PADL

PADL er utdatert anno 2017 til fordel for Active Directory; se Samba. Nedenstående dokumentasjon er kun historisk.

PADL er (som navnet baklengs skulle hinte om) en erstatning for LDAP, med vesentlig mindre kompleksitet, høyere ytelse, bedre offline-oppførsel og generelt mindre smerte. Vi bruker PADL for å distribuere brukere og grupper til Linux-bokser, uten å måtte blande systembrukere og personlige brukere.

Virkemåte

PADL er, essensielt sett, å installere libnss-db (en NSS-modul som henter passwd- og group-informasjon fra BerkeleyDB-filer), og bruke PADL-datasettet. Datasettet inneholder brukere og grupper som ikke er systembrukere og systemgrupper.

Generering

PADL-datasettet inneholder relevant informasjon fra /etc/passwd og /etc/group på cassarossa; eller, rettere sagt, «getent passwd» og «getent group». Distinksjonen er viktig, fordi cassarossa selv kjører libnss-db for å hente gruppeinformasjon fra MedlemsDB2.

Generering skjer fra /etc/cron.d/padl-update på cassarossa hvert femte minutt, som kaller /usr/local/sbin/update-padl.sh. update-padl.sh filtrerer ut systembrukere og -grupper fra lokal passwd og group, og kjører så noen makefiler som følger med libnss-db for å generere BerkeleyDB-filer.

Distribuering

ITKs maskiner får typisk PADL-filene fra puppet.

Maskiner som ikke er i puppet, f.eks. ARKs arbeidsstasjoner, kan hente dem fra https://itk.samfundet.no/padl/, f.eks. med «wget -N» for å oppdatere etter behov. Det er per i dag ingen begrensninger på hvem som kan hente; vi regner ikke bruker- og gruppeinformasjon som hemmelig.

Løgner

Vi filtrerer ikke ut systemgrupper ennå, siden gid-rangene er litt spredd hit og dit.

Lenker: Start, gammel dokumentasjon, ldap