(→LDAP) |
|||
| Zeile 15: | Zeile 15: | ||
* Kerberos einrichten | * Kerberos einrichten | ||
* NFSv4 einrichten | * NFSv4 einrichten | ||
| + | * PAM für Kerberos konfigurieren | ||
== Schritt-für-Schritt Anleitung == | == Schritt-für-Schritt Anleitung == | ||
| − | |||
| − | |||
=== LDAP === | === LDAP === | ||
Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen: | Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen: | ||
| Zeile 35: | Zeile 34: | ||
[...] | [...] | ||
| − | Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung. | + | Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket <code>nslcd</code> empfohlen, sinnvollerweise zusammen mit dem <code>nscd</code> (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der <code>sssd</code>, damit haben wir aber keinerlei Erfahrung. |
| − | nslcd.conf: | + | <code>/etc/nslcd.conf</code>: |
uri ldap://ldap.uni-paderborn.de/ | uri ldap://ldap.uni-paderborn.de/ | ||
base o=upb,c=de | base o=upb,c=de | ||
| Zeile 50: | Zeile 49: | ||
tls_cacertfile /etc/ssl/certs/ca-certificates.crt | tls_cacertfile /etc/ssl/certs/ca-certificates.crt | ||
| − | Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf | + | Danach müssen in der <code>/etc/nsswitch.conf</code> die Einträge für <code>passwd</code> und <code>group</code> jeweils auf |
passwd: files ldap | passwd: files ldap | ||
| Zeile 63: | Zeile 62: | ||
=== Kerberos === | === Kerberos === | ||
| − | + | Die Kerberos-Konfiguration ist deutlich einfacher, es reicht die Datei [http://download.uni-paderborn.de/pc/configs/kerberos/krb5.conf /etc/krb5.conf] auf dem Rechner zu installieren. Mit dem Kommando | |
| + | |||
| + | odenbach@dervish:~$ kinit odenbach | ||
| + | Password for odenbach@UNI-PADERBORN.DE: | ||
| + | |||
| + | kann man testen, ob alles funktioniert. Wenn keine Fehlermeldung kommt hat alles funktioniert, dann kann man mit <code>klist</code> das erhaltene Ticket ansehen. | ||
=== NFSv4 === | === NFSv4 === | ||
| − | + | Das Einrichten von NFSv4 ist [[Netzwerkspeicher auf Unix Workstations einbinden|hier]] bereits beschrieben. | |
| + | |||
| + | === PAM === | ||
| + | Durch die Installation des Pakets <code>libpam-krb5</code> wird die notwendige Konfiguration in <code>/etc/pam.d</code> bereits vorgenommen. Ansonsten empfehlen wir, sich die Konfiguration auf einem öffentlich erreichbaren IMT-Rechner wie <code>sshgate.uni-paderborn.de</code> anzusehen und ggf. zu übernehmen. | ||
=== Nebenbei === | === Nebenbei === | ||
| Zeile 73: | Zeile 80: | ||
== Siehe auch == | == Siehe auch == | ||
| − | + | [[Netzwerkspeicher auf Unix Workstations einbinden|Netzwerkspeicher auf UNIX Maschinen]] | |
| + | |||
| + | [[Single-Sign-On einrichten unter Linux|Single Sign On]] | ||
Version vom 11. Oktober 2019, 14:48 Uhr
| Anleitung | |
|---|---|
 Linux | |
| Informationen | |
| Betriebssystem | Linux |
| Service | Anmeldedienst |
| Interessant für | Angestellte, Studierende und Gäste |
| Linux Portalseite | |
 | This article is a stub. You can help us by expanding it. |
Diese Anleitung richtet sich an Administratoren von Bereichen, die Linux-Rechner mit IMT-Benutzern ausstatten wollen, so dass eine Anmeldung mit IMT-Benutzerdaten möglich ist.
Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]
- LDAP einrichten
- Kerberos einrichten
- NFSv4 einrichten
- PAM für Kerberos konfigurieren
Schritt-für-Schritt Anleitung[Bearbeiten | Quelltext bearbeiten]
LDAP[Bearbeiten | Quelltext bearbeiten]
Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen:
- Welche LDAP-User sollen auf dem System sichtbar sein? Man kann dabei über Gruppen und/oder dezentrale Dienste im Serviceportal filtern.
- Von welchen IPs bzw. aus welchem Subnetz soll der Zugriff erfolgen?
Im Gegenzug erhält man einen Bind-DN und ein Bind-Password.
Jetzt sollte man diese Daten zunächst testen:
odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid Enter LDAP Password: dn: uid=gudrun,ou=People,o=upb,c=de uid: gudrun dn: uid=barbara,ou=People,o=upb,c=de uid: barbara [...]
Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung.
/etc/nslcd.conf:
uri ldap://ldap.uni-paderborn.de/ base o=upb,c=de filter passwd (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE))) base passwd ou=People,o=upb,c=de scope passwd onelevel base group ou=Groups,o=upb,c=de scope group onelevel binddn cn=binddn,ou=admin,o=upb,c=de bindpw secret tls_reqcert demand tls_cacertfile /etc/ssl/certs/ca-certificates.crt
Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf
passwd: files ldap group: files ldap
gestellt werden. Mit dem Kommando
odenbach@fenchurch:~$ getent passwd gudrun gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh
kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).
Kerberos[Bearbeiten | Quelltext bearbeiten]
Die Kerberos-Konfiguration ist deutlich einfacher, es reicht die Datei /etc/krb5.conf auf dem Rechner zu installieren. Mit dem Kommando
odenbach@dervish:~$ kinit odenbach Password for odenbach@UNI-PADERBORN.DE:
kann man testen, ob alles funktioniert. Wenn keine Fehlermeldung kommt hat alles funktioniert, dann kann man mit klist das erhaltene Ticket ansehen.
NFSv4[Bearbeiten | Quelltext bearbeiten]
Das Einrichten von NFSv4 ist hier bereits beschrieben.
PAM[Bearbeiten | Quelltext bearbeiten]
Durch die Installation des Pakets libpam-krb5 wird die notwendige Konfiguration in /etc/pam.d bereits vorgenommen. Ansonsten empfehlen wir, sich die Konfiguration auf einem öffentlich erreichbaren IMT-Rechner wie sshgate.uni-paderborn.de anzusehen und ggf. zu übernehmen.
Nebenbei[Bearbeiten | Quelltext bearbeiten]
- Hier nochmal der Hinweis auf den Menüpunkt "Mitmachen" links im Hauptmenü, hinter dem sich wertvolle Anleitungen und Hinweise verstecken.
- Erfahrene Redakteure finden unterhalb der "Kategorie:Utility templates" interessantes Handwerkszeug für fortgeschrittene Textmanipulationen.