LDAP-Benutzer unter Linux

# Für wen ist diese Anleitung

**Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**!

6

7

**Relevant für**: Alle Maschinen, auf denen CIT-Benutzer (alle aus der StrukturDB) am Rechner verfügbar sein sollen - z.B. damit Nutzer sich über SSH mit ihrem CIT-Account anmelden können, und man die Zugriffe zentral in der StrukturDB verwalten möchte.

8

9

Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung.

10

11

[[LDAP für Webanwendungen etc.|CIT.ITO.Docs.Guides.LDAP-Apps]]

# Allgemein

**Für die VMs der ITO:** Bitte nicht die von uns vorinstallierten statischen Benutzer in /etc/passwd, /etc/shadow und /home entfernen. Der LDAP muss so installiert werden, dass diese statischen Benutzereinträge zusätzlich noch funktionieren. Für Wartungszwecke ist es uns wichtig, dass dies auch dann noch funktioniert, wenn die VM keine Netzwerkverbindung hat.

17

18

19

Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird.

20

21

Für den Login können beliebige LDAP Gruppen verwendet werden. Wir haben aber ein extra Register `machine` in der StrukturDB über das die LDAP gruppen yourmachinename-admin und yourmachinename-user verwaltet werden um Login rechte und Sudo rechte auf den ITO VMs oder euren Hosts zu vergeben.

# Anleitung

Wir wählen den Weg mit `nslcd` und `pam-ldapd` und `nss-ldapd`, weil leichter zu debuggen ist, leichtgewichtiger (die pam/nss-module reden mit nslcd und bauen nicht jeder einzeln eine ldap-verbindung auf).

26

27

Zunächst den LDAP-Connector-Dienst installieren:

```bash

apt install nslcd

```

Das fragt einen normalerweise nach dem LDAP-Server und nach dem Base-DN.

LDAP-Server:

ldaps://ldap.cit.tum.de

Base-DN:

ou=dir,dc=cit,dc=tum,dc=de

42

43

Konfiguration in `/etc/nslcd.conf`:

44

45

# /etc/nslcd.conf

46

# nslcd configuration file. See nslcd.conf(5)

# for details.

uid nslcd

gid nslcd

uri ldaps://ldap.cit.tum.de

53

54

base ou=dir,dc=cit,dc=tum,dc=de

55

56

tls_reqcert demand

57

tls_cacertfile /etc/ssl/certs/ca-certificates.crt

58

59

Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben.

60

61

Wenn nicht, kann man die für für LDAP notwendigen Einträge aktualisieren mit:

```bash

sudo pam-auth-update

```

Nach den Config-Änderungen die Dienste neu starten:

68

69

```bash

70

sudo systemctl restart nscd nslcd

71

```

72

73

# Testing und Debugging

74

75

Man sollte jetzt in einer Shell Nutzer aus dem LDAP abfragen können:

```

id $username

```

Auflisten aller Nutzer:

```

getent passwd

```

Auflisten aller Gruppen:

```

getent group

```

Was mit dem LDAP gesprochen wird kann man sich live anschauen um besser fehler zu finden:

94

95

```bash

96

sudo systemctl stop nslcd.service

97

sudo nslcd -n -d # starte im vordergrund im debug-modus

98

# jetzt schauen was so passiert

99

# danach mit C-c beenden, und normalen Dienst wieder starten:

100

sudo systemctl start nslcd.service

```

## Homedirectory

Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.

106

Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`)

107

108

```

109

map passwd homeDirectory ...

110

```

111

112

# Dienst-Spezifische Konfiguration

113

114

## Filtern von Nutzern mit Gruppen

115

116

Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.

117

Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.

118

Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.

## PAM-Logins

Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.

123

124

Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:

125

126

```

127

# login restriction for pam_access

128

129

# StrukturDB machine's lsadmin and lsuser groups

130

+:(yourmachinename-admin) (yourmachinename-user):ALL

131

132

# allow local "root" user and members of local groups "root" and "login"

133

+:root (login) (root):ALL

# deny rest

-:ALL:ALL

```

Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:

140

141

```

142

filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))

143

```

144

145

### `pam_access` Setup

146

147

Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:

148

149

```

150

Name: ITO LDAP group-based Authentication

151

Default: yes

152

Priority: 128

153

Auth-Type: Additional

154

Auth:

155

required pam_access.so nodefgroup

156

Account-Type: Primary

157

Account:

158

required pam_access.so nodefgroup

159

Password-Type: Primary

160

Password:

161

required pam_access.so nodefgroup

162

Session-Type: Additional

163

Session:

164

required pam_access.so nodefgroup

165

```

166

167

und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir`

## sudo

`sudo` (`sudoers`) config für passwortlosen root-zugriff:

172

173

```

174

%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL

175

```

176

177

Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:

178

179

```

180

%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL

181

```

182

183

## SSH-Key Login aus StrukturDB

184

185

Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:

186

187

```

188

AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key

189

AuthorizedKeysCommandUser nobody

190

```

191

192

[[attach:ssh-ldap-key]]-programm zum download

193

194

Login für lokale Nutzer

195

196

Die pam_access erlaubt den Login nur für entsprechende Nutzer in den entsprechenden Gruppen.

197

Für lokale Nutzer, die nicht in den LDAP Gruppen sind, ist die "login" Gruppe vorgesehen, diese muss ggf. noch erstellt werden.

