Generated Shownotes
Chapters
0:00:24 Homesetup und LDAP
1:09:54 Musik: Josh Woodward
1:12:35 Rust News
1:19:06 Outro
Long Summary
In der heutigen Radiotux-Sendung sind Ingo und Robert zu Gast, um über BSD zu sprechen. Ingo berichtet, dass er seit anderthalb Wochen OpenSense als Firewall-Lösung verwendet und möchte über ihre Setups zu Hause sprechen. Robert erklärt, dass die Lernkurve bei BSD steil ist, aber Ingo seine Linux-Erfahrungen nutzen kann. Robert nutzt hauptsächlich FreeBSD und eine OpenSense-Firewall hinter seinem Telekom-Router. Er hat einen leistungsstarken Thin Client als Firewall-Server eingesetzt. Sie diskutieren auch über Netzwerkkarten und Festplatten.
In Bezug auf die Authentifizierung erklärt Robert den Einsatz von LDAP zur Verwaltung von Benutzern und Gruppen. Sie diskutieren über verschiedene LDAP-Verwaltungstools und die Verwendung von Samba als Alternative. Caching und VPN-Konfiguration werden ebenfalls erwähnt. Ingo erwähnt, dass er eine alte Desktop-Firewall mit Proxmox virtualisiert hat und sich für OpenSense als Firewall-Lösung entschieden hat. Er nutzt ein QNAP-NAS für familiäre Daten. Robert erklärt, dass es Firewalls gibt, die bis zu 40 Gigabit bewältigen können.
In Bezug auf LDAP erklärt Ingo, wie er es für die Benutzer- und Gruppenverwaltung nutzt und es mit OpenVPN verbinden kann. Sie diskutieren auch die Verwendung von WireGuard anstelle von IPsec. Robert erwähnt, dass OpenSense für die Authentifizierung auf einem Samba-Server verwendet werden kann und dass LDAP auch für Mail-Server-Integration und andere Web-Tools genutzt werden kann.
Sie diskutieren auch die Vorteile eines zentralen LDAP-Servers für Familienfreigaben und Netzwerkaufgaben und wie die Sicherheit durch Passwortänderungen und die Blockierung des Zugriffs auf bestimmte Anwendungen gewährleistet wird. Die Möglichkeit der Passkey- und YubiKey-Authentifizierung wird erwähnt. Ingo überlegt, einen LDAP-Server einzurichten, um Nutzerinformationen zentral zu speichern.
Sie sprechen auch über die Verwendung von LDAP- und Mail-Servern sowie Nextcloud zur zentralen Speicherung von Benutzerdaten. Sicherheitsvorkehrungen für den externen Zugriff über das Internet werden betont. Das Gespräch endet mit dem Versprechen, in Zukunft weitere Themen wie BSD und andere Aspekte der Heimnetzwerk-Infrastruktur zu behandeln. Ingo bedankt sich bei Robert und verabschiedet sich, während Robert "Bis zum nächsten Mal" sagt und "Servus" wünscht.
Brief Summary
In dieser Radiotux-Folge sprechen Ingo und Robert über BSD. Sie diskutieren über den Einsatz von OpenSense als Firewall-Lösung und deren Setups zu Hause. Es geht auch um LDAP zur Benutzer- und Gruppenverwaltung, Samba als Alternative und die Verwendung von Nextcloud zur zentralen Speicherung von Daten. Das Gespräch endet mit dem Versprechen, weitere Themen rund um BSD und Heimnetzwerk-Infrastruktur zu behandeln.
Tags
Radiotux, BSD, OpenSense, Firewall, Setups, LDAP, Benutzer- und Gruppenverwaltung, Samba, Alternative, Nextcloud, zentrale Speicherung, Daten, Heimnetzwerk, Infrastruktur
Transcript
Homesetup und LDAP
Ingo:
[0:24] Hallo, herzlich willkommen zur Radiotux-Sendung im Januar 2024.
Heute mit dabei ist Robert. Hallo Robert.
Robert:
[0:35] Hallo Ingo. Schön, wieder dabei zu sein.
Ingo:
[0:38] Ja, wir hatten dich lange nicht gehört, aber es war schön, auch dich wieder dabei zu haben, damit wir auch unsere BSD-Expertise wieder da haben. Ja.
Genau, das hat uns gefehlt tatsächlich. Wir mussten viel über Linux reden, wenig über BSD.
Robert:
[0:57] Ui, ja. Wir hatten ja auch schon, weiß ich, wie ich noch da war, schon Leute, die sich interessiert haben. Das freut mich sehr.
Und ich bin da auch in Kontakt noch mit dem Zuhörer und freue mich, der ist da sehr aktiv aufzubauen.
Sowas macht mir natürlich Freude.
Ingo:
[1:15] Sehr schön. Guck, und auch mich hast du so ein bisschen bekehrt.
Ich habe nämlich seit anderthalb Wochen tatsächlich einen BSD im Einsatz.
Robert:
[1:23] Hey!
Ingo:
[1:25] Ja, ich weiß, die Hölle ist zugefroren sozusagen.
Ups. Ich hätte auch fast sagen können, ich habe einen Windows-Sause.
Nein, gar nichts Schlimmes. das nicht, ähm, hab ich nämlich nicht, also doch so eine virtuelle Maschine, aber sonst eben nicht, aber ein BSD im Einsatz, nämlich eine OpenSense, ähm, OpenSense ist ja so eine, so eine Firewall-Geschichte, äh, und bin grad dabei, mich da so ein bisschen durchzuklicken und die einzurichten, Regeln einzurichten und hab schon gemerkt, doch, es funktioniert so ein bisschen anders, also wenn ich auf die Kommandozeile absteige und dann Befehle eintippe, an die ich mich mittlerweile unter Linux gewöhnt habe, wie so IP und so, dann tut das nicht.
Robert:
[2:10] Ich meine.
Ingo:
[2:10] Ja, ich weiß, es heißt ifconfig oder so hieß es ja früher unter Linux auch und ja, man erinnert sich dann noch und ja, so die meisten Sachen gehen auch, aber es ist auch die Benahmung der Netzwerkinterfaces und so ist halt einfach schon eine andere, und es ist noch eine steile Lernkurve, sagen wir so.
Robert:
[2:29] Das ist, sagen wir so, Ingo, da bist du nicht alleine. Jeder, den ich kenne, der der BSD macht, egal ob OpenBSD, FreeBSD, der sagt genau das Gleiche, dass die Lernkurve wirklich nochmal an Steigung zunimmt.
Das war bei mir auch genau das Gleiche.
Der Vorteil ist, wenn man schon Linux-Erfahrung hat, man kennt schon gewisse Dinge und Sachen, die drauf sind.
Zum Glück sind ja viele Ports auch von Linux auf BSD portiert, haben also da auch schon Ähnlichkeiten.
Es gibt bestimmte Befehle oder Parameter, das ärgert mich manchmal, so Parameter, die man bei mir andersrum vom FreeBSD, die ich kenne und die ich dann auf einem Linux eintippen möchte, dann merkt man, ach Mist, das ist ja hier anders, das ist genau andersrum.
Aber es freut mich, dass du da eben dich mal dem BSD zugewandt hast.
Besonders OpenSense finde ich eine sehr gute Firewall-Lösung.
Es gibt die große Streitfrage, PFSense, OpenSense, da will ich mich nicht äußern dazu.
Ich kann sehr gut mit OpenSense arbeiten, weil die zuverlässig sind schon seit Jahren, auch mit den Updates.
Das läuft, das funktioniert auf großen Devices, auf kleinen Devices, hier zu Hause. Und auch unser Thema, was wir heute haben, da ist die Open Sense, also damit kann man gut das Ganze auch umsetzen.
Ingo:
[3:51] Genau, wir wollten uns mal so ein bisschen über unsere Setups austauschen, wie wir das zu Hause hier so machen.
Und wie gesagt, bei mir ganz frisch die OpenSense dabei.
Ich hatte in einer der letzten Sendungen, ich glaube Oktober oder sowas, auch mit Ansgar schon mal drüber gesprochen und auch so ein bisschen schon mal erklärt, was ich gerade so zusammenbaue und wie so mein Home-Setup aussieht.
Also dass ich ziemlich viel mit Proxmox mache und da hat man einige Sachen schon vorgestellt, aber vielleicht kannst du mal erklären, wie du das zu Hause machst.
Also ich denke mal, du benutzt auch eine, du hast so einen DSL-Anschluss und dann kommt da auch so eine OpenSense danach, weil du sagst, man braucht eine Firewall-Lösung.
Haben wir schon mal die Sachen geklärt. Was hast du, was setzt du aber sonst so ein? Was ist das bei dir?
Robert:
[4:41] Bei mir ist das im Netzwerk, Ziemlich geradlinig, größtenteils nur FreeBSD.
Also, wie du schon gesagt hast, hinter dem Telekom-Router steht schon mal eine OpenSense, die als Haupt-Firewall, ja, da habe ich es ein bisschen übertrieben, Da habe ich einen Thin Client genommen mit 8 GB, 8 Cores und 2 250 GB Festplatten im Miro, damit die Ausfallsicherheit gegeben ist.
Habe ich es ein bisschen übertrieben, das gebe ich zu. Aber ich habe mir gedacht, ich möchte gerne später mehr machen und da möchte ich gerne auch die Ressourcen auf der Maschine haben.
Und deshalb habe ich da ein bisschen mehr Wumms hingestellt.
Aber, und das fand ich sehr interessant, ich habe sie, diesen Thin Client kann man ja in den BIOS einstellen, wie soll er performen und den habe ich auf Low Energy gestellt.
Das ist, Entschuldigung, das ist so ein Fujitsu und der läuft im Moment mit 35 Watt ungefähr.
Ingo:
[5:51] Das ist ganz gut. Das sind Festplatten? Nee, das sind SSDs.
Robert:
[5:56] SSD sind es, zwei Samsung.
Ingo:
[5:59] Äh, okay. Gut.
