LDAP Adressbuch

  • Hi,


    Bezugnehmend auf


    "Peter_Lehnmann" schrieb:


    wegen des ldap werde ich wohl mal einen eigenen Threat aufmachen. Sonst wird es hier OT.


    in http://www.thunderbird-mail.de…php?f=33&t=43809&start=15


    moechte ich nun fragen wie das genau mit dem LDAP Adressbuch in TB aussieht...


    Die Einrichtung ist da nicht so ein Problem (hab ja schon einen am Laufen) allerdings eher allgemeine Fragen:


    * Ich sehe bis jetzt den Sinn noch nicht ganz. TB kann die Adressen ja nicht bearbeiten d.h. ich muss sie separat am Server pflegen??
    * Das gleiche mit Outlook wo LDAP mehr als stiefmuetterlich behandelt wird...
    * AFAIK kann man in LDAP Zertifikate hinzufuegen. Kann man diese (problemlos) im TB verwenden wenn man jemand ein Mail schickt?
    * Wie pflegst du/ihr das Adressbuch? Direkt mit LDIF? phpLdapAdmin o.ae.? Clientprogramm?
    * Hast du/ihr den LDAP Server (obwohl kein anonymous bind/TLS) nach aussen hin offen? Irgendwie gefaellt mir das nicht so ganz wenn da auch meine Accountdatenbank oben liegt...


    Das waeren so fuers erste mal die wichtigsten Fragen, v.a. wuerden mich aber auch Erfahrungen interessieren (v.a. POSITIVE :-) ) ob damit vielleicht Dinge moeglich sind die ich noch nicht sehe etc.


    Besten Dank im Vorraus.


    lg
    divB

  • Hi divB,


    so, jetzt nehme ich mir die Zeit für eine ausführliche Ahntwort.
    Ich will zuerst auf deine Fragen eingehen.

    "divB" schrieb:

    * Ich sehe bis jetzt den Sinn noch nicht ganz. TB kann die Adressen ja nicht bearbeiten d.h. ich muss sie separat am Server pflegen??


    Ja, wenn ich nur ein einzelnes Programm nutze (hier: Thunderbird) kann ich mir einen eigenen ldap-Server natürlich sparen. Das macht (außer Spaß) keinen Sinn. Einen richtigen Effekt bringt es erst dann, wenn eine signifikante Anzahl an Clients und auch verschiedene Anwendungen darauf zugreifen können. Bei mir neben 5 TB-Installationen auch eine Zertifikatsverwaltung (openCA) und diverse Adressen verwendende Büroprogramme. Und das eben nicht nur zu Hause, sondern auch aus dem Netz.
    Ja, Thunderbird kann wie viele andere Mailclients nicht auf einem ldap schreiben. Warum dass nicht implementiert (bzw. freigeschaltet?) wird, weiß ich nicht. Was ich auf der Konsole mache, müsste doch auch in einen MUA passen :-) Ich habe auch einige Links und Bug-Einträge zum Thema gefunden. Angeblich soll diese Funktion in TB-v3 schon drin (stand in einem Forum ...), und nur noch nicht freigeschaltet sein. (Ich verwende noch TBv2!).
    Meine Lösung: Ich nutze die "Gesammelten Adressen", exportiere ab und an als ldif und importiere diese :-(


    "divB" schrieb:

    * Das gleiche mit Outlook wo LDAP mehr als stiefmuetterlich behandelt wird...


    Ich schrieb ja schon, kaum ein MUA kann das ... .


    "divB" schrieb:

    * AFAIK kann man in LDAP Zertifikate hinzufuegen. Kann man diese (problemlos) im TB verwenden wenn man jemand ein Mail schickt?


    TB kann aus dem ldap Zertifikate zum Verschlüsseln holen: http://wwwrbg.in.tum.de/betrieb/e-mail/ldap/


    "divB" schrieb:

    * Wie pflegst du/ihr das Adressbuch? Direkt mit LDIF? phpLdapAdmin o.ae.? Clientprogramm?


    ihr (also in der "Firma"): Dort nutzen wir zum Editieren kommerzielle Tools der Firma mit den beiden "s" vorn und hinten
    du (also privat): diverse Linux-Tools, gq, jxplorer, und viel auf der Konsole mit den ldaptools.


