Linux-Rechner mit Uni-Account-Anmeldung versorgen: Unterschied zwischen den Versionen

ZIM HilfeWiki - das Wiki
(Erster Aufschlag, noch nicht fertig.)
(LDAP)
Zeile 42: Zeile 42:
 
[...]
 
[...]
  
Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, es funktioniert aber auch der sssd. Dazu
+
Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung. 
 +
 
 +
nslcd.conf:
 +
 
 +
<code>uri ldap://ldap.uni-paderborn.de/</code>
 +
 
 +
<code>base o=upb,c=de</code>
 +
 
 +
<code>filter  passwd  (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))</code>
 +
 
 +
<code>base    passwd  ou=People,o=upb,c=de</code>
 +
 
 +
<code>scope   passwd  onelevel</code>
 +
 
 +
<code>base    group   ou=Groups,o=upb,c=de</code>
 +
 
 +
<code>scope   group   onelevel</code>
 +
 
 +
<code>binddn cn=binddn,ou=admin,o=upb,c=de</code>
 +
 
 +
<code>bindpw secret</code>
 +
 
 +
<code>tls_reqcert demand</code>
 +
 
 +
<code>tls_cacertfile /etc/ssl/certs/ca-certificates.crt</code>
 +
 
 +
Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf
 +
 
 +
<code>passwd:         files ldap</code>
 +
 
 +
<code>group:          files ldap</code>
 +
 
 +
gestellt werden. Mit dem Kommando
 +
 
 +
<code>odenbach@fenchurch:~$ getent passwd gudrun</code>
 +
 
 +
<code>gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh</code>
 +
 
 +
kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).
  
 
=== Kerberos ===
 
=== Kerberos ===

Version vom 11. Oktober 2019, 14:28 Uhr

Anleitung
Linux Linux
Informationen
BetriebssystemLinux
ServiceAnmeldedienst
Interessant fürAngestellte, Studierende und Gäste
Linux Portalseite

no displaytitle found: Linux-Rechner mit Uni-Account-Anmeldung versorgen

Diese Anleitung richtet sich an Administratoren von Bereichen, die Linux-Rechner mit IMT-Benutzern ausstatten wollen, so dass eine Anmeldung mit IMT-Benutzerdaten möglich ist.

Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]

  • LDAP einrichten
  • Kerberos einrichten
  • NFSv4 einrichten

Schritt-für-Schritt Anleitung[Bearbeiten | Quelltext bearbeiten]

Jeder Arbeitschritt wird hier genau erklärt und ggf. mit Screenshots hinterlegt.

LDAP[Bearbeiten | Quelltext bearbeiten]

Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen:

  • Welche LDAP-User sollen auf dem System sichtbar sein? Man kann dabei über Gruppen und/oder dezentrale Dienste im Serviceportal filtern.
  • Von welchen IPs bzw. aus welchem Subnetz soll der Zugriff erfolgen?

Im Gegenzug erhält man einen Bind-DN und ein Bind-Password.

Jetzt sollte man diese Daten zunächst testen:

odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid

Enter LDAP Password:

dn: uid=gudrun,ou=People,o=upb,c=de

uid: gudrun

dn: uid=barbara,ou=People,o=upb,c=de

uid: barbara

[...]

Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung.

nslcd.conf:

uri ldap://ldap.uni-paderborn.de/

base o=upb,c=de

filter  passwd  (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))

base    passwd  ou=People,o=upb,c=de

scope   passwd  onelevel

base    group   ou=Groups,o=upb,c=de

scope   group   onelevel

binddn cn=binddn,ou=admin,o=upb,c=de

bindpw secret

tls_reqcert demand

tls_cacertfile /etc/ssl/certs/ca-certificates.crt

Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf

passwd:         files ldap

group:          files ldap

gestellt werden. Mit dem Kommando

odenbach@fenchurch:~$ getent passwd gudrun

gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh

kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).

Kerberos[Bearbeiten | Quelltext bearbeiten]

unterteilt werden

NFSv4[Bearbeiten | Quelltext bearbeiten]

Überschriften dritter Ordnung

Nebenbei[Bearbeiten | Quelltext bearbeiten]

  • Hier nochmal der Hinweis auf den Menüpunkt "Mitmachen" links im Hauptmenü, hinter dem sich wertvolle Anleitungen und Hinweise verstecken.
  • Erfahrene Redakteure finden unterhalb der "Kategorie:Utility templates" interessantes Handwerkszeug für fortgeschrittene Textmanipulationen.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weitere interessante Artikel zum gleichen Themenfeld verlinken


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: zim@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des ZIM - Sie finden uns in Raum I0.401

Wir sind zu folgenden Zeiten erreichbar:


Mo-Do Fr
Vor-Ort-Support 08:30 - 16:00 08:30 - 14:00
Telefonsupport 08:30 - 16:00 08:30 - 14:00


Das ZIM:Servicecenter Medien auf H1 hat aktuell zu folgenden Zeiten geöffnet:

Mo-Do Fr
08:00 - 16:00 08:00 - 14:30
Cookies helfen uns bei der Bereitstellung des ZIM HilfeWikis. Bei der Nutzung vom ZIM HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.