Robert:
[6:01] Ich habe eine Intel 350 T4 mir gekauft, eine gebrauchte.
Da gibt es ja wunderbare Läden, wo man die gebraucht bekommen kann.
Funktionell, also refurbished sagt man ja.
Ingo:
[6:12] Was ist das, eine Netzwerkkarte?
Robert:
[6:14] Das ist eine Netzwerkkarte, eine 4-Port-Netzwerkkarte, PCI, weil dieser Thin Client hat nur einen PCI-Express-Port und Low-Profile, also da muss man dann schon sehr speziell hingehen.
Die Erfahrung sagt, das wirst du bei OpenSense auch hören und bei FreeBSD auch.
Auch Intel, FreeBSD hat sehr gute Erfahrungen mit Intel-Netzwerkkarten.
Da können die ihren Netzwerk-Stack sehr gut ausreizen und die laufen wirklich zuverlässig. Da kann man dann sowas machen wie Channel-Bonding, also zwei Netzwerk-Ports zu einem zusammenfügen, zu einem Lag-Interface heißt es.
Das habe ich auch in meiner DMZ, die direkt an der Firewall hängt.
Da ist ein HP-Gen8, so diese kleinen Würfelserver. die Microserver.
[7:05] Und auf dieser DMZ ist natürlich ein FreeBSD und zwar eine Junas drauf, die zum einen die ganzen Daten bei uns im Netzwerk eben hostet über NFS und SMB, weil die Kinder eben ein Windows haben und eben über zwei SSD-Platten drüber, Auch wieder als Miro habe ich über Jails meine ganzen Services in virtuellen Maschinen sozusagen gekapselt und stelle die damit zur Verfügung.
Zum Beispiel Web-Server, Datenbank-Server, Mail-Server.
Ich hatte jetzt auch einen Snowflake-Proxy-Server mal am Laufen.
Snowflake ist ja diese Tor-Geschichte, mit der man unterstützen kann, Leute ein freies Internet zu bekommen. Das habe ich damit mal laufen lassen.
Und das ist eigentlich ein sehr schönes Konstrukt, weil dieser Microserver hier hat zwei Netzwerkkarten-Ports und die habe ich direkt sozusagen in die Firewall hineingestöpselt und zu einem gemacht.
Dann habe ich zwei Gigabit-Bandbreite gehabt hier zwischen Server und meiner Haupt-Firewall.
Ingo:
[8:19] Ah, okay, du hast da also nicht nochmal einen Switch oder sowas dazwischen? Ne.
Robert:
[8:23] Die habe ich direkt verlinkt, weil wenn man dieses Bonding macht im FreeBSD und du machst das über einen Switch, dann muss der dieses Lagging oder dieses Lag-Format, dieses Bonding, was man da macht, eben unterstützen.
Da gibt es dann LACP und 802 irgendwas. Genau, also sowas Kompliziertes.
Und da habe ich mir gedacht, wenn ich da den Server direkt anschließe und der ist ja auch mit FreeBSD, da konnte ich genau dasselbe natürlich dort auch einrichten und das funktioniert wunderbar.
Also.
Ingo:
[8:58] Ich hatte jetzt vor, dass, also noch ist das Setup nicht ganz fertig, aber ich hatte tatsächlich vor, das über einen Switch zu machen und eben zwei jeweils ein Gigabit Interfaces dann auf dem Switch mit per Link Aggregation zusammen zu tun.
Aber das finde ich jetzt auch gar nicht so eine schlechte Lösung.
Überleg ich nochmal, ob das vielleicht besser wäre.
Quasi zwei Server, einmal den mit dem TrueNAS und einmal nochmal ein extra FreeBSD mit allen Diensten drauf? Nee.
Robert:
[9:56] Das ist alles auf der TrueNAS drauf.
Ingo:
[9:58] Achso, das ist alles ein Server, wo alles drauf läuft.
Robert:
[10:02] Der hat vier Festplatten-Schächte, da sind zweimal 8 Terabyte im Mirror für alles Datenmäßige.
Da läuft eben auch der NFS-Server und der Samba-Server, also die TrueNAS macht das alles.
Und daneben die anderen zwei Plattenschächte, da sind zwei SSDs drin, die auch im Mirror laufen, also es sind sozusagen zwei Mirror auf dem Server konfiguriert, aber die SSD-Platten, das sind eben dann die, ist die Virtualisierung von FreeBSD, die Jails, wie sie heißen, und da sind dann sozusagen gekapselt die virtuellen Server dann am Laufen.
Ingo:
[10:37] Okay, die total, also Mail-Server und so, was...
Robert:
[10:40] Genau, Mail-Server, Web-Server, Datenbank-Server, alles ist gekapselt und jedes für sich ein eigener, sozusagen ein eigener Server, damit es möglichst granular ist und möglichst, jeder Server möglichst wenig Software hat.
Ingo:
[10:54] Okay, aber du hast dann von diesem jetzt, von diesen TrueNAS nicht zwei, um nochmal irgendwie irgendeine Ausfallsicherheit zu haben.
Nein. Also das war auf Festplatten-Ebene eine Ausfallsicherheit.
Robert:
[11:04] Richtig.
Ingo:
[11:04] Also wenn entweder die Hardware, also die Festplatte oder die SSD ausfällt, dann schon, aber du hast jetzt nichts, um nochmal einen Server hinzustellen. Nein.
Robert:
[11:13] Ich muss ganz ehrlich sagen, diese Microserver von HP, die sind recht schön.
Der 8er ist mittlerweile schon in die Jahre gekommen, das gebe ich zu.
Er läuft aber wunderbar, der läuft bei mir jetzt schon fast sieben Jahre ohne Probleme. Systeme, ist limitiert auf 16 GB Arbeitsspeicher. Das ist das einzige Manko, was ich da habe.
Ich könnte noch ein bisschen mehr verkraften, aber die Gen 10, das ist ja die Nachfolge, die haben dann weniger Limitierung, stärkere Prozessoren und auch 32 GB Arbeitsspeicher, die sie verwalten können.
Kosten halt im Moment und da bin ich noch derjenige, wie du wahrscheinlich auch, solange das Ding läuft, sehe ich nicht den Sinn drin, irgendwie zu aktualisieren.
Ingo:
[11:58] Ja, also ich habe tatsächlich, also meine Firewall ist gerade ein alter Desktop-Rechner, der irgendwo abgefallen ist, den jemand nicht mehr brauchte.
Aber genau, es ist halt so ein kleiner, wo auch nur eine große PCI-Express-Schnittstelle drin ist.
Also die Netzwerkkarte, die du erwähnt hast, wird wahrscheinlich auch eher 8 oder 16 oder sowas haben und nicht in so einen PCI-Express, Einmalport reinpassen Richtig Wenn sie schon 4 Ports hat und wahrscheinlich auch 10 Gigabit oder sowas kann auf den Ports Ne.
Robert:
[12:34] Das sind alles 4x1 Gigabit.
Ingo:
[12:36] Oh, sind 4x1 Gigabit, okay Aber die gibt es ja auch bestimmt mit 4x10 Gigabit, wenn man das braucht Genau, da habe ich jetzt meine Firewall gerade drauf.
Ich habe die und noch ein, zwei, drei andere virtuellen Maschinen.
Und da habe ich tatsächlich zusätzlich jetzt nochmal ein USB-Netzwerk-Schnittstelle und die habe ich, wie gesagt, bei mir läuft Proxmox drauf.
Auf diesem Proxmox, also virtualisiert, habe ich die OpenSense und habe dann der OpenSense eben explizit diese Netzwerkschnittstellen gegeben, die ich durchgereicht haben will.
Ja, so läuft das bei mir zur Zeit und dann habe ich aber auch nochmal einen Server, auf dem dann auch per Proxmox nochmal mehrere virtuelle Maschinen laufen. Klar.
Robert:
[13:35] Das ist ein gutes Setup, würde ich so sagen.
Proxmox ist ja auch sehr zuverlässig. Jetzt gerade wollen ja alle auf Proxmox gehen nach dem VM, wer, Entschuldigung, verkackt hat.
Ja.
Ingo:
[13:48] Die machen sich gerade keine Freunde gerade. Wenn du nicht gerade in die Cloud willst, dann ja.
Broadcom hat das gekauft, ne?
Robert:
[14:00] Richtig, genau. Die haben es alles umgewürfelt und jetzt, ich lese so viel jetzt von den Leuten, die jetzt sagen, oh, gibt es eine gute Anleitung für Proxmox, ich möchte gerne lernen. Genau.
Ingo:
[14:13] Genau, da ich halt schon jahrzehntelang gefühlt Debian mache, war für mich Proxmox irgendwie das Ding.
Aber ja, wie gesagt, hast du mich jetzt auch, nachdem ich überlegt habe, wie machst du deine Firewall-Lösung, mich an OpenSense ran.
Robert:
[14:32] Also, ich muss halt sagen, das ist jetzt meine Erfahrung und auch beruflich, weil wir da auch viel mit dem Paketfilter zu tun haben, haben, aber eher mit OpenBSD.
Dieser Paketfilter, der gibt dir Möglichkeiten und Szenarien, Das habe ich noch nicht in einer anderen Konfiguration so gesehen, wie es da möglich ist und wie schnell man es umsetzen kann.
Das ist eine große Stärke dieser Paketfilter, neben dem Netzwerk-Stack eigentlich.
Ingo:
[15:02] Aber könnte ich auch so Firewalls im 100 Gigabit-Bereich aufbauen mit OpenSense?
Weißt du da, ob das geht? Ja.
Robert:
[15:13] Also sagen wir so, aus meiner beruflichen Erfahrung kann ich dir sagen, es gibt Firewalls, die locker 40 Gigabit bedienen können. Jetzt mal so von dem Bereich.
Da sind halt die Limitierungen, die du hast, andere als der Paketfilter.
