doch wieder lieber LDAP   Selbst Sun als Erfinder von NIS/NIS+ hat vor ich glaube ca. 2 Jahren NIS+ zu den Akten gelegt (OpenSolaris konnte kein NIS+ mehr).

ach ja wir haben hier einen guten wildwuchs, unzählige sparc kisten, rs6k, as400, s/390, ne cray, hp parisc, sgi, dec und vax stations, siemens rm, nixdorf targon, mips und alpas etc etc aber auch "orcideen" wie 68k oder 88k rechner

Bei den Orchideen kommt es ja eher auf das Betriebssystem an   Insbesondere bei AS400 und S/390 würde ich sowohl NIS als auch LDAP anzweifeln. Cray bzw. UNICOS -- als Unix -- kann ziemlich sicher NIS, bei LDAP bin ich mir da nicht mehr so sicher. Evtl. gibt es OpenLDAP dafür, oder selber kompilieren

Wir bei Cray-Cyber.org haben auch noch Control Data Großrechner, die waren schon auf der Welt, da gab es noch nicht mal Unix, also auch keinen Mechanismus wie /etc/passwd und /etc/shadow, geschweige denn NIS oder LDAP. Wir machen das etwas "anders": Neben den Guest-Accounts gibt es auch die Möglichkeit, sich einen normalen User-Account zu holen. Der wird in der lokalen /etc/passwd auf dem Login-Rechner (Linux) gepflegt. Dort läuft periodisch ein Script (ich glaube stündlich), das diese Information für jedes von uns betriebene Zielsystem "aufbereitet" und dorthin verteilt. Weil z. B. UNICOS die User in einer eigenen Datenbank verwaltet, da gibt es kein /etc/passwd o. ä. Die Control Data Großrechner auch. Bis auf gelegentliche Hakeleien (Control Data hat relativ kleine Beschränkungen bei Länge von Username und Passwort) läuft das eigentlich recht zuverlässig, ist sehr flexibel, ziemlich simpel (bash, ssh, scp, ftp) und trotzdem noch halbwegs wartbar.

wolfgang

[tassilo]

OT: Wer ist wir und wo ist wir? 

wer:
ein paar freunde und kollegen aus hamburg und berlin die so lange bearbeitet habe bis die "magischen 7" zusammen waren

wo:

hamburg-bilbrook

grüße

tassilo

[tassilo]

Moin Moin

nochmal zu nis vs ldap... mir ist klar das ich in bei einer neuen installation ldap dem vorzug geben sollte. mir gehts halt hauptsächlich darum auch die "verschiedene" stadien der systeme zu seigen. also auch alte bis sehr alte versionen der jeweiligen os'es.

grüße

tassilo

[tassilo]

Moin Moin

Nö. Erzähl mal, interessiert mich.
Cray-Cyber.org ist ja auch sowas in der Art. Wenn vielleicht auch mit einem etwas anderen Ansatz...

ja sowas wie cray-cyber aber eben nicht nur auf die "großen teile" beschränkt sondern it-geschichte "allgemein" wobei ein grosser teil auf den "unix bereich" fällt.
darüber hinaus soll es eine art "spielwiese" werden in der man sich in technologien einarbeiten kann. ein beispiel das ich gerne erzähle was das ich mal in ein project "reingefallen" bin mit "ibm hpc" riesen rechenfarmen mit rs6k aber relativ wenig ahnung von der materie. also was hab ich gemacht ich hab mir ein paar rs6k zugelegt und ein wenig "gespielt" um da reinzukommen.
da nicht jeder die möglichkeiten dazu hat (platz, strom, anschaffungskosten) wollte ich meinen "müllhaufen" (so nennt meine frau es) wenigstens wieder verwendung zuführen. die idee fanden 2 weitere hardware sammeler hier in hamburg auch nett und so haben wir teilweise auch recht aktuelle (für private leute) wie ibm und hp bladecenter (teilweise auch mit nicht-x86/ia64) oder die hp storage z.b.
im idealfall bringt sich jeder mit seinem spezialgebiet ein und hilft jeweils den anderen ohne 4 stellige seminargebühren zu zahlen z.b.
auch wollen wir andere projekte unterstützen wie z.b. freebsd die probleme mit ihrem sparc port haben und einfach buildrechner brauchen damit mal wieder ein komplettes binary build für sparc gemacht werden kann. bin da seit mitte des jahres mit leuten aus der usa in kontakt und wir "tüfteln" da was aus...
etc pp...

LDAP ist halt schon eine Ecke "mühsamer" und aufwändiger als NIS zu implementieren und zu pflegen. Finde ich. Dafür ist NIS alles andere als brauchbar sicher. Da müsste man auf NIS+ gehen und wenn Du mal an der Stelle bist, willst Du doch wieder lieber LDAP   Selbst Sun als Erfinder von NIS/NIS+ hat vor ich glaube ca. 2 Jahren NIS+ zu den Akten gelegt (OpenSolaris konnte kein NIS+ mehr).

hmm... so wie es sich auch von den anderen anhört lieber doch ldap und dann bei den rechner die kein ldap können was selberstricken.. mal gucken wie da der aufwand ist. oder vielleicht aus von ldap nach nis

Wir bei Cray-Cyber.org haben auch noch Control Data Großrechner, die waren schon auf der Welt, da gab es noch nicht mal Unix, also auch keinen Mechanismus wie /etc/passwd und /etc/shadow, geschweige denn NIS oder LDAP. Wir machen das etwas "anders": Neben den Guest-Accounts gibt es auch die Möglichkeit, sich einen normalen User-Account zu holen. Der wird in der lokalen /etc/passwd auf dem Login-Rechner (Linux) gepflegt. Dort läuft periodisch ein Script (ich glaube stündlich), das diese Information für jedes von uns betriebene Zielsystem "aufbereitet" und dorthin verteilt. Weil z. B. UNICOS die User in einer eigenen Datenbank verwaltet, da gibt es kein /etc/passwd o. ä. Die Control Data Großrechner auch. Bis auf gelegentliche Hakeleien (Control Data hat relativ kleine Beschränkungen bei Länge von Username und Passwort) läuft das eigentlich recht zuverlässig, ist sehr flexibel, ziemlich simpel (bash, ssh, scp, ftp) und trotzdem noch halbwegs wartbar.

ich denke wir werden wohl auch bei einer solchen lösung enden :/

grüße

tassilo

[Tschokko]

Also über den Verlauf des geplanten Vereins halt uns doch mal auf dem laufenden. Ich hatte schon 2009 die Idee von einem eigenen Verein in dem ich IT Technologie, etc. allen Interessierten näher bringen. Vor allen angesichts der Tatsache das ich schon zu dieser Zeit mit recht moderner Hardware hätte aufwarten können. Doch ich hab die Idee im Jahreswechsel 09/10 aus zwei Gründen verworfen! Erstens ich könnte meine Sachen, die doch ein paar Euros wert sind, niemals unbeaufsichtig fremden Leuten bereitstellen. Zweitens ich geb schrecklich gern Geld für neue und moderne Sachen aus, weil es mir halt Spaß macht das Zeug zu haben, aber ein Verein bedeutet halt auch Arbeit und Verpflichtungen. Dabei kann der Spaß schnell auf der Strecke bleiben.

D.h. ohne ein oder zwei Leuten denen ich 100% vertraue, würde ich sowas NIE machen. Des weiteren läuft man schnell in das Problem, wie geht man im Falle eines Vereins mit der Hardware und den Neuanschaffungen um? Normalerweise wenn man im Namen des Vereins etwas kauft, geht das Zeug auch in den Besitz des Vereins über. Damit hätte ich dann schon ein Problem. Denn wer hat dann die Hoheit über die ganzen Spielsachen... d.h. auch hier würde ich wenn dann immer selbst meine Hardware anschaffen, damit diese in meinem Besitz verbleibt. Lediglich Unterhaltungs- und Betriebskosten z.B. Strom würde ich über den Verein laufen lassen.

Generell echt ein schwieriges Thema. Darum bin ich sehr gespannt wie ihr das in Hamburg machen wollt, denn der Gedanke Verein ist seit gestern auch wieder bei mir hochgepoppt. Diesmal hab ich aber zweierlei Sachen im Sinn...

Gruß
Tschokko

[tassilo]

Also über den Verlauf des geplanten Vereins halt uns doch mal auf dem laufenden. Ich hatte schon 2009 die Idee von einem eigenen Verein in dem ich IT Technologie, etc. allen Interessierten näher bringen. Vor allen angesichts der Tatsache das ich schon zu dieser Zeit mit recht moderner Hardware hätte aufwarten können. Doch ich hab die Idee im Jahreswechsel 09/10 aus zwei Gründen verworfen! Erstens ich könnte meine Sachen, die doch ein paar Euros wert sind, niemals unbeaufsichtig fremden Leuten bereitstellen. Zweitens ich geb schrecklich gern Geld für neue und moderne Sachen aus, weil es mir halt Spaß macht das Zeug zu haben, aber ein Verein bedeutet halt auch Arbeit und Verpflichtungen. Dabei kann der Spaß schnell auf der Strecke bleiben.

ja diese überlegungen hatte ich auch. spiele ja schon seit fast 5 jahren mit dem gedanken -damals mit sigmundfreud31 als partner- aber ich konnte mich nie richtig durchringen.

D.h. ohne ein oder zwei Leuten denen ich 100% vertraue, würde ich sowas NIE machen. Des weiteren läuft man schnell in das Problem, wie geht man im Falle eines Vereins mit der Hardware und den Neuanschaffungen um? Normalerweise wenn man im Namen des Vereins etwas kauft, geht das Zeug auch in den Besitz des Vereins über. Damit hätte ich dann schon ein Problem. Denn wer hat dann die Hoheit über die ganzen Spielsachen... d.h. auch hier würde ich wenn dann immer selbst meine Hardware anschaffen, damit diese in meinem Besitz verbleibt. Lediglich Unterhaltungs- und Betriebskosten z.B. Strom würde ich über den Verein laufen lassen.