    "divB" schrieb:

    * Hast du/ihr den LDAP Server (obwohl kein anonymous bind/TLS) nach aussen hin offen? Irgendwie gefaellt mir das nicht so ganz wenn da auch meine Accountdatenbank oben liegt...


    Was du nur hast? Hier im Forum gibt es sogar User, die ihre Adressbücher bei der Datenkrake mit den beiden "g" hosten ... .
    Nein, bei mir gibt es so was natürlich nicht. Bei mir gibt es keine einzige Verbindung nach "außen", die nicht mit TLS, SSL oder anderen Verfahren verschlüsselt ist. Außer vielleicht mein vftpd mit Gastzugang für Gelegenheitsnutzer und eigenes Surfen usw.. Und selbst mein vsftpd ist nur mit userbezogenem Benutzername und Passwort erreichbar.
    OpenLDAP bringt TLS von Hause aus mit. Damit kommen fast alle Anwendungen klar. Leider (soweit ich weiß) spricht Thunderbird mit dem ldapd nur SSL. Also habe ich beide Ports offen. Allerdings nur mit Zwangsverschlüsselung, also auf :389 "nur" mit TLS.
    Ich habe auch mit dem Thunderbird noch keine gegenseitige Auth. mit Zertifikaten hinbekommen (bei ldap sonst Standard). Also regele ich das mit ACL (anonymous auth mit dem hinterlegten Passwort).
    Ich kann mit der damit erreichbaren Sicherheit leben. Und die Logfiles werden ja auch noch gesichtet.
    (Nochmal: Ich berichte hier über meinen kleinen privaten ldap, mit ca. 10 Nutzern, die mein volles Vertrauen haben!)
    Einige Nutzer, die remote auf meine Linux-Rechner zugreifen dürfen, sind auch auf dem ldap als posix-Account angelegt.



    Vielleicht noch einiges zum Einrichten des slapd in Verbindung mit dem Thunderbird:
    Schemen: core, cosine, inetorgperson, nis, extension und mozillaAbPersonAlpha.schema
    Letzteres direkt von der Mozilla-Seite.


    Die von TB v2 und v3 exportierten ldif-Dateien klemmen beim Import auch bei vorhandenem mozillaAbPersonAlpha.schema ein klein wenig. Ich helfe dem ab mit einem kleinen Script, welches ich im Netz gefunden und "arg umgebaut" habe. Dieses benennt einige Objekte aus dem Export etwas um und markiert einige wenige Einträge, die ich nicht unterbringen kann. Kann ich bei Interesse posten.


    Gegenwärtig läuft der Dienst auf einem uralten Notebook "ohne Deckel" und auch nicht an jedem Tag rund um die Uhr, aber immer öfter ... . Mein Ziel ist, diesen auch noch auf eine meiner Fritz-Box zu portieren. Es ist eine arge Frickelei - wie in alten Zeiten wo wir um jedes KB freien Hauptspeicher gekämpft haben. Die Fritte hat "nur" 64 MB.
    Momentan hat bei mir das Portieren auf die Box Priorität gegenüber dem Feinschliff des Dienstes auf dem Notebook. Er läuft ja bereits ganz ordentlich, aber Verbesserungen sind immer möglich und das Thema wird mich wohl noch lange beschäftigen :-)


    So, das wars fürs erste ... .


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter!


    Ah vieelen dank fuer deinen Report und fuers Zeit nehmen!


    Leider siehts ja wirklich eher duster aus...allerdings reizt mich das jetzt sodass es es einfach probieren moechte wenn ich endlich Zeit finde ;-)


    Zitat

    Ja, wenn ich nur ein einzelnes Programm nutze (hier: Thunderbird) kann ich mir einen eigenen ldap-Server natürlich sparen.


