1 Motivation 
LDAP-Datenbanken sind flexibel und leistungsfähig. Die
damit verbundene Terminologie, die typische Struktur einer
LDAP-Datenbank mit ihren Abhängigkeiten und die möglichen
Operationen sind jedoch für Anwender nicht leicht zu verstehen.
Damit ist auch die Wahrscheinlichkeit der Fehlbedienung gegeben,
die sich bei einer zentralen Benutzer- und Gruppendatenbank —
wie sie LDAP nun einmal darstellt — sehr unangenehm auswirken kann.
Unsere webbasierte grafische Oberfläche "SLAM" ist auch für Endanwender
geeignet, die Benutzer-, Gruppen- und Rechner-Informationen in einer
LDAP-Datenbank nachschlagen wollen oder darin nur sehr eingeschränkte
Administrationsaufgaben wahrnehmen sollen — über die Struktur der
LDAP-Datenbank müssen Sie dazu nichts wissen.
2 Funktionalität
"SLAM" erlaubt eine nach Abteilungen (Standorten, Ländern, …)
getrennte Verwaltung von Benutzern, Gruppen und Rechnern in einer
LDAP-Datenbank. Die mit "SLAM" möglichen Operationen sind:
- Gruppen eines Benutzers bzw. Mitglieder einer Gruppe
verwalten (2 verschiedene "Sichten" auf die gleichen Daten):
- Anzeigen
- Bearbeiten
- Exportieren
- Benutzer verwalten:
- Anzeigen
- Aktivieren und Deaktivieren
- Bearbeiten
- Accountname
- Titel, Vorname und Nachname
- Heimatverzeichnisse (Linux und Windows)
- Primäre Gruppe
- Beliebig viele sekundäre Gruppen
- Logonskript und Loginshell
- Telefon- und FAX-Nummer
- Mailadresse
- Beliebig viele Mailaliase
- Beschreibung
- Passwort (Inhalt, Verfallsdatum, Änderbarkeit, Sperre)
- Aktiv/Inaktiv
- Erstellen und Kopieren
- Umbenennen und Verschieben (Land, Standort, Abteilung, …)
- Löschen und Wiederherstellen
- Gruppen verwalten:
- Anzeigen
- Bearbeiten
- Erstellen und Kopieren
- Umbenennen und Verschieben (Land, Standort, Abteilung, …)
- Löschen und Wiederherstellen
- Rechner verwalten:
- Anzeigen und Bearbeiten
- Erstellen und Kopieren
- Umbenennen und Verschieben (Land, Standort, Abteilung, …)
- Löschen und Wiederherstellen
- Länder (Standorte, Abteilungen, …) verwalten:
- Anlegen, Umbenennen und Löschen
- Export der Mitglieder einer Gruppe bzw. der Mitgliedsgruppen
eines Benutzers im CSV-Format.
- Generierung einer Datenbank-Übersicht und -Statistik
- Konsistenzprüfung der gesamten Datenbank
- Heimatverzeichnisse der Benutzer anlegen, umbenennen, verschieben,
archivieren und aus dem Archiv wieder auspacken
(indirekt über den Homedir Daemon "homedird").
3 Zugriffsrechte
Über Zugriffsrechte ist steuerbar, welche Anwender welche
Daten ansehen bzw. welche Daten sie bearbeiten dürfen.
Die Rechte werden dabei nicht über statische LDAP-ACLs vergeben,
sondern dynamisch in der LDAP-Datenbank eingetragen.
Daher können sie ohne Änderung an den LDAP-Konfigurationsdateien und
vor allem interaktiv angepasst werden.
So kann z.B. ein Abteilungs-Administrator darauf beschränkt
werden, in seiner Abteilung Benutzer zu bestimmten Gruppen dieser Abteilung
hinzuzufügen bzw. sie daraus zu entfernen. Alle anderen "SLAM"-Funktionen
sind ihm nicht gestattet.
4 Besonderheiten
Bei der Gruppenverwaltung gibt es zwei Besonderheiten:
- Automatische Gewährleistung der Konsistenz:
Die Mitglieder einer Gruppe müssen als Account existieren.
- Administration aus zwei "Sichtweisen":
Mitglieder einer Gruppe und Mitgliedsgruppen eines Benutzers.
Das Tool achtet bei allen Operationen auf die Konsistenz der
LDAP-Datenbank und führt auch Prüfungen durch. Das Löschen von
Benutzern, Gruppen und Rechner wird z.B. — aus naheliegenden Gründen
— nicht wirklich durchgeführt, sondern sie werden:
- Deaktiviert
- Aus ihren Gruppen ausgetragen
- Unter einen LDAP-Eintrag namens "deleted" verschoben.
D.h. im Bedarfsfalle können sie wieder hergestellt werden (unter Beibehaltung
ihrer UID/GID!). Dadurch kann der Originalzustand von Benutzern und
Gruppen vollständig wiederhergestellt werden, die Besitzverhältnisse von
Sicherungsarchiven sind rekonstruierbar und "verwaiste" Dateien / Verzeichnisse
werden nicht versehentlich neu angelegten Benutzern oder Gruppen zugeordnet.
5 Home Directory Daemon "homedird"
Die Oberfläche "SLAM" benötigt in der Regel als Ergänzung auf jedem
File-Server mit Heimatverzeichnissen den unseren Home
Directory Daemon "homedird".
Dieser vergleicht den Zustand der Benutzer-Einträge in der
LDAP-Datenbank mit dem Zustand ihrer Heimatverzeichnisse und führt bei
Abweichungen die notwendigen Operationen durch.
6 Weitere Eigenschaften
- Konfigurierbar über eine Konfigurations-Datei
slam.conf.
- Mehrsprachige Oberfläche (derzeit deutsch und englisch — weitere Sprachen sind leicht ergänzbar).
- Jeder Administrator meldet sich unter seinem eigenen Account an
(keine Anmeldung mit LDAP-Admininistrator-Rechten notwendig) und bekommt
aufgrund dieser Anmeldung seine Zugriffsrechte zugeteilt. Diese
werden vor jeder Aktion überprüft.
- Logging aller Aktionen auf Datei und im System-Log.
- Automatischer Mailversand bei bestimmten Aktionen (konfigurierbar).
- Ändernde Operationen werden gelockt. D.h. arbeiten mehrere Benutzer
gleichzeitig mit "SLAM", dann kann zu jedem Zeitpunkt nur einer von ihnen (über "slam")
Änderungen an der LDAP-Datenbank vornehmen (aus der LDAP-Datenbank lesen können alle gleichzeitig).
- Übliche 3-schichtige Struktur:
- LDAP-Datenbank auf LDAP-Server.
- Webbasierte Oberfläche "slam" auf Web-Server.
- Daemon "homedird" auf jedem File-Server mit Heimatverzeichnissen.
- Datentransfer zu Lotus-Domino möglich.
- In Perl programmiert (Quellcode einsehbar).
7 Demo und Lizenz
Auf Anfrage
erhalten Sie eine Anmeldung für die slam-Demoseite.
Die "slam"-Lizenzkosten hängen ab von der Anzahl der verwalteten
Benutzer; mit dem SLAM-Lizenzcalculator
können Sie diese berechnen (die Zugangsdaten erhalten Sie
auf Anfrage von uns).
8 Kontakt
Nehmen Sie bei Interesse an diesem Produkt
bitte mit uns Kontakt auf:
© 2003-2010 OSTC GmbH — $slam.pg,v 1.10 2009-09-12 13:43:52$
|