# groupadd -r login

# usermod -aG login <user>

Wiki-Quellcode von LDAP-Benutzer unter Linux

Navigation

author	version	line-number	content
		1	{{toc/}}
		2
		3	# Für wen ist diese Anleitung
		4
		5	Nicht relevant: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup direkt schon mitgeliefert!
		6
		7	Relevant für: Alle Maschinen, auf denen CIT-Benutzer (alle aus der StrukturDB) am Rechner verfügbar sein sollen - z.B. damit Nutzer sich über SSH mit ihrem CIT-Account anmelden können, und man die Zugriffe zentral in der StrukturDB verwalten möchte.
		8
		9	Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung.
		10
		11	[[LDAP für Webanwendungen etc.\|CIT.ITO.Docs.Guides.LDAP-Apps]]
		12
		13	# Allgemein
		14
		15	{{warning}}
		16	Für die VMs der ITO: Bitte nicht die von uns vorinstallierten statischen Benutzer in /etc/passwd, /etc/shadow und /home entfernen. Der LDAP muss so installiert werden, dass diese statischen Benutzereinträge zusätzlich noch funktionieren. Für Wartungszwecke ist es uns wichtig, dass dies auch dann noch funktioniert, wenn die VM keine Netzwerkverbindung hat.
		17	{{/warning}}
		18
		19	Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird.
		20
		21	Für den Login können beliebige LDAP Gruppen verwendet werden. Wir haben aber ein extra Register `machine` in der StrukturDB über das die LDAP gruppen yourmachinename-admin und yourmachinename-user verwaltet werden um Login rechte und Sudo rechte auf den ITO VMs oder euren Hosts zu vergeben.
		22
		23	# Anleitung
		24
		25	Wir wählen den Weg mit `nslcd` und `pam-ldapd` und `nss-ldapd`, weil leichter zu debuggen ist, leichtgewichtiger (die pam/nss-module reden mit nslcd und bauen nicht jeder einzeln eine ldap-verbindung auf).
		26
		27	Zunächst den LDAP-Connector-Dienst installieren:
		28
		29	```bash
		30	apt install nslcd
		31	```
		32
		33	Das fragt einen normalerweise nach dem LDAP-Server und nach dem Base-DN.
		34
		35	LDAP-Server:
		36
		37	ldaps://ldap.cit.tum.de
		38
		39	Base-DN:
		40
		41	ou=dir,dc=cit,dc=tum,dc=de
		42
		43	Konfiguration in `/etc/nslcd.conf`:
		44
		45	# /etc/nslcd.conf
		46	# nslcd configuration file. See nslcd.conf(5)
		47	# for details.
		48
		49	uid nslcd
		50	gid nslcd
		51
		52	uri ldaps://ldap.cit.tum.de
		53
		54	base ou=dir,dc=cit,dc=tum,dc=de
		55
		56	tls_reqcert demand
		57	tls_cacertfile /etc/ssl/certs/ca-certificates.crt
		58
		59	Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben.
		60
		61	Wenn nicht, kann man die für für LDAP notwendigen Einträge aktualisieren mit:
		62
		63	```bash
		64	sudo pam-auth-update
		65	```
		66
		67	Nach den Config-Änderungen die Dienste neu starten:
		68
		69	```bash
		70	sudo systemctl restart nscd nslcd
		71	```
		72
		73	# Testing und Debugging
		74
		75	Man sollte jetzt in einer Shell Nutzer aus dem LDAP abfragen können:
		76
		77	```
		78	id $username
		79	```
		80
		81	Auflisten aller Nutzer:
		82
		83	```
		84	getent passwd
		85	```
		86
		87	Auflisten aller Gruppen:
		88
		89	```
		90	getent group
		91	```
		92
		93	Was mit dem LDAP gesprochen wird kann man sich live anschauen um besser fehler zu finden:
		94
		95	```bash
		96	sudo systemctl stop nslcd.service
		97	sudo nslcd -n -d # starte im vordergrund im debug-modus
		98	# jetzt schauen was so passiert
		99	# danach mit C-c beenden, und normalen Dienst wieder starten:
		100	sudo systemctl start nslcd.service
		101	```
		102
		103	## Homedirectory
		104
		105	Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.
		106	Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`)
		107
		108	```
		109	map passwd homeDirectory ...
		110	```
		111
		112	# Dienst-Spezifische Konfiguration
		113
		114	## Filtern von Nutzern mit Gruppen
		115
		116	Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man nicht, dass sie sich alle anmelden können.
		117	Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
		118	Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
		119
		120	## PAM-Logins
		121
		122	Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
		123
		124	Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
		125
		126	```
		127	# login restriction for pam_access
		128
		129	# StrukturDB machine's lsadmin and lsuser groups
		130	+:(yourmachinename-admin) (yourmachinename-user):ALL
		131
		132	# allow local "root" user and members of local groups "root" and "login"
		133	+:root (login) (root):ALL
		134
		135	# deny rest
		136	-:ALL:ALL
		137	```
		138
		139	Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:
		140
		141	```
		142	filter group (\|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
		143	```
		144
		145	### `pam_access` Setup
		146
		147	Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
		148
		149	```
		150	Name: ITO LDAP group-based Authentication
		151	Default: yes
		152	Priority: 128
		153	Auth-Type: Additional
		154	Auth:
		155	required pam_access.so nodefgroup
		156	Account-Type: Primary
		157	Account:
		158	required pam_access.so nodefgroup
		159	Password-Type: Primary
		160	Password:
		161	required pam_access.so nodefgroup
		162	Session-Type: Additional
		163	Session:
		164	required pam_access.so nodefgroup
		165	```
		166
		167	und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir`
		168
		169	## sudo
		170
		171	`sudo` (`sudoers`) config für passwortlosen root-zugriff:
		172
		173	```
		174	%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL
		175	```
		176
		177	Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
		178
		179	```
		180	%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
		181	```
		182
		183	## SSH-Key Login aus StrukturDB
		184
		185	Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:
		186
		187	```
		188	AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key
		189	AuthorizedKeysCommandUser nobody
		190	```
		191
		192	[[attach:ssh-ldap-key]]-programm zum download
		193
		194	Login für lokale Nutzer
		195
		196	Die pam_access erlaubt den Login nur für entsprechende Nutzer in den entsprechenden Gruppen.
		197	Für lokale Nutzer, die nicht in den LDAP Gruppen sind, ist die "login" Gruppe vorgesehen, diese muss ggf. noch erstellt werden.
		198
		199	# groupadd -r login
		200
		201	# usermod -aG login <user>