    Ja im weiteren Sinne gilt das auch fuer Mail z.B. Trotzdem hab ich halt gerne meinen eigenen IMAP Server, kann von ueberall darauf zugreifen, auch per Webmail.


    Zitat

    Angeblich soll diese Funktion in TB-v3 schon drin (stand in einem Forum ...), und nur noch nicht freigeschaltet sein. (Ich verwende noch TBv2!).


    Wooow echt? Wenn das stimme waere es natuerlich super!


    Allerdings hab ich gestern den TB3 fuer ca. 5 Minuten installiert und gleich wieder deinstalliert. Meine ganzen Extensions werden noch nicht unterstuetzt.


    Auf der anderen Seite kann es ja wie du schon geschrieben hast nicht soo eine Hexerei sein dann wundert es mich wieso es noch keine Extension gibt. Vielleicht lese ich mich mal ein und versuche eine Extension zu schreiben.


    "divB" schrieb:

    * Das gleiche mit Outlook wo LDAP mehr als stiefmuetterlich behandelt wird...


    Was ich damit (auch) meine: Mein Wunsch waere es ja in Outlook und Thunderbird das gleiche Adressbuch zu haben, da ich Outlook leider noch als Kalender einsetze wegen der Synchronisation mit Pocket PC. Aber wie von MS nicht anders zu erwarten synchronisiert das LDAP Adressbuch natuerlich nicht ActiveSync/PocketPC.


    Der PocketPC ist jetzt ENDLICH eh kaputt und ich moechte schauen dass mein naechstes Terminsystem so offen wie moeglich ist, vorzugsweise iCal, CalDAV bzw. SyncML. Nachdem ich ja jetzt nicht im Lande bin habe ich mir fuer die Uebergangszeit schon einen Datenschkrakekalender angelegt und fahre mit Lightning. Ich haette dann vor einen eigenen CalDAV Server zu verwenden. Leider hab ich noch keine Idee ob das wirklich stabil laeuft und das naechste Endgeraet muss das System natuerlich auch unterstuetzen. Leider bietet iCal nicht diese vielen Features die Outlook bietet. z.B. Zuweisen mehrerer Kateogrien, Anhaengen von Dateien/Kontakten an Termine uvm. Ok, es wird OT ;-)


    Zitat

    TB kann aus dem ldap Zertifikate zum Verschlüsseln holen: http://wwwrbg.in.tum.de/betrieb/e-mail/ldap/


    Great, super, thank you very much! Ich hoffe das funktioniert dann auch in Zusammenhang mit meiner neuen "Auto Encryption" Extension.


    Zitat

    [...] Tools der Firma mit den beiden "s" vorn und hinten


    Aah, irgendwie komm ich jetzt nicht drauf ;-)


    Zitat

    Bei mir gibt es keine einzige Verbindung nach "außen", die nicht mit TLS, SSL oder anderen Verfahren verschlüsselt ist.[...]


    Nein, du hast mich falsch verstanden. Ich meine damit: Selbst verstaendlich waere der LDAP minimal abgesichert mit
    * Zwingender TLS/SSL Verschluesselung
    * Verpflichtender bind (d.h. kein anonymous bind moeglich)


    Was aber dennoch bleibt ist halt dass auf dem LDAP Server auch die Accountdatenbank oben liegt und nachdem das ja eine sehr "interne" Komponente ist hat das fuer mich einen bitteren Beigeschmack nach aussen freizugeben. Auch mit SSL/Login.


    Zitat

    Ich habe auch mit dem Thunderbird noch keine gegenseitige Auth. mit Zertifikaten hinbekommen (bei ldap sonst Standard). Also regele ich das mit ACL (anonymous auth mit dem hinterlegten Passwort).


    Sorry das verstehe ich noch nicht ganz. Dass du dich am LDAP Server icht per Usernamen/Passwort (d.h. bind) einloggst sondern mit Benutzerzertifikat?


    Und was ist "anonymous bind mit hinterlegtem Passwort"? Ein anonymous bind braucht ja per Definition kein Passwort?


