(LDAP-Zugriff per SSL) |
|||
Zeile 34: | Zeile 34: | ||
<code>/etc/nslcd.conf</code>: | <code>/etc/nslcd.conf</code>: | ||
− | uri | + | uri ldaps://ldap.uni-paderborn.de/ |
base o=upb,c=de | base o=upb,c=de | ||
filter passwd (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE))) | filter passwd (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE))) |
Version vom 27. April 2020, 16:04 Uhr
Anleitung | |
---|---|
Linux | |
Informationen | |
Betriebssystem | Linux |
Service | Anmeldedienst |
Interessant für | Angestellte, Studierende und Gäste |
Linux Portalseite |
Diese Anleitung richtet sich an Administratoren von Bereichen, die Linux-Rechner mit IMT-Benutzern ausstatten wollen, so dass eine Anmeldung mit IMT-Benutzerdaten möglich ist.
Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]
- LDAP einrichten
- Kerberos einrichten
- NFSv4 einrichten
- PAM für Kerberos konfigurieren
Schritt-für-Schritt Anleitung[Bearbeiten | Quelltext bearbeiten]
LDAP[Bearbeiten | Quelltext bearbeiten]
Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen:
- Welche LDAP-User sollen auf dem System sichtbar sein? Man kann dabei über Gruppen und/oder dezentrale Dienste im Serviceportal filtern.
- Von welchen IPs bzw. aus welchem Subnetz soll der Zugriff erfolgen?
Im Gegenzug erhält man einen Bind-DN und ein Bind-Password.
Jetzt sollte man diese Daten zunächst testen:
odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid Enter LDAP Password: dn: uid=gudrun,ou=People,o=upb,c=de uid: gudrun dn: uid=barbara,ou=People,o=upb,c=de uid: barbara [...]
Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd
empfohlen, sinnvollerweise zusammen mit dem nscd
(Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd
, damit haben wir aber keinerlei Erfahrung.
/etc/nslcd.conf
:
uri ldaps://ldap.uni-paderborn.de/ base o=upb,c=de filter passwd (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE))) base passwd ou=People,o=upb,c=de scope passwd onelevel base group ou=Groups,o=upb,c=de scope group onelevel binddn cn=binddn,ou=admin,o=upb,c=de bindpw secret tls_reqcert demand tls_cacertfile /etc/ssl/certs/ca-certificates.crt
Danach müssen in der /etc/nsswitch.conf
die Einträge für passwd
und group
jeweils auf
passwd: files ldap group: files ldap
gestellt werden. Mit dem Kommando
odenbach@fenchurch:~$ getent passwd gudrun gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh
kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).
Kerberos[Bearbeiten | Quelltext bearbeiten]
Die Kerberos-Konfiguration ist deutlich einfacher, es reicht die Datei /etc/krb5.conf auf dem Rechner zu installieren. Mit dem Kommando
odenbach@dervish:~$ kinit odenbach Password for odenbach@UNI-PADERBORN.DE:
kann man testen, ob alles funktioniert. Wenn keine Fehlermeldung kommt, hat alles funktioniert. Dann kann man mit klist
das erhaltene Ticket ansehen:
odenbach@dervish:~$ klist Ticket cache: FILE:/tmp/krb5cc_2041_BSV3G1lvHz Default principal: odenbach@UNI-PADERBORN.DE Valid starting Expires Service principal 10/11/2019 15:46:41 10/12/2019 01:46:38 krbtgt/UNI-PADERBORN.DE@UNI-PADERBORN.DE renew until 10/12/2019 01:46:39
Natürlich ist auch hierbei ein Benutzername zu wählen, der aus dem LDAP kommt.
NFSv4[Bearbeiten | Quelltext bearbeiten]
Das Einrichten von NFSv4 ist hier bereits beschrieben.
PAM[Bearbeiten | Quelltext bearbeiten]
Durch die Installation des Pakets libpam-krb5
wird die notwendige Konfiguration in /etc/pam.d
bereits vorgenommen. Ansonsten empfehlen wir, sich die Konfiguration auf einem öffentlich erreichbaren IMT-Rechner wie sshgate.uni-paderborn.de
anzusehen und ggf. zu übernehmen.
Nebenbei[Bearbeiten | Quelltext bearbeiten]
- Hier nochmal der Hinweis auf den Menüpunkt "Mitmachen" links im Hauptmenü, hinter dem sich wertvolle Anleitungen und Hinweise verstecken.
- Erfahrene Redakteure finden unterhalb der "Kategorie:Utility templates" interessantes Handwerkszeug für fortgeschrittene Textmanipulationen.