Samba LDAP Account Manager ''slam''

Motivation
Funktionalität
Zugriffsrechte
Besonderheiten
Home Directory Daemon "homedird"
Weitere Eigenschaften
Demo und Lizenz
Kontakt

1 Motivation

LDAP-Datenbanken sind flexibel und leistungsfähig. Die damit verbundene Terminologie, die typische Struktur einer LDAP-Datenbank mit ihren Abhängigkeiten und die möglichen Operationen sind jedoch für Anwender nicht leicht zu verstehen.

Damit ist auch die Wahrscheinlichkeit der Fehlbedienung gegeben, die sich bei einer zentralen Benutzer- und Gruppendatenbank — wie sie LDAP nun einmal darstellt — sehr unangenehm auswirken kann.

Unsere webbasierte grafische Oberfläche "SLAM" ist auch für Endanwender geeignet, die Benutzer-, Gruppen- und Rechner-Informationen in einer LDAP-Datenbank nachschlagen wollen oder darin nur sehr eingeschränkte Administrationsaufgaben wahrnehmen sollen — über die Struktur der LDAP-Datenbank müssen Sie dazu nichts wissen.

2 Funktionalität

"SLAM" erlaubt eine nach Abteilungen (Standorten, Ländern, …) getrennte Verwaltung von Benutzern, Gruppen und Rechnern in einer LDAP-Datenbank. Die mit "SLAM" möglichen Operationen sind:

  • Gruppen eines Benutzers bzw. Mitglieder einer Gruppe verwalten (2 verschiedene "Sichten" auf die gleichen Daten):
    • Anzeigen
    • Bearbeiten
    • Exportieren
  • Benutzer verwalten:
    • Anzeigen
    • Aktivieren und Deaktivieren
    • Bearbeiten
      • Accountname
      • Titel, Vorname und Nachname
      • Heimatverzeichnisse (Linux und Windows)
      • Primäre Gruppe
      • Beliebig viele sekundäre Gruppen
      • Logonskript und Loginshell
      • Telefon- und FAX-Nummer
      • Mailadresse
      • Beliebig viele Mailaliase
      • Beschreibung
      • Passwort (Inhalt, Verfallsdatum, Änderbarkeit, Sperre)
      • Aktiv/Inaktiv
    • Erstellen und Kopieren
    • Umbenennen und Verschieben (Land, Standort, Abteilung, …)
    • Löschen und Wiederherstellen
  • Gruppen verwalten:
    • Anzeigen
    • Bearbeiten
    • Erstellen und Kopieren
    • Umbenennen und Verschieben (Land, Standort, Abteilung, …)
    • Löschen und Wiederherstellen
  • Rechner verwalten:
    • Anzeigen und Bearbeiten
    • Erstellen und Kopieren
    • Umbenennen und Verschieben (Land, Standort, Abteilung, …)
    • Löschen und Wiederherstellen
  • Länder (Standorte, Abteilungen, …) verwalten:
    • Anlegen, Umbenennen und Löschen
  • Export der Mitglieder einer Gruppe bzw. der Mitgliedsgruppen eines Benutzers im CSV-Format.
  • Generierung einer Datenbank-Übersicht und -Statistik
  • Konsistenzprüfung der gesamten Datenbank
  • Heimatverzeichnisse der Benutzer anlegen, umbenennen, verschieben, archivieren und aus dem Archiv wieder auspacken (indirekt über den Homedir Daemon "homedird").

3 Zugriffsrechte

Über Zugriffsrechte ist steuerbar, welche Anwender welche Daten ansehen bzw. welche Daten sie bearbeiten dürfen.

Die Rechte werden dabei nicht über statische LDAP-ACLs vergeben, sondern dynamisch in der LDAP-Datenbank eingetragen. Daher können sie ohne Änderung an den LDAP-Konfigurationsdateien und vor allem interaktiv angepasst werden.

So kann z.B. ein Abteilungs-Administrator darauf beschränkt werden, in seiner Abteilung Benutzer zu bestimmten Gruppen dieser Abteilung hinzuzufügen bzw. sie daraus zu entfernen. Alle anderen "SLAM"-Funktionen sind ihm nicht gestattet.

4 Besonderheiten

Bei der Gruppenverwaltung gibt es zwei Besonderheiten:

  • Automatische Gewährleistung der Konsistenz:
    Die Mitglieder einer Gruppe müssen als Account existieren.
  • Administration aus zwei "Sichtweisen":
    Mitglieder einer Gruppe und Mitgliedsgruppen eines Benutzers.

Das Tool achtet bei allen Operationen auf die Konsistenz der LDAP-Datenbank und führt auch Prüfungen durch. Das Löschen von Benutzern, Gruppen und Rechner wird z.B. — aus naheliegenden Gründen — nicht wirklich durchgeführt, sondern sie werden:

  • Deaktiviert
  • Aus ihren Gruppen ausgetragen
  • Unter einen LDAP-Eintrag namens "deleted" verschoben.
D.h. im Bedarfsfalle können sie wieder hergestellt werden (unter Beibehaltung ihrer UID/GID!). Dadurch kann der Originalzustand von Benutzern und Gruppen vollständig wiederhergestellt werden, die Besitzverhältnisse von Sicherungsarchiven sind rekonstruierbar und "verwaiste" Dateien / Verzeichnisse werden nicht versehentlich neu angelegten Benutzern oder Gruppen zugeordnet.

5 Home Directory Daemon "homedird"

Die Oberfläche "SLAM" benötigt in der Regel als Ergänzung auf jedem File-Server mit Heimatverzeichnissen den unseren Home Directory Daemon "homedird".

Dieser vergleicht den Zustand der Benutzer-Einträge in der LDAP-Datenbank mit dem Zustand ihrer Heimatverzeichnisse und führt bei Abweichungen die notwendigen Operationen durch.

6 Weitere Eigenschaften

  • Konfigurierbar über eine Konfigurations-Datei slam.conf.
  • Mehrsprachige Oberfläche (derzeit deutsch und englisch — weitere Sprachen sind leicht ergänzbar).
  • Jeder Administrator meldet sich unter seinem eigenen Account an (keine Anmeldung mit LDAP-Admininistrator-Rechten notwendig) und bekommt aufgrund dieser Anmeldung seine Zugriffsrechte zugeteilt. Diese werden vor jeder Aktion überprüft.
  • Logging aller Aktionen auf Datei und im System-Log.
  • Automatischer Mailversand bei bestimmten Aktionen (konfigurierbar).
  • Ändernde Operationen werden gelockt. D.h. arbeiten mehrere Benutzer gleichzeitig mit "SLAM", dann kann zu jedem Zeitpunkt nur einer von ihnen (über "slam") Änderungen an der LDAP-Datenbank vornehmen (aus der LDAP-Datenbank lesen können alle gleichzeitig).
  • Übliche 3-schichtige Struktur:
    • LDAP-Datenbank auf LDAP-Server.
    • Webbasierte Oberfläche "slam" auf Web-Server.
    • Daemon "homedird" auf jedem File-Server mit Heimatverzeichnissen.
  • Datentransfer zu Lotus-Domino möglich.
  • In Perl programmiert (Quellcode einsehbar).

7 Demo und Lizenz

Auf Anfrage erhalten Sie eine Anmeldung für die slam-Demoseite.

Die "slam"-Lizenzkosten hängen ab von der Anzahl der verwalteten Benutzer; mit dem SLAM-Lizenzcalculator können Sie diese berechnen (die Zugangsdaten erhalten Sie auf Anfrage von uns).

8 Kontakt

Nehmen Sie bei Interesse an diesem Produkt bitte mit uns Kontakt auf: