© Michael Ilgner, Fotolia.com

Umfangreiche Benutzerdaten, Adressbücher und die Systemkonfiguration liegen am besten in einem zentralen LDAP-Verzeichnis. Wer da den Überblick behalten will, braucht spezielle Tools.

Ein Verzeichnisdienst wie OpenLDAP ist eine feine Sache. Wer einmal Blut geleckt hat, will nach und nach immer mehr Dienste an ihn anbinden und zentral verwalten. Einstiegsdroge ist in der Regel das zentrale Benutzermanagement, dann kommt ein gemeinsames Adressbuch dazu. Spätestens wenn er die Konfiguration von Systemdiensten im LDAP verwalten will, braucht der Admin einen vernünftigen Werkzeugkasten. Die Bandbreite der hier vorgestellten Tools reicht von der einfachen Benutzerverwaltung a là Kuser bis zu Netzwerkmanagement-suiten wie Gosa oder Luma.

Benutzerverwaltung: Kuser

Die Zielgruppe von Kuser ist klar: Admins, die auf Ihrem Desktop mit KDE unterwegs sind und Benutzer zentral im LDAP speichern. Per Mausklick verwalten sie damit ohne große Umwege User und Gruppen, aber auch nicht mehr. Kuser ist intuitiv, schnell und funktioniert und es unterstützt auch die klassische Benutzerverwaltung in »/etc/passwd« oder NIS. Die Fülle an Daten, die der LDAP-Server bieten kann, bleibt zwar im Verborgenen, für reines Usermanagement zur Authentifizierung reicht das Tool aber völlig aus. Sogar den Kontakt zum Server kann Kuser aufbauen. Über den Menüeintrag »Datei | Anbindung wählen« wählt der Admin aus vorher angelegten Scha-blonen die passende Einstellung.

Wer häufig zwischen verschiedenden LDAP-Servern wechseln muss, dürfte das schätzen. Und wer heterogene Netze verwaltet, freut sich über die Optionen im Samba-Bereich (Abbildung 1), wo er Eingabefelder für Anmeldeskripte, Pfade für die Profile, persönliche Laufwerke und die Vorlagen für die persönlichen Ordner speichern kann.

Abbildung 1: Zwar erledigt Kuser nur die Benutzerverwaltung, das aber recht ordentlich. Sogar die erweiterten Features, die Samba-User brauchen, sind enthalten.

Yast: Server, Client, Browser

Open-Suse bringt mehrere Module für die Administration eines LDAP-Servers und der Clients mit. Yast konzentriert sich dabei ebenfalls auf die reine Benutzerverwaltung. Mit dem LDAP-Server-Modul setzt der Admin konkurrenzlos einfach einen Verzeichnisdienst auf und verwaltet dessen Basisfunktionen. Allerdings braucht es dafür auf allen Open-Suse-Versionen ein »zypper up yast2-LDAP-server«, um das Modul zu installieren.

Mit dem standardmäßig vorhandenen Yast-LDAP-Client bindet der Suse-Admin die Benutzerverwaltung eines Rechners an den zentralen Server an, inklusive Automounter und zentraler Homeverzeichnisse Der ebenfalls immer installierte LDAP-Browser besteht dagegen nur aus einem simplen zweigeteilten Fenster mit dem LDAP-Baum und den Details der Einträge. Zwar lassen sich Einträge ändern, aber eine Schaltfläche »Neuer Eintrag« oder gar eine Löschfunktion sucht der Admin vergebens. Überhaupt wirkt der Browser recht träge und eignet sich daher schon deswegen eher zum Betrachten als zum Ändern der Einträge.

Wie der Suse-Admin seinen LDAP-Baum bevölkern und Einträge hinzufügen soll, verraten die Module nicht, hier ist Handarbeit [1] gefragt. Die Mühe lohnt sich aber, denn an vielen Stellen in Yast, so zum Beispiel in der ebenfalls optionalen CA-Verwaltung, finden sich Schaltflächen, die direkt den zentralen LDAP-Server nutzen.

Alt, aber vollständig: GQ

Während Kuser auf QT setzt, kommt der LDAP-Client GQ in der aktuellen Version von August 2008 mit der Versionsnummer 1.2.3 als GTK-GUI daher. Häufig totgesagt, erfreut sich das seit 2006 spärlich weiterentwickelte Tool immer noch einigen Zuspruch. Vielleicht ist ja beim Erscheinen dieses Artikels auf der Projektseite [2] wieder mehr zu sehen als das spärliche »It Works« des Webservers. Trotz dieser Widrigkeiten gehört GQ seit Jahren zum Standardumfang der großen Distributionen.

Seine Stärken spielt das Tool vom Start weg (Abbildung 2) aus: Schnell und übersichtlich stellt es alle vorhanden LDAP-Einträge in einer Baumstruktur dar. Mit Hilfe von Suchfiltern oder einfachem Blättern im LDAP-Baum findet der Benutzer schnell, wonach er sucht. Pflichteingaben sind farblich markiert, ein Schema-Browser gehört genauso zur Grundausstattung wie die Template-Gestaltung, mit der sich der Admin häufig wiederkehrende Arbeiten erleichtert.

Abbildung 2: Obwohl der LDAP-Manager GQ nicht sonderlich gut gepflegt ist, verrichtet er tadellos seinen Dienst und erlaubt es, alle Einstellungen im LDAP zu bearbeiten, inklusive der verwendeten Schemata.

Leider ist GQ in die Jahre gekommen, und überträgt keine Binärdaten ins LDAP. Auch das Look-and-Feel ist ein wenig veraltet, aber ansonsten bleiben beim Funktionsumfang wenig Admin-Wünsche offen.

Jxplorer

Eine weiterer umfangreicher Client-Browser für LDAP kommt aus der Feder des Etrust Directory Development Lab von Computer Associates. In Java programmiert, steht der Jxplorer für beinahe jedes Betriebssystem zur Verfügung. Er bietet fast den gleichen Funktionsumfang wie GQ, ist jedoch deutlich moderner gestaltet (Abbildung 3).

Abbildung 3: Der in Java programmierte Jxplorer überzeugt im Test mit einem großen Funktionsumfang und hoher Arbeitsgeschweindigkeit auch bei größeren LDAP-Datenbanken.

Allerdings muss der interessierte Anwender zunächst kleinere Hürden bewältigen: Der Installer von Jexplorer läuft bei Redaktionsschluss nicht mit der allgegenwärtigen Java-Version 1.6. Kein Problem für den Admin, der das Tool direkt bei Sourceforge [3] als »tar.gz«- oder Zip-Datei herunterlädt und nicht die Version mit Installer von der Webseite des Herstellers [4] nimmt. Deren Sinn erschließt sich ohnehin nicht, läuft das Tool doch auch völlig ohne Installation, einfach über den Aufruf von »sh jxplorer.sh«.

In anderen Details zeigt sich Jxplorer dagegen als Profi-Tool mit allen wichtigen Funktionen. Natürlich fehlt der Schema-Editor nicht, ebensowenig der LDIF-Export und -Import. Admins, die bisher die exportierten LDIF-Dateien per Perl-Skript mit einer neuen Root-DN versehen mussten, werden es schätzen, dass sie hier Quelle und Ziel direkt angeben können. Abbildung 4 zeigt den Dialog, in dem der Admin einen Teilbaum für den Export auswählt und die neue Root-DN festlegt.

Abbildung 4: Ein Teilbaum des LDAP-Verzeichnisses mit einem Adressbuch soll als Ldif-Datei exportiert werden. Für den späteren Import in einen anderen Server braucht es einen neuen Root-DN.

Jxplorer überzeugt durch Funktionsumfang und Geschwindigkeit. Ein Adressbuch mit mehreren tausend Einträgen ist schnell geladen, die Suchfunktionen sind umfassend und ihre Ausgabe kann der Benutzer mit HTML-Templates selbst gestalten.

Luma

Mit Luma [5] kommt der letzte Kandidat in diesem Vergleich zum Zuge, der auf dem Desktop als LDAP-Client seinen Dienst verrichtet. Wie Kuser setzt er als KDE-Anwendung auf QT, ist aber deutlich umfangreicher und flexibler, weshalb zahlreiche Systemhäuser und Distributoren wie Corebiz [6] ihre LDAP-Verwaltung darauf aufsetzen. Allerdings scheint es unter Debian-Fans verbreiteter als unter Suse, deren Standard-Repository es nicht enthält.

Ist das Programm mit einem einfachen »aptitude install luma« eingerichtet, zeigt sich schon im Begrüßungsfenster: Die aus Sicht des Admins wichtigsten Aufgaben geben die Richtung vor. Da findet sich zum Beispiel unter »Massive user creation« ein Dialog, in dem der Admin mehrere Benutzer, zum Beispiel die einer neu erworbenen Niederlassung, auf einen Rutsch anlegen kann. Ein Schemabrowser ist ebenso enthalten wie Verwaltung eines Adressbuches, Vorlagen und umfangreiche Admin Utilities.

