Moin!
Ich überlege gerade, einige Notebooks für Aussendienstler auf Linux umzustellen (wir schwanken noch hauptsächlich zwischen SuSE und Ubuntu, werden es wohl hier vom Preis und dem SLA abhängig machen). Momentan läuft darauf Windows XP. Bei der Anwendungssoftware gibts da keine Probleme - ich stehe momentan eher vor einem anderen Problem.
Die User authen sich gegen einen LDAPd. Für die Sicherung des WLAN habe ich mehrere Möglichkeiten (WPA mit PSK, WPA mit AUTH gegen einen RADIUS (der wiederum gegen den LDAPd authet), VPN mit X.509-Zertifikaten über dem WLAN (OpenVPN oder IPSec)).
Da der network-manager per default installiert wird und dieser (so wie ich das sehe) erst nach der Anmeldung überhaupt eine Verbindung aufbaut frage ich mich hier ersteinmal, wie sich die User gegen den LDAPd authen sollen, wenn sie ihn erst nach der Anmeldung überhaupt erreichen können?
Die nächste Frage ist - wie schaffe ich es, dass pam sich an einmal angemeldete User "erinnert", wenn der slapd nicht verfügbar sein sollte? Windows repliziert diese Daten lokal - wenn ein Wintendo-Client also keinen DC findet läuft der AUTH gegen die lokal replizierten Daten - kann LDAP (bzw. pam-ldap) das auch?
Hintergrund ist, dass es halt Notebooks für Außendienstler sind, die nicht dauerhaft online sind - die MA sollen sich aber dennoch anmelden können (logisch 😉).
Dazu habe ich bis jetzt nur sehr crude Lösungen gefunden (Replikation des LDAP-Trees mittels slurp, lokaler AUTH gegen einen slapd, der auf 127/8 lauscht) - das geht bei uns nicht (bzw. das will ich ganz und gar nicht, da der Tree zum einen recht umfangreich ist, zum anderen will ich auch nicht den kompletten Tree auf jedem Notebook haben).
Zusätzliche Abstraktionsschichten (über Samba o.ä.) möchte ich vermeiden.