Sondern die Limitierung ist hier, dass du natürlich die Ressourcen, die du auf der Maschine hast so dimensioniert hast, dass der auch diese Bandbreite, die du hast, eventuell durch natürlich die CPU und durch den PCI Express Bus jagen kann, weil natürlich da verschiedene Sachen natürlich von der Netzwerkkarte zur CPU.
[15:49] Müssen, in den RAM müssen und da verarbeitet werden müssen und weitergeschickt werden ist dann eher ressourcentechnisch eine Sache, wo es eng werden kann.
Ingo:
[16:00] Jaja, da muss man dann schon eine potente CPU haben und FPGA zum Beispiel.
Robert:
[16:05] Da ein gutes Thema.
Ingo:
[16:06] Ja da müssen die Netzwerkkarten dann auch entsprechend abgestimmt sein dass da irgendeine Art von Offloading und sowas alles Wenn man sieht.
Robert:
[16:15] Ich weiß ja nicht, Netflix sagt ja allen was und wenn man da mal gelesen hat, Netflix betreibt ihre gesamte Videostreaming über einen FreeBSD Server mit 40 Gigabit die Sekunde Okay.
Für eine einzige Maschine der Hammer.
Ingo:
[17:00] Das kann ich mir kaum vorstellen, dass das nur eine Maschine macht.
Robert:
[17:04] Sie schreiben es und da gibt es einen, der hat das vorgestellt und der schreibt auch ganz genau, wie sieht es durch den RAM in den Prozessor und dann dahin und TLS-Verschlüsselung und Pipapu, da gibt es eine, Präsentation, die kann ich dann suchen und vielleicht dann zu der Sendung hinzufügen, für wen das interessant ist und da schreiben die, dass es eine einzige Maschine ist.
Ingo:
[17:28] Okay, interessant.
Gut, jetzt haben wir gesagt, du hast einen TrueNAS, also auch wieder auf BSD-Basis ein NAS-System.
Genau, ich habe da bisher tatsächlich für unser Home-Setup noch so ein, ich glaube es ist ein QNAP, also so ein Nas von der Stange sozusagen, wo unsere ganzen Daten, also familienmäßigen Daten irgendwie draufliegen.
Genau, hatte ich mir halt damals gekauft, hat übrigens auch schon eine 10, hat einen SFP Plus Port und hat eine 10 Gigabit Anbindung auch.
Aber es ist sozusagen das einzige Gerät, was es zum Switch immerhin bringt.
Also wenn jetzt mehrere Leute drauf zugreifen würden, würde es ein bisschen auslasten vielleicht.
Also das ist bei mir das Setup mit einem QNAP-NAS von der Stange.
[18:27] Du hast einen True NAS und was ganz interessant ist, dass du gesagt hast, naja, du hast dir aber mal Gedanken gemacht und hast jetzt tatsächlich irgendwie mehrere, Sachen machen, oder du hast dir Gedanken gemacht über die Authentifizierung, ich habe da einfach ein paar User bei mir angelegt und dann, User, Passwort können die halt auf mein Nas zugreifen, weil es ist vielleicht auch die einzige Stelle, wo ich es brauche, aber ist jetzt nicht, eventuell nicht der Weisheit letzter Schluss.
Du bist da ein bisschen weitergegangen und benutzt da was, was ich LDAP nennen.
Vielleicht können wir mal drüber nachdenken.
Oder kannst du mir mal erklären, was LDAP ist und was du da machst?
Robert:
[19:13] Also LDAP steht für Light Directory Access Protocol. Ist ein sehr altes Protokoll.
Directory Directories und es steht für Light Directory.
Das heißt, es gab schon mal ein FAT oder einfach Directory Access.
[19:31] Und das gibt es schon sehr lange und da wurden, Eigentlich, manche kennen das vielleicht noch, Yellow Pages, NES-Geschichten, da wurden Informationen abgelegt, die bestimmte Informationen, also das ist ein Verzeichnis, da konnte man bestimmte Informationen ablegen, wie zum Beispiel Benutzer oder Gruppen oder Hosts, Rechnerarten.
Wie sind Rechner eingerichtet? Was hat der für eine IP-Adresse?
Sozusagen eine Informationssammlung auf einem sehr kleinen, leichten Server, der im Gegensatz zu Datenbanken in der Performance so optimiert wurde, dass er im Schreiben der Informationen in das Verzeichnis langsamer ist als im Lesen, im Auslesen der Informationen.
Und das ist die große Stärke, die wir hier haben, die auch in aktuellen Technologien wie zum Beispiel dem Active Directory oder dem Azure Active Directory auch noch ihre Verwendung finden.
Also dieses Active Directory nutzt LDAP, um zum Beispiel Benutzerlogins, Security Policies, Rechte, Passwörter zu speichern und auch zu authentifizieren und hier in einem hohen Maße viele Anfragen schnell verarbeiten zu können.
Ingo:
[20:59] Okay, also es ist ein großes Telefonbuch, in dem Username, Passwörter und auch Rechner und so drinstehen.
Robert:
[21:08] Richtig, das Schöne ist, das ist über sogenannte Schemas, wird genau definiert, was für Elemente hast du zum Beispiel bei Personen, was gibt es da für Elemente, Vorname, Nachname, Wohnadresse, Ort, alles mögliche, was Adresse ist, da gibt es irre Dinge wie, wie ist der Name der Sekretärin, was ist das für ein Employee-Type oder was, da gibt es verrückte Sachen, die irgendwie hilfreich sein können, Aber es gibt auch Schemata, die zum Beispiel sich nennen Poisex-Account, in dem der Username abgelegt werden kann, sein Passwort verschlüsselt, damals schon verschlüsselt in einer Art und Weise, dass man die auf dem Server nicht einfach auslesen kann, seine User-ID, seine Gruppen-ID, der Pfad zu seinem Heimverzeichnis, der SSH kann man in ein Schema ablegen.
Das heißt, das wird zentral gesammelt und der Witz ist der, wenn du natürlich einen Client hast, der über LDAP Anfragen machen kann, kann man diese Information runterziehen auf seinen Rechner.
Ingo:
[22:15] Was heißt runterziehen auf meinen Rechner? Also ich frage diesen Server an.
Robert:
[22:21] Und da komme ich jetzt zu dem Spiel, warum ich mich damit beschäftigt habe.
Ich habe bei mir, ja, wir hatten auch, ich habe einen Rechner gehabt, meine Frau hat einen Laptop gehabt, meine Kinder haben einen Rechner gehabt, fertig.
Jetzt ist es nur so gewesen, dass ich habe zum Beispiel bei mir im Keller eine Werkstatt eingerichtet, habe jetzt angefangen mit 3D-Druck und da habe ich mir gedacht, okay, ich habe hier so eine Kiste hier stehen, die kann ich ganz gut nutzen, binde ich die damit ein, das ist mein Werkstattrechner.
Bei meiner Frau, die mit Linux arbeitet, da hat man natürlich Benutzer eingerichtet und jetzt kommt man zu dem Problem, User-ID und Group-ID, wie richte ich die ein?
Wenn ich per NFS dann Freigaben anbinden möchte, habe ich die ja auf der NFS schon mit bestimmten User-IDs und Group-IDs dort eingerichtet.
Ingo:
[23:12] Wenn.
Robert:
[23:13] Ich die jetzt maunte beim Laptop, dann muss das ja dort, müssen die User und die Gruppen definiert sein.
Und zwar die richtigen, damit meine Frau, wenn die am Laptop sitzt, ihre Freigaben erreichen kann, weil sie zum Beispiel für ihre Arbeit hat sie eine eigene Freigabe.
Ich habe für meine kleine Agentur, die ich hier zusätzlich habe, auch eine eigene Freigabe. die sollen so getrennt sein, dass natürlich nur ich zugreifen kann, egal an welchen Rechner ich mich setze.
Und meine Frau kann an ihre Sachen gehen, an irgendeinen Rechner gehen, kann sich dort mit einem einzigen Passwort anmelden können und dann auch nur auf ihre Freigaben zugreifen können.
Und wenn man das mal überlegt, man hat jetzt zwei, drei Rechner, ist das nicht schlimm.
Wären das aber mehr Rechner, dann wird das anstrengend, wenn man den Rechner mal neu installiert hat.
Oh Gott, wie war jetzt, wer hat, welcher Benutzer hat jetzt welche User-ID und Group-ID, damit ich das wirklich einheitlich auf die Maschine bekomme. Und da kann LDAP helfen.
Denn dort, ich brauche mich nur noch verbinden zum LDAP.
Und der holt dann, dieser LDAP-Client, den man verwenden kann, der holt sich die Informationen runter, User-ID, Group-ID, wie heißt der, was hat der für einen Login-Namen und kann dann auch noch, wenn sich diejenigen anmelden, Passwort gegen den LDAP-Server prüfen, ist das Passwort, was er eingegeben hat, richtig oder nicht?
So eine Art Single Sign-On.
Ingo:
[24:40] Genau, ja, okay. Das heißt, benutzt du das dann auch so als Domain sozusagen, also dass jemand, der sich an einen Rechner setzt, da anmelden kann und sich, was weiß ich, an einem anderen Rechner oder an einem Laptop anmeldet, sich da auch anmelden kann an dem Rechner? Das.
Robert:
[24:58] Ist quasi domainenmäßig, weil ich kann gleichzeitig an diesem Rechner, meinem Rechner hier im Büro sein und kann unten am Werkstattrechner mich auch mit demselben Namen und Passwort dort einloggen.
Und das Schöne ist, unter den Shares wird genau, weil der auch die Gruppen holt und die Zugehörigkeit der Gruppen holt, nicht nur die Namen, sondern auch die Zugehörigkeit, sofort so einrichtet, dass auch wirklich jeder Benutzer nur seine Laufwerke bekommt, die man ihm halt zugewiesen hat.
Also die Rechte auf die Laufwerke, so muss man es sagen.
Ingo:
[25:30] Genau, die Laufwerke müsstest du dann schon nochmal manuell verbinden.
Robert:
[25:34] Richtig.
Ingo:
[25:34] Oder hast du da irgendeinen Automatismus gebaut?