    Zitat

    Ich helfe dem ab mit einem kleinen Script, welches ich im Netz gefunden und "arg umgebaut" habe. Dieses benennt einige Objekte aus dem Export etwas um und markiert einige wenige Einträge, die ich nicht unterbringen kann. Kann ich bei Interesse posten.


    Ja sehr sehr gerne! Aber ich noch brauche ich es nicht, wuerd mich dann wieder hier melden :-)


    Zitat

    Gegenwärtig läuft der Dienst auf einem uralten Notebook "ohne Deckel"[...]


    Genau das hatte ich auch mal, allerdings nur fli4l auf einem 486er Notebook. Mittlerweile lebe ich mit ca. 200W Dauerverbrauch und habe einen anstaendigen Server, managed Switch, USV etc. feinsaeuberlich im 19'' Rack. Manche verrauchen das Vielfache der Kosten (ca. 10 EUR pro Monat) wie ich es auch frueher getan habe ;-) da ist mir das als mein "Hobbyprojekt" nun wert.


    LG,
    divB


    PS: LOL, die Weihnachtssmileys :D :lol:

  • Hi divB,


    was die ldap-Schreibfähigkeit des TB betrifft, so habe ich das ja nicht ohne Hintergedanken hier gepostet ... .
    Denn ich kenne mich in den tiefsten Internas des Programmes nicht wirklich aus. Ich versuche zwar, mir einen Reim aus den Einträgen in den erweiterten Einstellungen zu machen, aber das ist alles sehr empirisch.
    Aber vielleicht liest doch jemand mit, der auf diesem Gebiet ein Auskenner ist :-)


    Persönlich habe ich allerdings auch kein Problem mit der fehlenden Schreibfähigkeit. Ich bin mir meinen ldap-Browsern sehr zufrieden. Habe also keinen Druck, hier irgend was bei Bugzilla zu suchen oder gar zu posten.


    "divB" schrieb:

    Allerdings hab ich gestern den TB3 fuer ca. 5 Minuten installiert und gleich wieder deinstalliert. Meine ganzen Extensions werden noch nicht unterstuetzt.


    Halte ich als normal. Ich empfinde das (ja, so nenne ich es!) Geschrei mancher Nutzer hier im Forum schon fast als Frechheit. Nutzen ein kostenloses Programm. Nutzen Add-ons von Programmierern, die dieses als Hobby in ihrer Freizeit coden, und erwarten, dass das Update dieser Add-uns zeitgleich mit der neuen Programmversion herauskommt.
    Auf meinem "Produktivsystem" kommt erst dann die neue Version drauf, wenn die 3er Version auf der VM problemlos mit allen als notwendig erachteten Add-ons funktioniert. Und keinen Tag eher!


    "divB" schrieb:

    Was ich damit (auch) meine: Mein Wunsch waere es ja in Outlook und Thunderbird das gleiche Adressbuch zu haben, ...


    Auf meinen ldap kann ich auch mit Ausgugg-hurtig zugreifen ... .


    "divB" schrieb:

    Great, super, thank you very much! Ich hoffe das funktioniert dann auch in Zusammenhang mit meiner neuen "Auto Encryption" Extension.


    Hast du die geschrieben? Und du suchst doch garantiert einen Tester?
    Und ich stürze mich auf alles, was mit kry zusammenhängt. So ein Zufall ... .


    "divB" schrieb:

    Aah, irgendwie komm ich jetzt nicht drauf ;-)


    Werner von ... Liegen jetzt alle auf dem Friedhof in Stahnsdorf bei Berlin.


    "divB" schrieb:

    Was aber dennoch bleibt ist halt dass auf dem LDAP Server auch die Accountdatenbank oben liegt und nachdem das ja eine sehr "interne" Komponente ist hat das fuer mich einen bitteren Beigeschmack nach aussen freizugeben. Auch mit SSL/Login.