Bei uns ist es geplant das die meisten rechner leihgaben auf zeit (z.b. x jahre oder "unbestimmt" aber mit z.b. 6monatiger vorlaufzeit) damit kann der e.v. arbeiten denn er weis welche "resourcen" er auf zeit x hat, man selbst bekommt aber auch seine hardware wieder aus dem e.v. heraus wenns denn man sein muss.
falls dinge kaputt gehen ist der e.v. ja versichert....
das nat. dinge die der e.v. gekauft hat, also mit geld des e.v. und nicht mein "privatvermögen" dem e.v. kauft ist klar, damit komm ich aber auch wieder klar

Generell echt ein schwieriges Thema. Darum bin ich sehr gespannt wie ihr das in Hamburg machen wollt, denn der Gedanke Verein ist seit gestern auch wieder bei mir hochgepoppt. Diesmal hab ich aber zweierlei Sachen im Sinn...

Ja, ich bin auch mal gespannt. vor allem wie es aufgenommen wird und ob es sich "rechnet". reich wird keiner von uns (geht schon mal nicht wegen gemeinnützigkeit) aber wär nat. super wenn die unkosten getragen würden...

ich bin wirklich gespannt ob/wie es funktioniert. bin z.b. auch bei secure-u e.V. (sozusagen cacert deutschland) als vorsitzender seit gründung dabei, weis also das sowas auch viel, viel "papierkrams" mit sich bringt vor allem stress mit finanzamt wegen gemeinnützigkeit etc...

gucken wir mal...

grüße

tassilo

[M.K.]

dafür möchte ich das userhandling -soweit es geht- zentral gestalten. da ist -imho- nis ganz gut denke ich da "neuere (bessere)" sachen wohl nicht für die meisten unices existieren aber bisher jedes unix das ich kenne nis "sprach"
da mein horizont was alte hard und software doch recht klein ist wollte ich mal in die runde fragen ist das wirklich so? denn wenn ich sowieso für mehr als 50% der installationen was eigenes stricken muss, dann doch lieber gleich ldap oder kerberos oder was auch immer ...

Es kommt halt drauf an wieviel Aufwand Du für welches Ergebnis treiben willst.
Wenn ihr eh nur eine handvoll Benutzer habt, dann reicht doch händisches Einrichten pro Rechner,
evtl mit einem generierten "adduser" shellscript um konsistente group/userid's sicherzustellen.
Mit einer Gesamtlösung, die sowohl 20+x Jahre alte Unices als auch die vielen nicht-Unix "Exoten"
bedient, kannst Du dich lange rumschlagen. Und ihr wollt dem Publikum doch sicher was "spannendes"
wie zB alte Desktops oder Applikationen vorführen und nicht sowas langweiliges wie Userverwaltung?

Ich habe zwar kein Riesenmuseum mit Publikumsbetrieb, aber ein ähnliches Verwaltungsproblem.
"Benutzer"einrichtung mach' ich händisch bzw per script, User-Filesysteme für alle Plattformen per NFS
auf einer zentralen AIX-Kiste, das erleichtert das Backup. Viel mehr braucht's eigentlich nicht.
Denk an das alte Unix "KISS"-Prinzip.

[tassilo]

Es kommt halt drauf an wieviel Aufwand Du für welches Ergebnis treiben willst.
Wenn ihr eh nur eine handvoll Benutzer habt, dann reicht doch händisches Einrichten pro Rechner,
evtl mit einem generierten "adduser" shellscript um konsistente group/userid's sicherzustellen.
Mit einer Gesamtlösung, die sowohl 20+x Jahre alte Unices als auch die vielen nicht-Unix "Exoten"
bedient, kannst Du dich lange rumschlagen. Und ihr wollt dem Publikum doch sicher was "spannendes"
wie zB alte Desktops oder Applikationen vorführen und nicht sowas langweiliges wie Userverwaltung?

naja die userverwaltung wird ja nicht vorgeführt aber es wird die sachen erleichtern. ich möchte nur jezt, wo alles am entstehen ist nicht schon eine "falsche" entscheidung treffen die dann wieder jahre mitgezogen wird und mit "patsche patsche" lösungen am leben erhalten werden muss..

Ich habe zwar kein Riesenmuseum mit Publikumsbetrieb, aber ein ähnliches Verwaltungsproblem.
"Benutzer"einrichtung mach' ich händisch bzw per script, User-Filesysteme für alle Plattformen per NFS
auf einer zentralen AIX-Kiste, das erleichtert das Backup. Viel mehr braucht's eigentlich nicht.
Denk an das alte Unix "KISS"-Prinzip.

jo kiss iss gut
denke mal das es eine zentrale userverwaltung gibt die auf ldap basiert. es geht ja nicht nur um useraccounts, sondern z.b. logindaten für email oder zugriff zum cms oder wiki etc pp...

grüße

tassilo