Robert:
[25:37] Also ich habe jetzt keinen Automatismus gebaut. Es gibt auch die Möglichkeit, LDAP zusammen mit PAM zu koppeln, diesem Passwort-Modul, diesem modularen Authentifizierungsdienst, den es ja auf Linux und Unix gibt, kann man das auch so machen, dass nicht nur die Zugriffe und Authentifizierung gesteuert werden können, dass der sich nur über SSH anmelden kann, der kann sich allgemein anmelden, sondern dass zum Beispiel auch wenn kein Home-Verzeichnis zur Verfügung steht auf dem Rechner, weil der Benutzer vielleicht neu ist, sogar das Home-Verzeichnis automatisch erstellt wird.
Ingo:
[26:13] Okay.
Robert:
[26:14] Das ist natürlich schick. Oder du kannst auch sagen, gibt es auch natürlich Möglichkeiten, wenn der Benutzer sich anmeldet, dass über eine Art Automount, sage ich jetzt mal, nur die Laufwerke eingehängt werden, die er braucht.
Das könnte man auch machen.
Das war jetzt dann für mich Overdrive, weil ich dann gesagt habe, okay, ich will einfach die Laufwerke alle da haben, weil wer sie dann nutzt, okay, der kann sie dann benutzen. Fertig.
Ingo:
[26:41] Und das Schöne ist natürlich auch dadurch, dass du ein Single Sign-On hast, du hast auch ein Single Point of Administration sozusagen, musst nur an einer Stelle, deine User, deine Benutzer deiner Gruppen verwalten und nicht an jedem Laptop, an jedem Rechner einzeln.
Robert:
[27:01] Also zum Beispiel dann die Tochter sagt, der Laptop ist hier geklaut worden da muss man nicht an jeden hingehen und da das Passwort ändern, sondern das macht man ein Ein einziges Mal.
Und dann gilt das für alle. Das ist sehr angenehm. Und das geht auch entweder über, da gibt es eine schöne GUI.
Zwei GUIs, die nicht schlecht sind. Das ist einmal der LAM, der LDAP Account Manager.
Das ist eine webbasierte Lösung.
Ist teils frei. Wenn man schönere Erweiterungen haben will, muss man bezahlen.
Und es gibt noch eine Open Source Lösung, die nennt sich PHP LDAP Admin.
Die ist robust. ist zwar nicht schick, fancy, CSS, hier fliegt alles hinein, sondern die ist robust, macht ihre Sache und da kann man es dann wirklich einfach editieren.
Und die ganz schöne Sache ist die, dass man sogar mit ParseWD auf dem Terminal, mit einem Parameter zusammen dann sagen kann, ich ändere es an einem Rechner über ParseWD, mein Passwort und das wird auf dem LDAP geschickt und dort abgelegt.
Ingo:
[28:02] Und welche der beiden Sachen benutzt du jetzt? Also PHP-LDAP-Admin oder wie heißt das Ding?
Robert:
[28:09] PHP-LDAP-Admin und der LDAP-Account-Manager ist es.
Ingo:
[28:13] Okay, und welchen benutzt du?
Robert:
[28:14] Ich verwende ehrlich gesagt den PHP-LDAP-Admin. Ich fand diesen LDAP-Account-Manager recht gut, weil der auch schön strukturiert war und hat das schön alles aufbereitet und hat auch sehr viel im Hintergrund gemacht, was Sinn gemacht hat.
Aber die Funktion, die ich dann haben wollte, die ich für sinnvoll erachtet habe, Und das war nämlich ein sogenanntes Overlay, das sich Members nennt oder Member of.
Das gab es nur in der Bezahlversion. Und da habe ich gesagt, okay, so oft wie ich den LDAP-Server benutze, dann reicht mir auch der PHP-LDAP-Admin mit seiner soliden Struktur.
Ich kann alles machen. Ich kann das LDAP komplett ansprechen.
Ich kann neue Benutzer anlegen.
Ich kann Objekte von den Benutzern erstellen, wegnehmen, tun.
Ich kann das machen, was ich brauche.
Und das war für mich dann der Hauptgrund dafür, das zu verwenden.
Ingo:
[29:07] Mhm. Wenn man keine Web-Applikation hat und wenn man schon ein bisschen die Datenstruktur trotzdem sehen will und Änderungen machen will mit GUI, ich habe dieses Apache Directory Studio ab und zu verwendet, da, genau, da kannst du dich auch gegen den LDAP-Server verbinden und dann siehst du eben, du hattest ja diese Struktur vorhin erwähnt, die der LDAP da so aufbaut und dann kannst du dir halt ein Objekt, zum Beispiel, was weiß ich, den Robert sich schnappen, und gucken, was der alles an Daten hat.
Und je nachdem, wenn du die entsprechenden Rechte hast, also wenn du dich mit dem richtigen User sozusagen verbunden hast, kannst du natürlich da auch die Änderungen im LDAP gleich machen. Ist bestimmt nicht so schön.
Robert:
[29:52] Der Apache, gut, dass du sagst, es gibt ja verschiedene LDAP-Server.
Der Apache hat einen eigenen Directory-Server, diesen Apache-Server, den du benannt hast.
Ich habe mich entschieden, bin ich wieder sehr basic, für OpenLDAP, weil das wirklich ein einfacher kleiner LDAP ist, aber der, der wirklich viel leisten kann. Und deswegen habe ich mir gesagt, okay, nehmen wir die Basis. Das ist eine einfache Software.
Das gibt es als Paket für FreeBSD. Das gibt es als Paket für Linux.
Da bin ich dann kompatibel, weil der hat einen LDAP-Server, OpenLDAP-Server und einen OpenLDAP-Client.
Und dann kann ich wirklich übergreifend, plattformübergreifend dieselbe Software verwenden. Nur zu empfehlen.
Und da bist du dann am Anfang sowieso nur auf der Konsole.
Weil es auch eine ganz schöne Lernkurve auch für mich war, den zum Laufen zu bekommen, das ist wirklich eine gute Herausforderung, wenn man mal wieder eine Herausforderung sucht.
Ingo:
[30:54] Also ich habe tatsächlich bei Apache Directory habe ich wirklich nur dieses Ding verwendet, ich glaube es ist eine Java-Applikation, also nicht den LDAP-Server per se, sondern dieses Directory Studio, Studio.
Robert:
[31:09] Genau.
Ingo:
[31:11] Eclipse-Base, also genau, ist ein LDAP Browser sozusagen, also ein LDAP-Client, mit dem du halt wirklich einfach reingehen kannst, ist auch Open Source und ja, gibt's dadurch, dass es in Java ist, halt auch für alle Plattformen und dann kannst du dich einfach mit dem LDAP verbinden, egal, was für ein LDAP-Server es ist und dann da so ein paar Änderungen machen, das ist, finde ich immer ganz geschickt, wenn du, naja, wenn du dir eh mal einen Überblick verschaffen willst über den DML-Dub, insbesondere wenn es ganz große sind.
Ja, und du dann nur mal so eine Kleinigkeit verändern willst oder auch irgendwie eine Suche basteln möchtest oder musst, weil du, keine Ahnung, nur ein Subset an, Usern oder Gruppen brauchst und dann ist das schon ganz geschickt, das Ding.
Robert:
[32:02] Genau. Das gebe ich dir vollkommen recht. Ich würde auch sagen, dass man diese diese webbasierten Lösungen, für mich ist die halt praktisch, weil ich könnte sie auch, wenn ich mit dem VPN übers Handy verbunden bin, über dem Handy dann reingehen und kann, meine kleine Übersicht, die ich da habe, bearbeiten, verändern, anpassen.
Ich würde mal sagen, man könnte es für interessante Heimsets, auf alle Fälle, selbstständige, die vielleicht ihre eigene Firma verwalten wollen, wo sie zwei, drei Mitarbeiter vielleicht auch noch haben.
Für kleinere, mittelständische Unternehmen daneben könnte ich es mir auch noch vorstellen.
Da kommt es natürlich dann auch darauf an, auf welcher Hardware läuft das und wie ist das eingerichtet. Auf großen Setups...
Kann es funktionieren, aber da weiß ich, habe ich keine Erfahrung, wie performant es dann ist, aber er könnte das schon bedienen, weil der wirklich nah am OpenLDAP-Server eben hängt und da eben schon ganz gute Sachen leisten kann.
Ingo:
[33:01] Eine andere Möglichkeit ist auch einen Samba-Server zu nehmen, also.
[33:08] SMB sprechen zu können und wenn man Samba 4 nimmt und eine Domainer aufmacht, bringen die ihren eigenen LDAP-Server mit, Also du hast ja vorhin schon gesagt, dieses Active Directory ist eigentlich auch nur ein LDAP und ein Kerberos und hast du nicht gesehen, zusammengemixt von Microsoft und es gibt halt auch die Open Source Lösung Samba, die man sich installieren kann und wenn man das in Domain Modus betreibt, die hatten früher Open LDAP mit drin, haben dann glaube ich aber einen eigenen LDAP Server geschrieben und benutzen den jetzt intern.
Also, wenn man sagt, man braucht es insbesondere, um mit Windows-Maschinen zu kommunizieren oder um SMB-Dienste, mittlerweile ist ja auch bei macOS, ist ja auch SMB sozusagen das Standardding, um Dateien auszutauschen, dann könnte man natürlich auch einen Samba-Server sich aufsetzen und nicht noch einen extra LDAP-Server betreiben.
Also das vielleicht für Leute, die schon jetzt denken, ja, so ein LDAP-Server wäre irgendwie nicht schlecht, dass ich so eine, ja, eine Stelle habe, wo ich die Leute administriere und Samba-Server brauche ich vielleicht eh, weil ich Windows und macOS zu Hause habe und irgendwie die Leute darauf zugreifen sollen.
Wollen, dann kann ich es mir auch in der Stelle ein bisschen einfacher machen und einfach ein Summer 4 mit Domäne aufsetzen und hab dann schon einen LDAP-Server, den ich auch.