Schön ist, dass sich Luma auch bei der Anbindung an den LDAP-Server flexibel zeigt. TLS, SSL oder SASL mit den sechs gängigen Verschlüsselungsmethoden sind per Mausklick erledigt (Abbildung 5). Schade nur, dass die Entwickler seit Veröffentlichung der Version 2.4 Anfang 2008 wohl so sehr mit der Portierung auf QT 4 beschäftigt sind, dass sie seitdem keine neue Version oder Patches veröffentlichen konnten.

Abbildung 5: Das umfangreiche KDE-Tool Luma glänzt mit vielen Funktionen und unterstützt alle denkbaren Verschlüsselungsvarianten.

PHP-LDAPadmin

Ganz anders schaut das bei dem wohl beliebtesten Tool für die LDAP-Administration, PHP-LDAPadmin [7] aus. Es wird kontinuierlich weiterentwickelt, setzt als webbasiertes Werkzeug aber die Installation eines Apache-Webservers mit PHP und den LDAP-Modulen von PHP voraus. Wer den Aufwand nicht scheut, bekommt aber ein mächtiges Tool an die Hand. Die Erreichbarkeit übers Web ist sicherlich seine Stärke, ebenso die Möglichkeit, den Benutzern Zugriff zu erlauben.

Die Online-Demo der Version 1.1.0rc6 arbeitet sogar mit einem Red Hat Directory Server zusammen und gibt einen guten Überblick über die umfangreichen und detaillierten Funktionen (Abbildung 6). Darunter fällt der Import und Export von Daten besonders positiv auf. Formate wie LDIF, DSML V.1, VCARD 2.1 oder CSV stehen sowohl dem Admin als auch dem Benutzer zur Verfügung und lassen sich auch auf Teilbäume und in beliebiger Tiefe anwenden.

Abbildung 6: Es dürfte schwer fallen, einen Eintrag im LDAP-Server zu finden, den der Admin nicht mit PHP-LDAPadmin verändern kann. Das webbasierte Tool ist umfangreich und sehr stabil.

Abbildung 7: Die Online-Demo von Lam zeigt: Lam ist eher ein auf das Netzwerkmanagement zugeschnittenes, durchaus gelungenes Frontend für PHP-LDAPadmin. Die kommerzielle Version dürfte dabei nur für wenige Admins nötig sein.

Das Anlegen und Ändern von Einträgen passiert einfach und intuitiv, Pflichteingaben sind hervorgehoben. Für wiederkehrende Verwaltungsaufgaben gibt es Templates, die im XML-Format vorliegen und sich einfach editeren, erweitern oder neu anlegen lassen. Als hilfreich erweisen sich auch die Pseudonyme, wenn Benutzer zum Beispiel lieber »Faxnummer« anstelle von »facsimileTelephoneNumber« lesen sollen. Binäre Attribute lassen sich damit einfach per Upload vom Browser aus im LDAP hinterlegen. So kann der Benutzer zum Beispiel Fotos oder Zertifikate zu Kontakten oder Benutzeraccounts speichern.

Aber der Platzhirsch hat auch seine Schwächen. Negativ fällt das Verwalten mehrerer Benutzer in verschiedenen Gruppen auf, hier sind die Verweise über die »gidNumber« innerhalb der Benutzerverwaltung schlecht gelöst und unübersichtlich. Trotzdem ist PHPLDAPadmin das verbreitetste und wohl ausgereifteste LDAP-Admin-Werkzeug und in zahlreiche Projekte integriert, zum Beispiel auch in Egroupware.

Lam

PHPLDAPadmin liefert auch die Grundlage für den LDAP Account Manager Lam [8], der als freie und als kommerzielle Version erhältlich ist, wobei die Extra-Features, die Lam Pro bringt, nur in wenigen Fällen notwendig sein dürften.

Benutzer der Standardversion treffen auf eine Webapplikation, die teilweise auf PHP-LDAPadmin aufsetzt, aber eigene Vorlagen verwendet. Der Ansatz gefällt, die optische Darstellung ist deutlich intuitiver für Einsteiger und stellt eher das System- und Netzwerkmanagement in den Vordergrund. Daher finden sich schon auf der Startseite Links zu Benutzern, Gruppen, Hosts, Samba, Mail-Aliasen und DHCP-Einstellungen. In der unkomplizierten Online-Demo können sich interessierte Admins ein Bild davon machen (Abbildung 9).

