Open Source im professionellen Einsatz
Linux-Magazin 07/2015
© Michael Schulze, Fotolia

© Michael Schulze, Fotolia

Authentifizierung und Rechteverwaltung für Webanwendungen mit LDAP

Zugang World Wide

Statt die Authentifizierung und Rechtezuordnung für die Nutzer von Webanwendungen aufwändig mittels Tabellen in Datenbanken zu managen, lässt sich diese Aufgabe als Admin auch bequem und sicher über ein vorhandenes LDAP erledigen.

287

Warum LDAP für das Benutzer-Backend einsetzen? In vielen Unternehmen und kleinen Organisationen ist ein LDAP bereits vorhanden. Mitarbeiter und andere Benutzer verfügen dann schon über ein Benutzerkonto mit einem zugehören Passwort sowie einigen anderen relevanten Daten, zum Beispiel der E-Mail-Adresse und der Zugehörigkeit zu bestimmten Benutzergruppen.

Diese vorhandenen Informationen lassen sich für nahezu beliebige Webanwendungen wiederverwenden. Vorteil für Administratoren: Durch das zentrale LDAP müssen sie Benutzer und deren Daten nur an einer Stelle pflegen.

Der Benutzer der Webanwendung, die damit verbunden ist, authentifiziert sich dann direkt gegen den Verzeichnisdienst. LDAP seinerseits kann ohne weitere Schwierigkeiten und bei Bedarf auch mit einer verschlüsselten Verbindung auf einem anderen System laufen. Eine mögliche Chaos-Ursache weniger ist das erfreuliche Ergebnis.

Variationen

Für die gängigen Webanwendungen gibt es zwei mögliche Varianten der Umsetzung für die LDAP-Anbindung. Zum einen lässt sich der Apache-Webserver seit Version 2.1 mit Hilfe des Moduls »mod_authnz_ldap« [1] für die Authentifizierung nutzen, alternativ bieten diverse Webanwendungen eine eigene Schnittstelle für die Integration mit einem LDAP an.

In diesem Fall findet die Kommunikation zwischen Webapplikation und dem LDAP-Server statt. Für einige Webanwendungen muss das LDAP-Schema auch um anwendungseigene Objektklassen und Attribute erweitert werden.

Zum Beispiel Trac

Die Teamsoftware Trac [2] lässt sich in allen genannten Varianten betreiben, weshalb sich die folgenden Beispiele auf die Umsetzung der genannten Varianten mit Trac beziehen. Open LDAP ist in dem Beispiel die Gegenstelle.

Wer sich für die beiden Möglichkeiten ohne Schema-Anpassung entscheidet, sollte bedenken, dass diese von Haus aus nur Funktionalität für die Authentifizierung der Benutzer bieten. Um auf Basis von LDAP-Gruppen Berechtigungen zu verteilen, ist die Installation des LDAP-Plugins [3] erforderlich.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 3 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

Linux-Magazin kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • LDAP-Replikation

    Replikation stellt sicher, dass der Verzeichnisdienst LDAP verfügbar ist. Seit Version 2.4 funktioniert sie auch dann, wenn ein Master ausfällt. Das Zauberwort heißt Multimaster-Replikation.

  • Zentrale Meldestelle

    Einen Account unter Linux, Windows und anderen Plattformen nutzen: Mit LDAP als Basis sowie NSS, PAM und Samba als Helfer gelingt die zentrale Benutzerverwaltung.

  • Groupware

    Einen Open-LDAP-Server aufsetzen und sinnvoll strukturiert mit Daten füllen – das macht Arbeit. Die aber ist gut investiert, denn die User zentral verwalten, erspart dem Admin später ein Vielfaches an Zeit und Nerven. Los geht's mit der Integration gängiger Groupwareprodukte.

  • Zentral managen

    Wenn der Applikationsserver Zope im Zentrum der IT-Landschaft steht und seine Benutzerverwaltung zudem per LDAP macht, keimt beim zuständigen Admin bald ein Wunsch auf: Praktisch wäre es, das ganze LDAP-Verzeichnis in Zope statt mit Spezialtools zu verwalten.

  • In der Vermittlerrolle

    Einer für alles - so lautet die Devise der LDAP-Befürworter. Das Plugin »ldapdb« agiert als Proxy zwischen einem Postfix-Mailserver und dem zentralen Verzeichnisdienst und sorgt für sichere Nutzerauthentifizierung mit den Mechanismen des Simple Authentication and Security Layer.

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.