    Ich sagte schon: ACL.
    Mit "anonymous auth" melden sich Benutzer mit ihrem hinterlegten PW an.
    Jetzt kannst du ganz feine Regeln vergeben, was sie sehen und was sie sogar ändern können => eigenes PW.
    An der ACL-Kette habe ich tagelang gesessen ... .
    Fakt ist: Dank TLS geht nix offen über den Kanal und dank qualifiziertem Passwort kommt auch ohne x.509-Auth niemand so schnell rein. Und die ACL tun das übrige.
    Gegen das übliche Hintergrundrauschen durch unsere Spielmatzen mit ihren "Cracktools" helfen Timereinstellungen die bremsend wirken und auch Tools wie fail2ban. Aber so weit bin ich noch nicht.


    "divB" schrieb:

    Sorry das verstehe ich noch nicht ganz. Dass du dich am LDAP Server icht per Usernamen/Passwort (d.h. bind) einloggst sondern mit Benutzerzertifikat?


    Klar. Ist in openLDAP eingebaut => SASL. Sind aber alles Erweiterungen, die ich zwar aus meinem dicken Buch kenne, aber noch nicht realisiert habe.


    "divB" schrieb:

    Und was ist "anonymous bind mit hinterlegtem Passwort"? Ein anonymous bind braucht ja per Definition kein Passwort?


    Stimmt. Aber die Regel "by anonymous auth" bedeutet, dass "Arno Nym" überhaupt erst einmal Zugriff zum Authentisieren bekommt. Dann sendet er seinen binddn+Passwort und darf das, was in darunterfolgenden Regeln steht. Also meinetwegen unter ou=people lesen und das eigene PW ändern. Und am Ende der Regelkette steht "by * none". Wer dort untern ankommt hat eben Pech.


    Das genannte Script poste ich dir gern. Wenn du es brauchst, sage Bescheid. Vielleicht gibt es bis dann noch Verbesserungen.


    "divB" schrieb:

    Genau das hatte ich auch mal, allerdings nur fli4l auf einem 486er Notebook. Mittlerweile lebe ich mit ca. 200W Dauerverbrauch und habe einen anstaendigen Server, managed Switch, USV etc. feinsaeuberlich im 19'' Rack. Manche verrauchen das Vielfache der Kosten (ca. 10 EUR pro Monat) wie ich es auch frueher getan habe ;-) da ist mir das als mein "Hobbyprojekt" nun wert.


    fli4l habe ich mir kurz angesehen. Ich bin aber sehr lange beim "großen Bruder" IP-Cop geblieben. Aber das ist alles Geschichte. Ich habe beim letzten Umzug alles an älterer Hardware entsorgt bzw. verschenkt. Ich habe zu Hause wirklich nur noch meine Fritz-Box, die Notebook-Ruine als Dauerläufer und einen einzigen Desktop-Rechner zu stehen. Und ab Wochenende mein neues Notebook. Hauptgründe dafür waren: WAF, Energiekosten, Platz und "Einsicht in die Notwendigkeit". Reihenfolge kannst du dir selbst festlegen :-)
    Die Sicherheitsfunktionen des IP-Cop bringt jetzt auch meine Fritte dank echtem iptables. (+ vsftpd, + sambad, +NIS, +ntpd, +torrent-Client usw.)



    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!

  • Hallo Peter!


    Ich habe einen alternativen Client gefunden der mir sehr gut zusagt, vielleicht gefällt er dir ja auch: LdapAdmin.


    Ist halt nur für Windows, aber:
    * Klein, schnell und kompakt
    * Keine unnötige Installation
    * Kann mittels XML Dateien mit Templates ausgestattet werden die ein LDAP Schema auf eine schöne GUI abbilden. Beispielsweise hab ich jetzt eine "tbaddressbook.ltf"-Datei. Immer wenn nun ein Objekt mozillaAbPersonAlpha als ObjectKlasse hat kommt ein Reiter "Thunderbird" dazu mit den betreffenden Einträgen. Im Basisblatt ist eine Checkbox dabei mit der man die Klasse hinzufügen oder entfernen kann (von einem bestehenden Objekt). GENIALST!
    * Zusätzlich natürlich ein normaler Eigenschaftsdialog in dem man die Attribute manuell bearbeiten kann
    * Schwachpunkt: Kein TLS (sondern nur SSL über eigenen Port)


    Zum "Geschrei": Ich hoffe dass du die "Frechheit" nicht auf mich beziehen willst denn ich habe mich weder beschwert noch noch ein negatives Wort deswegen verloren. Faktum ist dass die Extensions noch nicht angepasst sind und ich deswegen wieder den 2er installiert habe.


