(Erster Aufschlag, noch nicht fertig.) |
(LDAP) |
||
| Zeile 42: | Zeile 42: | ||
[...] | [...] | ||
| − | Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, | + | Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung. |
| + | |||
| + | nslcd.conf: | ||
| + | |||
| + | <code>uri ldap://ldap.uni-paderborn.de/</code> | ||
| + | |||
| + | <code>base o=upb,c=de</code> | ||
| + | |||
| + | <code>filter passwd (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))</code> | ||
| + | |||
| + | <code>base passwd ou=People,o=upb,c=de</code> | ||
| + | |||
| + | <code>scope passwd onelevel</code> | ||
| + | |||
| + | <code>base group ou=Groups,o=upb,c=de</code> | ||
| + | |||
| + | <code>scope group onelevel</code> | ||
| + | |||
| + | <code>binddn cn=binddn,ou=admin,o=upb,c=de</code> | ||
| + | |||
| + | <code>bindpw secret</code> | ||
| + | |||
| + | <code>tls_reqcert demand</code> | ||
| + | |||
| + | <code>tls_cacertfile /etc/ssl/certs/ca-certificates.crt</code> | ||
| + | |||
| + | Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf | ||
| + | |||
| + | <code>passwd: files ldap</code> | ||
| + | |||
| + | <code>group: files ldap</code> | ||
| + | |||
| + | gestellt werden. Mit dem Kommando | ||
| + | |||
| + | <code>odenbach@fenchurch:~$ getent passwd gudrun</code> | ||
| + | |||
| + | <code>gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh</code> | ||
| + | |||
| + | kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben). | ||
=== Kerberos === | === Kerberos === | ||
Version vom 11. Oktober 2019, 14:28 Uhr
| Anleitung | |
|---|---|
 Linux | |
| Informationen | |
| Betriebssystem | Linux |
| Service | Anmeldedienst |
| Interessant für | Angestellte, Studierende und Gäste |
| Linux Portalseite | |
 | This article is a stub. You can help us by expanding it. |
Diese Anleitung richtet sich an Administratoren von Bereichen, die Linux-Rechner mit IMT-Benutzern ausstatten wollen, so dass eine Anmeldung mit IMT-Benutzerdaten möglich ist.
Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]
- LDAP einrichten
- Kerberos einrichten
- NFSv4 einrichten
Schritt-für-Schritt Anleitung[Bearbeiten | Quelltext bearbeiten]
Jeder Arbeitschritt wird hier genau erklärt und ggf. mit Screenshots hinterlegt.
LDAP[Bearbeiten | Quelltext bearbeiten]
Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen:
- Welche LDAP-User sollen auf dem System sichtbar sein? Man kann dabei über Gruppen und/oder dezentrale Dienste im Serviceportal filtern.
- Von welchen IPs bzw. aus welchem Subnetz soll der Zugriff erfolgen?
Im Gegenzug erhält man einen Bind-DN und ein Bind-Password.
Jetzt sollte man diese Daten zunächst testen:
odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid
Enter LDAP Password:
dn: uid=gudrun,ou=People,o=upb,c=de
uid: gudrun
dn: uid=barbara,ou=People,o=upb,c=de
uid: barbara
[...]
Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung.
nslcd.conf:
uri ldap://ldap.uni-paderborn.de/
base o=upb,c=de
filter passwd (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))
base passwd ou=People,o=upb,c=de
scope passwd onelevel
base group ou=Groups,o=upb,c=de
scope group onelevel
binddn cn=binddn,ou=admin,o=upb,c=de
bindpw secret
tls_reqcert demand
tls_cacertfile /etc/ssl/certs/ca-certificates.crt
Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf
passwd: files ldap
group: files ldap
gestellt werden. Mit dem Kommando
odenbach@fenchurch:~$ getent passwd gudrun
gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh
kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).
Kerberos[Bearbeiten | Quelltext bearbeiten]
unterteilt werden
NFSv4[Bearbeiten | Quelltext bearbeiten]
Überschriften dritter Ordnung
Nebenbei[Bearbeiten | Quelltext bearbeiten]
- Hier nochmal der Hinweis auf den Menüpunkt "Mitmachen" links im Hauptmenü, hinter dem sich wertvolle Anleitungen und Hinweise verstecken.
- Erfahrene Redakteure finden unterhalb der "Kategorie:Utility templates" interessantes Handwerkszeug für fortgeschrittene Textmanipulationen.
Siehe auch[Bearbeiten | Quelltext bearbeiten]
Weitere interessante Artikel zum gleichen Themenfeld verlinken