Die Mehrleistung zeigt sich erst auf den zweiten Blick: Mit den Additional Account Modules der Pro-Version erhält der Administrator unter anderem die Möglichkeit, verschachtelte Gruppen zu bilden, wie das bei Active Directory schon lange gang und gäbe ist. Darüber hinaus erlaubt Lam Pro Benutzer-Aliase, unterstützt das Schema »rfc2307bis« und bietet den Benutzern eine Passwort-Reset-Seite mit Sperrfunktion und Self-Service Funktionen, mit denen die User Ihre Daten selbst ändern.

Auch wenn Lam nur eine etwas andere Oberfläche für PHP-LDAPadmin bietet, hat es doch einige interessante Funktionen im Repertoire und macht aus der hierachischen eine dienstbezogene Datenbank-Betrachtung. Nützlich ist sicherlich die PDF-Funktion, die die Benutzerdaten zusammengefasst exportiert. Wer auf die Admin-Zusatzmodule (zum Beispiel für Scalix) oder Access Levels verzichten kann, der findet im freien Lam eine interessante Alternative.

Gosa

Noch einen Schritt weiter gehen Tools wie der Gonicus System Administrator Gosa [9]. Ursprünglich für die Stadt München entwickelt, liegt das Tool mittlerweile in Version 2.6.4 vor und bietet eine umfangreiche Sammlung an Werkzeugen für das Management von Benutzern, Gruppen, Hosts und Services. Dass hier ein LDAP-Verzeichnis als Speicherort dient, bekommt der Admin nur am Rande mit, vor allem wenn er Gosa mit dem Fully Automated Installer FAI kombiniert. Dann kann er Systeme automatisch installieren und zentral administrieren.

Dabei ist das System erweiterbar: In Münchens Limux-Projekt [10] stellen die LDAP-Server damit auch Details wie die Zuordnung von Druckern, Kiosk-Profile, Startmenüs oder die Einstellungen der Grafikkarten zur Verfügung.

Die Gosa-Community wächst schnell, auch weil alle Erweiterungen und Plugins, die in der bayerischen Landeshauptstadt entwickelt werden, in den Upstream zurückfließen. Mittlerweile findet sich so eine umfangreiche Sammlung von Modulen, unter anderem für Opengroupware, Openxchange, Kolab, diverse andere Groupware Server, den Squid-Proxy oder die Samba-Administration.

Abbildung 8: Gosa ist ein umfangreiches Netzwerkmanagement-Tool, das einen LDAP-Server als Datenspeicher verwendet und im Webmin-Stil fast alle Einstellungen verwalten kann.

Webmin oder Desktop?

Böse Zungen nennen Gosa gerne “LDAP-Webmin”, was die Zielvorgabe des Projektes gut beschreibt. Durch die einfache Bedienbarkeit bleibt aber auch ein erheblicher Teil der Möglichkeiten von LDAP vor dem Admin verborgen. Im Gegensatz zu GQ, Jxplorer und PHP-LDAPadmin fehlt dem Tool zum Beispiel ein Schema-Editor, mit dem sich das Verzeichnis an individuelle Bedürfnisse anpassen lässt. Der vielversprechende link »LDAP-Manager« in der WebGUI führt nur zu einer Import/Export-Funktion (Abbildung 8), die aber immerhin mit Excel-Unterstützung glänzt.

Für den LDAP-Einsteiger reichen sicherlich Kuser oder Yast aus, zumindest solange er nur einen Anmeldeserver für sein LAN verwalten möchte. Luma und Gosa eignen sich eher für Anwender, die auch ihre Systemdienste und Rechner im LAN zentral speichern möchten.

Vollen Zugriff aufs LDAP können nur GQ, JXplorer und PHP-LDAPadmin bieten, allerdings verlangen sie häufig fundierte LDAP-Kenntnisse vom Anwender. Ein Schema-Editor zum Beispiel erweist sich für den anspruchsvollen Admin als unverzichtbar, der LDAP-Laie läuft hier Gefahr, seinen Server zu zerschießen.

Tools wie Gosa oder Luma gestalten den Einstieg ins LDAP-basierte Netzwerkmanagement verführerisch einfach, ob individuelle Anpassungen damit auch so simple sind, ist jedoch zu bezweifeln.

Vielleicht lohnt es sich dann doch, mehr Zeit ins Studium zum Beispiel der OpenLDAP Faq-O-Matic [11] zu stecken und auf das Standardtool der LDAP-Admins, PHP-LDAPadmin zu vertrauen. Das hat zweifelsohne die größte Community, die gerne bei LDAP-Hürden hilft.