[34:37] Nochmal abfragen kann, wenn ich es dann wollte. Richtig. Nicht, dass ich das jetzt schon mal gemacht habe, aber geben sollte das.
Robert:
[34:43] Ich gebe aus der Erfahrung mit LDAP gebe ich dir recht.
Ich habe versucht, ich wollte die Windows-Maschinen, die zwei, drei, die da sind, auch gerne über LDAP anmelden lassen. Nur über OpenLDAP.
Da gibt es, ich habe nur eine Lösung gefunden, wo es einem gesagt wurde, es würde gehen. Die nennt sich PGINA.
Und von der gibt es zwei Forks, da bin ich noch nicht durchgestiegen, welche die bessere ist, weil, ich habe es nicht zum Laufen gekriegt, kurze, lange Rede, kurzer Sinn, dass ich Windows-Maschinen nur am LDAP anmelden kann, ohne das Samba-Gedöns, hat nicht funktioniert.
Und deswegen würde ich auch sagen, wenn jemand mehr LDAP, mehr Windows-Maschinen in seinem Netzwerk hat und das gerne schon nutzen möchte, ist Samba 4 einfach einfach die bessere Wahl und man kann ja auch ein Linux an einem Active Directory anmelden, dann würde ich es eher von der Seite eben machen.
Ingo:
[35:44] Und wenn ich jetzt eher nur Linux und BSD-Maschinen habe, wie hast du das da umgesetzt?
Robert:
[35:49] Also in dem Fall würde ich wirklich, also ich persönlich bin auf OpenLDAP gegangen, weil das ja der Ur-Server ist und der sehr schlank ist und man da eben, das Setup gut hinbekommt und es gibt Es gibt einige Doku darüber, damit man da weiterkommt.
Und auch die Anbindung von der Client-Software.
Da gibt es ja auch verschiedene Lösungen.
Ich hatte PGina schon für Windows genannt. Da gibt es noch zwei andere, die wirklich nicht schlecht sind.
Das ist NSSPAM-LDAP-Diemen. Der wird zum Beispiel unter Trunas verwendet, wenn man OpenLDAP als Verzeichnisserver verwenden möchte.
Und dann gibt es noch den SSSD.
Der wird bei Red Hat sehr gefördert.
Ich hatte zuerst den NSS-PAM-LDAP-D und bin aber dann auf den anderen umgeswitcht, weil der in manchen Dingen etwas besser läuft als eben dieser NSS-PAM-LDAP-D.
Klingt so komisch.
Also das SSSD hat mich da weitergebracht und wo ich zum Beispiel Wert drauf gelegt habe, war das Caching.
Und das ist ja ein Thema, da werden bestimmt einige auch sagen, ja, der Robert redet hier von LDAP. und Ding und was ist, wenn mir der LDAP, wegfliegt oder ich komme nicht mehr weiter.
Ingo:
[37:09] Kann ich mich dann noch anmelden an meinem System?
Robert:
[37:12] Richtig. Wie kann ich das machen? Und natürlich hat man da den Cache, das heißt die ganzen Objekte, die sich der Client gezogen hat, liegen in einem Cache lokal auf dem Rechner.
Man kann auch einrichten, wie lange die gültig sind, wann er die nächste Abfrage machen soll, welche Benutzer soll er abrufen, also welche Members was soll er denn holen und dann dementsprechend die IDs.
Das kann man wunderbar konfigurieren und da gibt es auch ein ausführliches Log und das ist eigentlich mittlerweile, muss ich sagen, ein guter Dienst, der eben auf FreeBSD vorhanden ist und läuft und auch bei dem Linux.
Ich bin ja, jetzt werde ich wahrscheinlich ausgebucht, ich habe ja ein Linux Mint, weil es einfach einfach ist und funktioniert, und selbst da gibt es den SSSD und ich kann mit einer kleinen Software auch eben das Setup aufbauen, damit der Laptop, und das war ja die Überlegung, was ist denn, wenn der Laptop gar nicht bei mir zu Hause im Netzwerk ist und man will ihn da benutzen?
Der kommt nicht zum LDAP-Server hin, also muss da auch eine Möglichkeit geben, dass man da auch den Rechner ganz einfach benutzen kann und den Laptop.
Ingo:
[38:19] Könnte natürlich erst eine VPN-Verbindung aufbauen, aber das ist natürlich schwierig, wenn ich mich vor dem Einloggen irgendwie eine VPN-Verbindung aufbaue, weiß ich gar nicht. Ja, ja.
Robert:
[38:29] Also, du verstehst die Problematik. Und da war der SSSD natürlich, hat mich da besser zum Ziel gebracht und das fand ich richtig gut.
Auch für diejenigen, die noch keine Ahnung haben, also wir hatten ja schon gesagt, was ist denn, wenn der Hauptserver wegbricht?
Im LDAP gibt es schon schon integriert eine Replication.
Das heißt, ich kann einen zweiten LDAP-Server ins Netz hängen und die synchronisieren sich automatisch, sobald eine Veränderung am Master-Server, am Provider passiert, wird das übertragen zu dem Consumer, so nennt man das bei LDAP.
Und der hat dann dieselbe Datenbank und die kümmern sich selbstständig um die Aktualisierung.
Da muss ich gar nichts mehr machen. Und der zweite läuft nicht auf dem Server in der DMZ, macht ja keinen Sinn, sondern dafür habe ich einen Raspbian Pi genommen, der Raspbian 2 Version 2, also ganz alt noch, weil das vollkommen ausreicht.
Und der hängt normal im Netz und falls der erste nicht reagiert, gehen sie zum zweiten.
Ingo:
[39:41] Und wie gleichen die sich ab? Also ist das, wie mache ich sowas?
Robert:
[39:47] Das ist eben in dem Server schon integriert. Ich hatte ja schon von den Schemas geredet.
Das sind diese Objekte. Das sind ja feste Objekte im LDAP, wo die Informationen drin liegen.
Und neben den Schemas gibt es auch noch dynamische Objekte. Das ist zum Beispiel die Replication. Die Replication ist sozusagen ein sogenanntes Overlay, nennt man das, das da drüber gelegt wird.
Da wird ein Benutzer angelegt, da liegt mein eigener Benutzer an, der für die Replication zuständig ist, der sich dann eben anmeldet beim anderen Server und sagt, hey, hier ist ein neues Paket, auch mit Passwort, das heißt, das ist schon mal passwortgeschützt, das ist die Replication.
Und sagt dann, hey, ich habe hier ein neues Paket, hier habe ich eine Änderung, hier, nimm die, trag die bei dir ein.
Und da geht das wirklich hin und her und die kümmern sich selbstständig.
Hat man einmal definiert, was ist der zweite Server, der im LDAP-System da ist und wenn man bei beiden die Benutzer eingerichtet hat, dann kümmern die sich selbstständig drum.
Da musst du nichts mehr machen. Du sagst nur noch, wie häufig sollen die das machen.
Ingo:
[40:48] Okay, einfach eingebaut sozusagen. Das wissen die schon.
Robert:
[40:53] Der Oberschlüssel ist der und das wurde schon recht früh geliefert.
Das Ganze ist auch noch verschlüsselt mit entweder TLS-Verschlüsselung oder SSL.
Ingo:
[41:05] Okay. Ja, gut, da hat sich jemand gleich am Anfang mal Gedanken gemacht.
Robert:
[41:10] Wenn man das nur wüsste, gell?
Ingo:
[41:13] Okay, also du würdest diesen ganzen Mechanismus jetzt empfehlen für zu Hause?
Robert:
[41:22] Also, das ist jetzt eine gute Frage. Wenn man jetzt, wie gesagt, jeder seinen eigenen Rechner hat, die Familie, also vielleicht die Eltern haben einen Rechner, Kinder haben jeder ihren Rechner.
Wenn das so ein Setup ist und man hat nur sozusagen sein Zuhause, dann ist es schon ein bisschen übertrieben, das Ganze, muss ich ganz ehrlich sagen.
[41:42] Erstmal lernen, wie LDAP funktioniert, dann vielleicht noch Zertifikate erstellen, mit denen man die Verschlüsselung macht und dann die Struktur aufbaut.
Das ist schon ein Anspruch. Ist man aber zum Beispiel selbstständig, hat vielleicht noch sein Geschäft im Zuhause oder sein Büro hier und irgendein Mitarbeiter, der von außen dazukommt, also dass man das Netzwerk in unterschiedliche Bereiche aufteilen kann, wo vielleicht Gruppen- und Benutzerrechte unterschiedlich sein sollten, damit die Zugriffe gesteuert werden und da man nicht die Übersicht verliert.
[42:17] Und da könnte man sich schon überlegen, mit so einer Lösung, also zwei LDAP-Server, ich würde zwei nehmen, einfach für die Ausfallsicherheit und Verschlüsselung, das Ganze auf ein Level zu stellen, wo man sagt, okay, wenn was passiert, habe ich eine Stelle, wo ich hingehe, wo ich zum Beispiel den Benutzer deaktiviere oder das Passwort schnell ändere, damit nichts mehr geht und aber auch eben Gruppenrechte definiert sind.
Ja, ich bin so, meine Kinder hassen mich dafür.
Ich habe ja nicht nur für die Arbeit, sondern auch für die Familie verschiedene Gruppen gemacht.
Da gibt es eben die Familie, dann gibt es die Gruppe Eltern, dann gibt es die Gruppe Kinder, dann gibt es die Gruppe meine Familie, dann gibt es eine Gruppe für meinen Bruder, die Familie. Da bin ich ziemlich streng.
Aber das hat auch seinen Grund und jeder hat noch seine eigene Gruppe, jeder Benutzer.
Also das kann man da alles definieren und dann kann man auch sagen, okay, in der Gruppe sind eben die Mitglieder drin, in der Gruppe sind die Mitglieder drin.
Und das wird dann sofort auf alle Clients verteilt, die eben an dem LDAP angeschlossen sind.