    Zur AutoEncryption Extension: Nein nicht ich geschrieben ;-) Kann ich aber nur sehr empfehlen, mir gefällt sie sehr gut.


    Zum Zugriff auf LDAP: Ich verstehe noch immer nicht was du meinst, sorry. Meinst du mit "anonymous auth" vielleicht einfach den "authentication bind"?


    Aber ich glaube ich weiss eh schon was du meinst: Der User meldet sich mit seinem DN, mittels ACLs werden die Zugriffsrechte bestimmt sodass er z.B. ein globales Adressbuch lesen kann, seinen eigenen Eintrag lesen kann und davon nur das Passwort schreiben. Aber irgendwie ist das ja fast die Standardconfig eines OpenLDAP Servers (zumindest bei mir mittels 3 ACL Zeilen, allerdings noch ohne Adressbuch) ;-)


    Aber unabhängig davon wenn du mir dein Script zukommen lassen könntest wäre ich dir sehr dankbar, denn gar so viele Erfahrungen hab ich noch nicht und ich denke dass ich mir sicher einige Sachen abschauen könnte.


    LG
    divB


    PS: Ist es eigentlich möglich *mehrere* Mailadressen in einem LDAP Eintrag für TB zugänglich zu machen, also nicht nur die 2 normalen?

  • Hi divB,


    Klarstellung:

    "divB" schrieb:

    zum Geschrei": Ich hoffe dass du die "Frechheit" nicht auf mich beziehen willst denn ich habe mich weder beschwert noch noch ein negatives Wort deswegen verloren. Faktum ist dass die Extensions noch nicht angepasst sind und ich deswegen wieder den 2er installiert habe.


    NEIN und nochmals NEIN, du bis damit keinesfalls gemeint! (Glaubst du, ich würde mich mit dir auf eine schöne Diskussion über den ldap einlassen, wenn ich dich damit gemeint hatte?!? Mir geht einfach die momentan hier vorhandene Diskussion auf die Ketten, wo einige User erwarten, dass die Freizeit-Entwickler der Add-ons blitzartig zu reagieren haben.)
    Ich denke, damit ist dieses Thema beendet ... .


    "divB" schrieb:

    Zur AutoEncryption Extension: Nein nicht ich geschrieben ;-) Kann ich aber nur sehr empfehlen, mir gefällt sie sehr gut.


    Muss ich mir mal ansehen. Wobei ich mit Add-ons, welche in die Kryptografie eingreifen, seeeeeeeeeeeehr vorsichtig bin. Bei der Evaluierung kryptografischer Programme werden sehr häufig Fehler bei der Implementierung der als sicher geltenden Algorithmen entdeckt, welche die ganze Anwendung damit unsicher machen.


    "divB" schrieb:

    Ist es eigentlich möglich *mehrere* Mailadressen in einem LDAP Eintrag für TB zugänglich zu machen, also nicht nur die 2 normalen?


    Ich kenne es nur mit zwei Adressen pro Eintrag. Aber neimand hindert dich daran, für eine Person mehrere Einträge anzulegen. Sie müssen doch nur die Adressen und sonst nicht viel mehr enthalten. Andere UID und das wars schon.


    MfG Peter

    Thunderbird 45.8.x, Lightning 4.7.x, openSUSE Tumbleweed, 64bit
    S/MIME, denn ich will bestimmen, wer meine Mails lesen kann.
    Nebenbei: die Benutzung der (erweiterten) Suche, und von Hilfe & Lexikon ist völlig kostenlos - und keinesfalls umsonst!
    Und: Ich mag kein ToFu und kein HTML in E-Mails!