LDAP Benutzerverwaltung über LDAP - Vor- und Nachteile?

[Jongleur]

Hallo,

ich nutze eine Synology 713+ mit relativ vielen Anwendungen wie:
- Photostation
- Mailstation
- Wordpress
- OwnCloud
- Piwik
...

Ich habe momentan für jede Anwendung eigenen Credentials, überlege das aber über das Paket Verzeichnisdienst zu zentralisieren. Somit würde sich dann eine Passwortänderung in allen Anwendungen direkt auswirken. Dazu habe ich ein paar Fragen:
- LDAP läuft dann parallel und zusätzlich zur lokalen Benutzerverwaltung auf der DS?
- Thema Sicherheit: Wenn nur eine Anwendung durch eine Sicherheitslücke kompromittiert wird, dann hat der Angreifer mit den gestohlenen Credentials Zugriff auf alle möglichen Ressourcen. Das ist also ein Nachteil gegenüber dem Szenario mit den eigenen Credentials für jede Anwendung? Sehe ich das richtig?
- Gehen mir Mails oder Daten verloren, wenn ich die bestehenden User ins LDAP umziehe? Wie mach ich das am besten?
- Könnte ich meine gesamten Kontakte ins LDAP einpflegen und zwischen iOS-Devices und Macbook synchronisieren? Ist das empfehlenswert? Momentan benutze ich die OwnCloud dafür.

Viele Grüße,
Jongleur

 

[Jongleur]

Niemand eine Idee?

 

[cyorps]

LDAP läuft dann parallel und zusätzlich zur lokalen Benutzerverwaltung auf der DS?

Das kann man so machen, auch wenn gerade das NICHT das Ziel eines LDAP sein sollte.

Thema Sicherheit: Wenn nur eine Anwendung durch eine Sicherheitslücke kompromittiert wird, dann hat der Angreifer mit den gestohlenen Credentials Zugriff auf alle möglichen Ressourcen.

Sofern ihm die Wege und Adressen zu den anderen Ressourcen bekannt sind: ja.

Das ist also ein Nachteil gegenüber dem Szenario mit den eigenen Credentials für jede Anwendung? Sehe ich das richtig?

Ja! Hier muss jeder selbst entscheiden, wohin das Pendel in der Frage Sicherheit vs. Nutzerfreundlichkeit weiter ausschwingt.

Gehen mir Mails oder Daten verloren, wenn ich die bestehenden User ins LDAP umziehe?

Nein. Denn kümmerst dich darum, dass die bisherigen Authentifizierungsinformationen durch die zentrale LDAP-Auth ersetzt werden.

Wie mach ich das am besten?

Das musst du für jedes System einzeln eruieren.

Könnte ich meine gesamten Kontakte ins LDAP einpflegen und zwischen iOS-Devices und Macbook synchronisieren? Ist das empfehlenswert? Momentan benutze ich die OwnCloud dafür.

LDAP ist primär dafür gedacht Benutzer und Berechtigungen zu verwalten. Da in großen Systemlandschaften alle Benutzer des Systems gespeichert sind, macht es Sinn, ein LDAP-System als eines der Adressbücher für diverse Clientanwendungen zu benutzen, um die Kontaktdaten der internen Benutzer nicht zusätzlich pflegen zu müssen. LDAP als globales Adressbuch zu nutzen macht nur Sinn, wenn die Clients immer auf das LDAP-System zugreifen können. Denn LDAP ist (out of the box) kein Offline-System, welches Datenpools synchronisiert. Denn LDAP-Server und -Client tauschen sich "online" über bestimmte Daten (Benutzerkennungen, Adressinformationen etc.) aus.

 

[Wallenberg12]

Die Frage des Nutzens von LDAP stellt sich mir auch. Wenn man die NAS für den Hausgebrauch hat, ist LDAP eher ein Overkill. Und darüber hinaus "beharkt" es sich manchmal mit den lokalen Usern. Aus meiner Sicht keien Notwendigkeit einen LDAß Server auf der NAS zu betreiben.