Und man muss nicht jeden Einzelnen abgrasen und schauen, habe ich die richtige Nummer gegeben oder nicht.
Okay.
Ingo:
[43:22] Also genau, für zwei Leute vielleicht ein bisschen overengineert.
Robert:
[43:29] Aber … Hat man einen Verein zum Beispiel, da kommen wir nämlich noch dazu.
Ich glaube, das ist das, die Frage, neben dem lohnt sich das?
Das kommt auch darauf an, in welchem Umfang möchte ich denn LDAP nutzen oder kann ich es nutzen?
Wir haben jetzt hier schon mal vom Login gesprochen, über Clients an den verschiedenen Systemen.
Eben die Benutzer- und Gruppenverwaltung, das Management kann ich damit machen, auch die Truners kann sich an einen LDAP-Server hängen und du kannst die ganzen Benutzer, die auch auf der Truners arbeiten sollen, also die Gruppenrechte und was da ist, auch über das Directory auf die Truners bringen.
Was die Rechte angeht, was die Benutzer angeht, darf der in der Gruppe sein.
Ich nehme auch Leute aus, Zum Beispiel das erste, was ich mache, ist, der Root-Benutzer ist nicht im LDAP.
Einfach aus dem Grund, wenn zum Beispiel die Maschine vom Netzwerk getrennt werden muss, aus irgendeinem Grund kann ich mich als Root eben lokal direkt dort anmelden.
Da will ich keinen haben. Auch die Gruppe vom Root ist nicht im LDAP drin, sondern die ist wirklich separiert, dass im Notfall auf alle Fälle der Root-Benutzer Zugriff bekommt.
[44:46] Schöne Sache. Dann, wie du jetzt das ist für dich dann vielleicht eine Aufgabe, wenn du ein bisschen vertrauter bist mit OpenSense und schon deinen Apache Directory Server hast, eine Anmeldung an der Firewall kann man über LDAP machen.
Dann musst du keinen Benutzer auf der OpenSense anlegen, um dich zum Beispiel dort authentifizieren.
Ingo:
[45:07] Kann ich dir auch die Firewall-Regeln im LDAP ablegen?
Robert:
[45:11] Interessante Sache. Interessante Sache. Habe ich noch nichts gefunden dazu.
Ingo:
[45:17] Möglich ist es. Bestimmt mit irgendwelchen Schemaerweiterungen würde auch der Fall gehen. Nicht, dass es sinnvoll wäre, aber eine Möglichkeit.
Robert:
[45:24] Man kann Schema selber schreiben. Das geht, aber da muss man dann ziehen.
Da bist du dann der König vom LDAP sozusagen.
Aber wo wir bei dem Thema sind, Firewall, da benutze ich es auch.
Die VPN-Authentifizierung liegt bei mir im LDAP.
Ich habe eine Gruppe VPN-User und da liegen die, das Schöne ist ja, bei den, bei diesen, da muss man unterscheiden, Gruppen sind im LDAP das, was auf dem Linux-Rechner dann die Gruppen sind, da eben Root, Robert, Kinder, Eltern, was weiß ich.
Ingo:
[46:02] Users, Media.
Robert:
[46:05] Keine Ahnung. Bei, wenn man jetzt das für bestimmte Services nutzen möchte, kommt wieder ein Overlay dazu, ein neues Modul, das nennt sich MemberOf oder DynamicLists.
Das kann man dann da einrichten und man nimmt so ein DynamicList-Objekt und dort werden die IDs, die CommonNames, das ist sozusagen dieser Index von.
[46:27] LDAP-Objekten, der Common Name, die werden dann in diese dynamische Liste eingefügt, zum Beispiel jetzt bei der, wenn man für den VPN so eine Gruppe definieren möchte, so eine Member sozusagen, und da kommen dann die Elemente, werden nur verlinkt auf das Objekt, die Links werden auf die Objekte reingelegt, also nicht einmal die, da wird kein neues Objekt eingekriegt, sondern nur Verknüpfungen sozusagen.
Und wenn dann ich mich per OpenVPN anmelde, gebe ich ja meinen Benutzernamen und mein Passwort an.
Und durch den VPN geht die Firewall her, fliegt am LDAP an, gibt es auf dem LDAP einen Benutzer, der Member von der Gruppe, oder der Member, ja man muss sagen Gruppe, bitte jetzt nicht falsch verstehen, der Member einer Gruppe ist, die sich VPN nennt und der Benutzername ist Robert.
Dann sagt der LDAP-Server, ja, gibt es. Dann geht er her und sagt, okay, ich komme jetzt mit dem Benutzer Robert, der hat mir das Passwort gegeben, ist das korrekt?
Dann sagt der LDAP-Server, ja, ist korrekt und dann sagt der OpenVPN, jetzt darf er rein.
[47:40] Und das finde ich sehr schlau, weil wenn dann zum Beispiel das Handy verloren gegangen ist, Wenn man eben auch über das Handy da die VPN macht, dann braucht man nur eben beim Benutzer das Passwort einmal ändern, dann ist der VPN geblockt.
Dann kann irgendjemand, der mit dem Handy hat und wenn da leider Gottes das Passwort gespeichert ist im VPN, kann er es nicht mehr verwenden, kommt nicht mehr rein.
Ingo:
[48:03] Ich kann ja nicht nur den VPN anbinden, sondern eben auch noch ganz, ganz viele andere Sachen.
Also VPN ist natürlich, weiß ich nicht, welche, vielleicht welche VPN-Lösung benutzt du da?
Ist das egal? Kann ich alles an VPN anbinden, äh, alles an LDAP anbinden?
Robert:
[48:19] Also man kann die OpenVPN kann man anbinden an LDAP. Da gibt es einen eigenen Auth-Plugin.
Das ist in der OpenSense sogar konfigurierbar.
Das funktioniert auf alle Fälle. bei IPsec bin ich mir nicht ganz sicher.
Ich spiele gerade mit Gedanken auf IPsec Strongspawn zu wechseln. Oh Gott.
Ingo:
[48:40] Nein, nein, nein, nein, nein, nein.
Robert:
[48:42] Nein.
Ingo:
[48:42] Nein, nein, nein, nein, nein, nein, nein, nein. IPsec macht keinen Spaß.
Robert:
[48:47] Ich weiß. Das ist aber, da muss ich dich jetzt leider schocken.
OpenSense hat Strongspawn als IPsec reingebracht, implementiert und die werden da wechseln, leider.
Ingo:
[49:01] Aber da gibt es auch die Möglichkeit.
Robert:
[49:04] Sich mit Benutzername und Passwort zu authentifizieren. Und in der Open Sense kannst du dann sagen, gegen welchen Server möchtest du dich authentifizieren.
Und da kannst du den Open LDAP-Server auch auswählen.
Ingo:
[49:14] Okay, das ist schön. Aber IPsec will ich nicht mehr machen. Ich will binden.
Es geht. Das ist halt das.
Robert:
[49:21] Und ja, auch WireGuard, nachdem ja jetzt WireGuard in die Open Sense, in die aktuellste, hast du schon die 24.1-Version. die neueste.
Da ist nämlich WireGuard mittlerweile im Kernel wieder mit drinnen.
Die kann aber, da kannst du dich nicht authentifizieren, sondern da hast du ja nur SSH-Keys, die du verteilst und dann eben die Verbindung aufbaust.
Das geht nicht.
Ingo:
[49:47] Ja, aber kann man ja irgendwas basteln. Derjenige kann sich einloggen und dann das Zertifikat generieren und dann importieren.
Robert:
[49:55] Richtig. Also das geht auch. Das kann man machen. Zertifikate sollte man sowieso verwenden, auch weil ja der Server, wenn du TLS nimmst und SSL oder SSL nimmst als im LDAP, brauchst du irgendwo eh ein Zertifikat, mit dem du hergehst.
Da musst du sowieso dann, das geht ja nicht anders, kommst du sonst auch nicht ins Netzwerk rein. Also ja, das kann man machen.
Hat alles für sich Vor- und Nachteile, aber zumindest kann ich sagen, OpenVPN geht auf alle Fälle und ich habe es mir bei IPsec schon mal angeschaut, habe aber das Setup noch nicht durchgezogen, dass ich sage, ich probiere es mal mit meinem Handy aus, ob das funktioniert, so wie ich es mir vorstelle.
Einrichten kann man es bei der OpenSense, für die, die es interessiert.
Ja, PFSense weiß ich nicht, weil ich keine habe.
Ingo:
[50:44] Okay, also ich kann es für meinen Samba-Server benutzen, für Authentifizierung.
Robert:
[50:51] Richtig.
Ingo:
[50:52] Kann ich es auch, weiß ich nicht, benutze es auch für Mail?
Also kann ich auch meinen Mail-Server da irgendwie anbinden?
Hast du das auch gemacht?
Robert:
[51:02] Ich hab's nicht gemacht. Da bin ich sowieso, muss ich beschimpft werden.
Ich hab Plain Passwords auf dem Mail-Server. Ich hab's nicht gesagt.
Ich hab's nicht gesagt. Nein, nein, nein, nein. Das hat niemand gehört.
Der ist in einem Jail und der ist hinter der Firewall. Also da gehe ich davon aus, dass es noch sicher ist.
Aber ja, ich habe einen DAF-Code-Mail-Server, der kann auch über LDAP, mit dem LDAP-Server sprechen.
Und wenn dann im Benutzerobjekt auch die Mailadresse hinterlegt ist und da kann man nicht nur eine an einem Objekt hinterlegen, sondern mehrere E-Mails kann man da hinterlegen an einem Objekt, dann kann man auch den DAF-Code an den LDAP-Server dranhängen und da kann man seine Mail-Accounts mit einem Passwort eben anbinden.
Ingo:
[51:46] Okay.
Robert:
[51:46] Das ist möglich.
Ingo:
[51:49] Und E-Mail-Adressen könnte ich am LDAP auch abbilden, wenn ich will. Richtig.
Robert:
[51:53] Ja.
Ingo:
[51:54] Da könnt ihr jetzt irgendwie irgendwelche Gruppen anlegen von E-Mail-Adressen, keine Ahnung, um irgendwelche Mail-Listen zu erzeugen oder irgendwas anderes.
Robert:
[52:02] Also Mail-Listen bin ich mir nicht sicher, ich weiß aber, und das habe ich auch schon vorbereitet, bei mir, bei meinen Objekten ist die Mail schon mit dran, an mir, an meiner Frau und so, und ich habe ja auch ein paar E-Mail-Adressen, da sind auch die Mail-Adressen von den Konten, die ich am Mail-Server habe, auch alle einzeln an einem Objekt hinterlegt.
Du musst kein Neues mehr dafür erschaffen, sondern gewisse Elemente im LDAP können mit mehreren Werten versehen werden.
Und das ist natürlich dann nochmal praktisch, um natürlich die Übersicht zu behalten und das alles möglichst klein und, wie sagt man schön, sauber zu halten.
Das...
Ingo:
[52:41] Neben dem Mail-Server und VPN und anderen Sachen kann ich natürlich auch zigtausend Web-Tools anbinden.
Robert:
[52:48] Also alles.
Ingo:
[52:49] Glaube ich, fast alles, was man sich irgendwie installieren kann, geht auch gegen LDAP mittlerweile.
Robert:
[52:55] Richtig. Also Klassiker, WordPress. Ich habe auch WordPress am Laufen, weil es halt einfach ist.
Habe ich mich schon informiert. Es gibt ein Plugin dafür. Das habe ich noch nicht ganz rund.
Aber ja, kann man machen. Das sozusagen auch, wenn man das gepflegt hat mit einer Gruppe, dann kann man da eben die Anmeldung gegen LDAP machen und das Schöne ist, es geht ja dann vom Web-Server aus zum LDAP-Server, also nicht übers Netz, sondern es geht halt schön lokal das Ganze und auch, und das finde ich sehr interessant, da bin ich wirklich dabei, das zu machen, es gibt bei Nextcloud auch Erweiterungen, dass man lesend auf den LDAP-Server kommt.
Das heißt, die Benutzer vom Nextcloud sind im LDAP hinterlegt und sogar Schreibzugriff auf den LDAP kann man über eine Erweiterung im Nextcloud machen.
Ingo:
[53:49] Und das willst du dann auch für zu Hause einbinden?
Robert:
[53:52] Sagen wir so, nicht schreiben, nur lesen, das ist dann die Oberstufe, dass man dann sagt, okay, dann haben wir wirklich quasi in Anführungszeichen ein Single Sign-On, was nur mit dem Passwort ist im Moment bei mir.
Aber ja, man kann auch eine Mehrfaktor-Authentifizierung über Plugins und entsprechenden Diensten umsetzen, was bei mir dann auch die Überlegung ist, wie weit will ich das dann noch treiben.
Eben, was man merkt ist, je mehr Dienste du anbindest an das LDAP, umso höher ist, also so ist mein Empfinden, umso höher ist die Sicherung des LDAP-Servers gegen falsche Zugriffe, gegen Ausfälle und sowas, umso höher steigt dann natürlich der Bedarf, dass sozusagen der LDAP natürlich laufen muss, weil alles ja damit eben angebunden wird quasi.
Und man bringt sich da in eine Abhängigkeit, wo man sagt, ja, will ich das denn überhaupt so?
Was ist, wenn da wirklich mal jemand reinkommt, weil er das Passwort gesehen hat, wie ich es in der S-Bahn in mein Handy getippt habe oder weiß ich nicht.
[55:02] Da kann man natürlich dann wirklich hochspinnen. Aber wenn man sich mal überlegt, dass selbst große Firmen eigentlich auch ein LDAP benutzen und auf ihren Telefonen auch irgendwelche Zugriffe machen über VPN oder über den OVA oder was weiß ich, die Office 365 auch eigentlich nur über Passwörter geht und dann kommt ein Mehrfaktor noch dazu.
Das ist dieselbe Sicherheitsstufe eigentlich.
Ingo:
[55:30] Es ist auf jeden Fall so, je mehr Dienst du du anbietest, umso höher wird auch der Nutzen.
Also nicht nur musst du dir natürlich mehr Sachen über Sicherheit Gedanken machen.
Klar, hundertprozentig und zwei Faktor Authentifizierung oder Multi Faktor Authentifizierung sollte man mitdenken.
Wir hatten ja auch in einer der letzten Sendungen diese diese Keys, die man sich holen kann, um dann die Sachen abzusichern, wenn man nicht nur OTPs verwenden will.
Aber definitiv ist so, gut, bei einem Dienst, wenn ich nur Samba machen will oder so, dann lohnt es sich vielleicht noch nicht.
Ja, aber wie gesagt, wenn du sagst, okay, du baust jetzt noch, bindest VPN an, du bindest Storage an, du bindest irgendwie WordPress und Nextcloud.
Und was hatte man letztens noch? Paperless in NGX.
Und das Tool und jenes Tool, was man zu Hause vielleicht noch so alles braucht, was weiß ich, eine Kochrezepte-App oder so.
Robert:
[56:35] Keine Ahnung. Definitiv, das braucht eine Anwendung.
Ingo:
[56:39] Genau, dann lohnt es sich halt irgendwann. So für einen Dienst würde ich jetzt sagen und für ein paar Rechner, nee, aber je weiter wir kommen, desto mehr denke ich, vielleicht muss ich es dann doch mal angehen.
Aber ich habe gerade zum Beispiel auf meinem QNAP-NAS mal geguckt, ich kann da tatsächlich auch einen LDAP-Server einfach einschalten und kann sagen, hier, mach mir den, also selbst wenn ihr jetzt sagt …, Ja, nee, das selber aufsetzen von so einem OpenLDAP mit Replikation und einem Schieß-mich-tot ist mir ein bisschen zu viel.
Robert:
[57:17] Ihr könnt.
Ingo:
[57:18] Wenn ihr ein vorhandenes NAS habt, ich weiß gar nicht, geht das nicht vielleicht in der OpenSense auch, dass man irgendwie einfach nur sagt, man hätte gerne einen LDAP-Server?
Robert:
[57:27] Also in der OpenStance weniger, also sagen wir so, da machst du die Anbindung an den LDAP-Server, das geht da über den, da gibt es einen eigenen Server-Bereich, wo du das machst.
In der TrueNAS, da heißen diese vorgefertigten Jails-Plugins, da gibt es auch ein OpenLDAP-Plugin, also ein vorgefertigtes OpenLDAP-Jail, was man einrichten kann.
Ingo:
[57:50] Also ein Server.
Robert:
[57:51] Ja, aber es ist ja so, dass du dann natürlich noch die Kurve bringen musst, die Daten in das Ding hineinzubekommen und da sind manche Dinge schon eine Lernkurve.
Wenn man die dann hat, dann kann man beliebig viele OpenAlder-Server aufbauen und das wird immer gehen.
Das kann ich wirklich sagen, weil ich habe jetzt schon erstmal ein paar Mal meinen eigenen OpenLDAP-Server hochgezogen, weil es wieder nicht ging und ich verzweifelt bin, aber eben auch schon mal andere OpenLDAP-Server aufgebaut für andere Herausforderungen, andere Aufgaben.
Ja, das geht wirklich gut und das ist wirklich, wie du sagst, bei der QNAP einschalten, dass der eingerichtet wird und zack, bumm, kommt man drauf und man kann loslegen damit. mit.
Ingo:
[58:37] Genau, also wenn ihr so ein fertiges NAS habt oder, gibt natürlich auch, ich habe früher so Geschichten von Univention verwendet, also Univention Server, also auch auf Debian-Basis, den du installierst, wo du halt quasi gleich eine Web-Oberfläche hast und auch LDAP-Objekte anlegen kannst.
Also es gibt da auch fertige Software oder Software, die es einem ein bisschen leichter macht.
Aber Aber, wie wir auch beschrieben haben heute hier, den schweren Weg mit harter Lernkurve ist natürlich auch was, wenn man sagt, ja, nee, ich gucke mir das jetzt mal richtig an, so wie der Robert, der das tatsächlich von der Pike auf jetzt alles mal durchprobiert hat und du bist zufrieden mit dem Setup, oder? Hör ich so raus? Ja.
Robert:
[59:23] Ich bin zufrieden. Ich muss sagen, ich sehe jetzt die Vorteile, die es bringt, das sehe ich jetzt schon.
Einfach dadurch, weil wenn sie in der Familie jetzt hier arbeiten und auch die Tochter mal runter geht und meint am Werkstattrechner was machen zu müssen für den Drucker oder sowas.
Sie geht einfach runter, meldet sich dort an, hat ihr sofort die Freigaben und die Rechte, alles da, was sie braucht.
Und ich brauche mir da keine Gedanken machen, dass da irgendwie was verschoben wird oder weil sie ausprobiert irgendetwas, da die Gruppenrechte oder jemanden die Rechte nimmt und sowas. Das passiert einfach nicht, weil wir die zentrale Sammlung haben.
Und wenn mal was passieren sollte, was verloren geht, das ist immer so meine Sache. Okay.
[1:00:07] Dass Zugriff von Leuten, die nicht zugreifen sollen, relativ einfach zu lösen sind.
Wie gesagt, an ALDAB-Servers Passwort ändern, dann ist das Passwort weg vom OpenVPN.
Der Login an den Rechner geht nicht mehr. Gut, wenn der ist gecached, ist schon, aber falls der sich mal wieder verbinden sollte aus dem Grund, dann geht es nicht mehr.
Also man kann auch Mails dann damit verhindern, wenn ja der Mail-Server auch am ALDAB hängt, kann man dann auch den Zugriff auf die Mails mit einem einzigen Ändern des Passworts sofort unterbinden.
Das ist, das ist sehr viel, bringt sehr viel, besonders wenn man unterschiedliche Aufgaben in einem kleinen Netzwerk eben hat, wie meine Firma, die Firma meiner Frau, wo ich da Zugriff brauche, die Kinder mit Studium, was weiß ich, was sie haben, so kann man da schon eine gewisse Ruhe für sich selbst reinbringen in das Ganze.
Ingo:
[1:00:58] Wo wir noch bei Web-Applikationen gerade waren, was man natürlich auch oder was viele Web-Applikationen auch unterstützen, neben LDAP sind solche Geschichten wie OpenID, Connect und Sammel.
Da bräuchte man jetzt zum Beispiel Keycloak oder sowas. Sowas hast du aber nicht angebunden an deinen LDAP.
Robert:
[1:01:19] Oder? Nein, also ich interessiere, ich finde auch diese Passkey-Geschichte sehr interessant, ist jetzt bei mir noch nicht so im BSD mit drinnen ich finde sowas sehr interessant auch, YubiKey wäre auch so eine Sache, was interessant wäre, aber das habe ich noch nicht am Laufen, da muss ich sagen, das sind so die wo ich mehr gar machen möchte aber das sind halt Schritte, wo ich sage, okay da muss ich jetzt erst einmal noch das Setup festigen und ich muss da sicher sein dass ich dann da die nächsten Schritte mache.
Ingo:
[1:01:52] Okay, da können wir uns ja dann beim nächsten Mal vielleicht drüber noch unterhalten.
Robert:
[1:01:57] Mal schauen.
Ingo:
[1:01:59] Genau, ich überlege noch, ob ich mir jetzt auch einen LDAP-Server aufsetze oder nicht.
Wie gesagt, das ist jetzt in meinem Setup noch nicht vorgesehen.
Ich bin dabei, ein paar Virtual-Maschinen und sowas zu migrieren, aber ich habe, wir betreiben ja, oder ich betreibe ja auch eine Mastodon-Instanz und da ist es auch immer so, ja, zurzeit sind das alles einzelne User sozusagen.
So zu sagen, wäre es nicht irgendwie sinnvoller, die zentral vorzuhalten.
Eine mögliche Überlegung, aber genau, sonst hat man halt ziemlich viele verschiedene Datenbanken und wäre natürlich geschickter, wenn man die zentral hätte.
Robert:
[1:02:36] Ich kann dir noch sagen, typische Elemente, die es noch gibt, die vielleicht auch die Zuhörer interessieren könnte, Sudo-Regeln kannst du auch im LDAP hinterlegen. Ganz interessant.
Auch Host-Objekte, dass du sagst, dass Benutzer sich sich nur auf bestimmten Hosts anmelden können, weil eben bestimmte Hosts nur eingetragen sind für ihn. Das sind alles Sachen.
Jetzt, wie gesagt, ich komme aus der Sicherheitsbranche und Ding, da bin ich ein bisschen paranoid.
Habe ich nicht gemacht. Sudo mag ich sowieso nicht. Ich bin immer gleich der Root-Benutzer. Ich bin da so.
Free BSD. Gut, die haben auch Sudo.
Aber ich bin da eben da, wo man sich denkt, das könnte nützlich werden.
Man schaut es sich an, wie man es implementieren kann. Und das geht halt im LDAP einfach, weil dieses LDAP ist schon so ausgereift und bietet verschiedenste Möglichkeiten, die man…, Noch gar nicht richtig, aber ich selber immer noch staune und sage, sowas kann man damit machen, echt nicht schlecht.
Warum hat man das nicht schon früher irgendwie gemacht?
Weil es einfach, es bietet Möglichkeiten, wo man sagt, okay, das ist eigentlich mal was, wo man vorankommt und wo man sich das Leben auch leichter machen kann.
Ingo:
[1:03:55] Sehr schön.
[1:04:22] Und der LDAPs und der Mail-Server sozusagen spielt und ich tatsächlich, die Nextcloud und solche Geschichten einfach gegen den Mail-Server authentifizieren lasse.
Weil da meine ganzen User-Daten drin liegen.
Das ist aber, so habe ich es zum Beispiel auch beim Java-Server gemacht, genau, da kannst du aber sagen, hier, du hast einen DAV-Card, der DAV-Card holt sich die User aus der Datenbank Und du authentifizierst gegen den DAF-CAD, aber das unterstützen halt nicht viele Programme. Richtig.
Das ist schon eher so ein spezielles Ding. Ja.
Und entweder man schreibt sich jetzt was, um dann jeweils von den ganzen Programmen auf die Datenbank zuzugreifen, die man eventuell schon angelegt hat.
Oder man baut sich dann doch mal was, um alles in den LDAP oder irgendein anderes Format zu kriegen, was man zum Beispiel an den Keycloak anbinden kann.
Also das sind so die Überlegungen, die ich habe und deswegen, ja, wollte ich auch mal wissen, warum du dich jetzt für Eldab entschieden hast und wie du das zu Hause baust.
Robert:
[1:05:30] Es ist ja auch so, ähm.
Wie ich schon am Anfang sagte, es ist ja ein, wie du auch gesagt hast, so ein Telefonbuch.
Bei Telefonbuch sind wir genau bei dem Thema, was es ursprünglich nämlich war.
Es war ein Telefonbuch und Thunderbird zum Beispiel bietet auch an, das Adressbuch am LDAB zu hinterlegen.
Dass man dann die Adressen in seinem Adressbuch in einem schnellen Verzeichnis hat, wo verschiedene Leute zugreifen können und man hat eine zentrale Sammelstelle, in der sozusagen die Kontakte hinterlegt sind.
Das war eigentlich der ursprüngliche Gedanke auch vom LDAP, ein zentrales Telefonregister zu haben und Thunderbird nutzt das heute noch und die sind da auch dabei.
Das ist also nicht irgendwie vergessen und man macht es halt, sondern das wird auch aktiv angepriesen, dass man sagt, wir können mit den LDAP-Servern eben arbeiten und man kann Adressbücher auch dort ablegen. Geht.
Macht auch manche. Genau.
Ingo:
[1:06:26] Wenn man ein größeres Unternehmen hat oder mehrere Leute sind, genau, dann kannst du da deinen LDAP-Server anbinden.
Wobei ich meinen, weiß ich nicht, meinen Thunderbird oder auch andere Sachen natürlich auch mal benutze unterwegs und dann nicht eigentlich nicht den LDAP freigegeben haben will in alle Welt.
Also das machst du ja auch nicht, ne? Also du hast ihn ja auch nur zu Hause in deinem Netzwerk und eben nicht nach außen so freigegeben.
Robert:
[1:06:54] Richtig.
Ingo:
[1:06:54] Da müsste man dann schon nochmal irgendwie einen zweiten haben, den man vielleicht mit öffentlichen Daten füllen will oder so.
Robert:
[1:07:01] Da gibt es Konstrukte wie diesen Tree, dieser Directory Tree, der ja die Struktur hier nennt.
Deswegen gibt es ja auch bei Microsoft dann den Forest, weil der Forest ist nichts anderes als verschiedene mehrere Trees, die einfach zusammengebunden werden. So einfach ist das Ganze.
Ingo:
[1:07:20] Ah.
Robert:
[1:07:20] Ja, Ja, praktisch. Und ja, natürlich kann man dann auch den Tree anders aufstellen und dann sagen, okay, der ist dann über SSL oder TLS und mit besonderen Sicherheitsgeschichten angebunden, dass man wirklich auch von außen zukommt.
Aber ja, mein Tipp gleich am Anfang vorweg, niemals einen LDAP-Server von Internet aus zugänglich machen.
Nein, das macht man nicht. Will ich gleich von vornherein sagen.
Ingo:
[1:07:51] Genau. Außer man hat wirklich einen, der keine Daten enthält, die wichtig sind, die nicht für die komplette Öffentlichkeit sind.
Dann kann man das vielleicht machen.
Robert:
[1:08:02] Vielleicht für Have I Been Porn oder so. Vielleicht kriegt man da Daten in den LDAP-Server oder so.
Wer weiß. Genau.
Ingo:
[1:08:12] Ich betreibe eine öffentliche LDAP-Server und ihr könnt mir Daten geben.
Robert:
[1:08:15] Genau.
Ingo:
[1:08:17] Ansonsten nochmal an die Hörer da draußen. Ihr könnt gerne natürlich Kommentare, schreiben und uns sagen, was weiß ich, vielleicht haben wir noch ein paar tolle Web-Tools oder so hier vergessen, die man auch an LDAP anbinden kann, die ihr so benutzt.
Oder ihr sagt mal, was ihr vielleicht für ein Home-Setup habt.
Wie gesagt, wir haben jetzt schon ein bisschen angefangen.
Ich bin immer noch am am Aufbauen, Rumbauen, aber immer mehr von der Infrastruktur, die ich vorher ja, bei dem Provider extern hatte, wandert jetzt nach und nach bei mir ins Homelab.
Aber ja, da steht jetzt auch schon einiges an Technik und ich habe halt auch einen Glasfaseranschluss und Strom vom Dach, deswegen ist das jetzt so der, der, der, genau, der Punkt, weswegen ich sage, das ist mir einfach einfach zu teuer im Netz.
Ich bring das jetzt nach Hause, weil da ist alles vorhanden.
Man muss sich bloß mit den ganzen Themen mal mit beschäftigen.
Richtig. Und ja, LDAP ist da definitiv ein Punkt, den man sich angucken sollte oder kann.
Gut, dann vielen Dank, dass du uns mal in den Setup geführt hast.
Robert:
[1:09:32] Gern geschehen.
Ingo:
[1:09:33] Ja, ich hoffe, wir hören dich demnächst. Irgendwas zu BSD zu berichten gibt.
Oder wenn wir uns, wie gesagt, dann nochmal tiefer in die, Infrastruktur, die man so zu Hause aufbauen kann.
Robert:
[1:09:48] Sehr gerne.
Ingo:
[1:09:49] Vielen Dank und bis zum nächsten Mal.
Robert:
[1:09:52] Bis zum nächsten Mal. Servus.