Changes for page LDAP-Benutzer unter Linux
Last modified by Jonas Jelten on 2025/02/25 12:14
From version 10.1
edited by Jonas Jelten
on 2024/12/12 16:04
on 2024/12/12 16:04
Change comment:
There is no comment for this version
To version 11.2
edited by Jonas Jelten
on 2024/12/12 16:08
on 2024/12/12 16:08
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -9,67 +9,12 @@ 9 9 # Allgemein 10 10 11 11 {{warning}} 12 - //**Für die VMs der ITO:**//Bitte nicht die von uns vorinstallierten statischen Benutzer in /etc/passwd, /etc/shadow und /home entfernen. Der LDAP muss so installiert werden, dass diese statischen Benutzereinträge zusätzlich noch funktionieren. Für Wartungszwecke ist es uns wichtig, dass dies auch dann noch funktioniert, wenn die VM keine Netzwerkverbindung hat.12 +**Für die VMs der ITO:** Bitte nicht die von uns vorinstallierten statischen Benutzer in /etc/passwd, /etc/shadow und /home entfernen. Der LDAP muss so installiert werden, dass diese statischen Benutzereinträge zusätzlich noch funktionieren. Für Wartungszwecke ist es uns wichtig, dass dies auch dann noch funktioniert, wenn die VM keine Netzwerkverbindung hat. 13 13 {{/warning}} 14 14 15 15 Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird. 16 16 17 -# Filtern von Nutzern mit Gruppen 18 18 19 -Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**. 20 -Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen. 21 -Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen. 22 - 23 -## PAM-Logins 24 - 25 -Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren. 26 -Dafür: `/usr/share/pam-configs/ito-ldap` anlegen: 27 - 28 -``` 29 -Name: ITO LDAP group-based Authentication 30 -Default: yes 31 -Priority: 128 32 -Auth-Type: Additional 33 -Auth: 34 - required pam_access.so nodefgroup 35 -Account-Type: Primary 36 -Account: 37 - required pam_access.so nodefgroup 38 -Password-Type: Primary 39 -Password: 40 - required pam_access.so nodefgroup 41 -Session-Type: Additional 42 -Session: 43 - required pam_access.so nodefgroup 44 -``` 45 - 46 -und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir` 47 - 48 -## sudo 49 - 50 -`sudo` (`sudoers`) config für passwortlosen root-zugriff: 51 - 52 -``` 53 -%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL 54 -``` 55 - 56 -## SSH-Key Login aus StrukturDB 57 - 58 -Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: 59 - 60 -``` 61 -AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key 62 -AuthorizedKeysCommandUser nobody 63 -``` 64 - 65 - 66 -# Homedirectories 67 - 68 -Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen. 69 -Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`) 70 - 71 - map passwd homeDirectory ... 72 - 73 73 # Anleitung 74 74 75 75 Wir wählen den Weg mit `nslcd` und `pam-ldapd` und `nss-ldapd`, weil leichter zu debuggen ist, leichtgewichtiger (die pam/nss-module reden mit nslcd und bauen nicht jeder einzeln eine ldap-verbindung auf). ... ... @@ -92,37 +92,39 @@ 92 92 93 93 Konfiguration in `/etc/nslcd.conf`: 94 94 95 - # /etc/nslcd.conf 96 - # nslcd configuration file. See nslcd.conf(5) 97 - # for details. 40 +``` 41 +# /etc/nslcd.conf 42 +# nslcd configuration file. See nslcd.conf(5) 43 +# for details. 98 98 99 - 100 - 101 - 45 +# The user and group nslcd should run as. 46 +uid nslcd 47 +gid nslcd 102 102 103 - 104 - 49 +# The location at which the LDAP server(s) should be reachable. 50 +uri ldaps://ldap.cit.tum.de 105 105 106 - 107 - 52 +# The search base that will be used for all queries. 53 +base ou=dir,dc=cit,dc=tum,dc=de 108 108 109 - 110 - 55 +# The LDAP protocol version to use. 56 +#ldap_version 3 111 111 112 - 113 - 114 - 58 +# The DN to bind with for normal lookups. 59 +#binddn cn=annonymous,dc=example,dc=net 60 +#bindpw secret 115 115 116 - 117 - 62 +# The DN used for password modifications by root. 63 +#rootpwmoddn cn=admin,dc=example,dc=com 118 118 119 - 120 - 121 - 122 - 65 +# SSL options 66 +#ssl off 67 +tls_reqcert demand 68 +tls_cacertfile /etc/ssl/certs/ca-certificates.crt 123 123 124 - # The search scope. 125 - #scope sub 70 +# The search scope. 71 +#scope sub 72 +``` 126 126 127 127 Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben. 128 128 ... ... @@ -142,15 +142,21 @@ 142 142 143 143 Man sollte jetzt in einer Shell Nutzer aus dem LDAP abfragen können: 144 144 145 - id $username 92 +``` 93 +id $username 94 +``` 146 146 147 147 Auflisten aller Nutzer: 148 148 149 - getent passwd 98 +``` 99 +getent passwd 100 +``` 150 150 151 151 Auflisten aller Gruppen: 152 152 153 - getent group 104 +``` 105 +getent group 106 +``` 154 154 155 155 Was mit dem LDAP gesprochen wird kann man sich live anschauen um besser fehler zu finden: 156 156 ... ... @@ -161,3 +161,64 @@ 161 161 # danach mit C-c beenden, und normalen Dienst wieder starten: 162 162 sudo systemctl start nslcd.service 163 163 ``` 117 + 118 +## Homedirectory 119 + 120 +Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen. 121 +Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`) 122 + 123 +``` 124 +map passwd homeDirectory ... 125 +``` 126 + 127 +# Dienst-Spezifische Konfiguration 128 + 129 +## Filtern von Nutzern mit Gruppen 130 + 131 +Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**. 132 +Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen. 133 +Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen. 134 + 135 +## PAM-Logins 136 + 137 +Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren. 138 +Dafür: `/usr/share/pam-configs/ito-ldap` anlegen: 139 + 140 +``` 141 +Name: ITO LDAP group-based Authentication 142 +Default: yes 143 +Priority: 128 144 +Auth-Type: Additional 145 +Auth: 146 + required pam_access.so nodefgroup 147 +Account-Type: Primary 148 +Account: 149 + required pam_access.so nodefgroup 150 +Password-Type: Primary 151 +Password: 152 + required pam_access.so nodefgroup 153 +Session-Type: Additional 154 +Session: 155 + required pam_access.so nodefgroup 156 +``` 157 + 158 +und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir` 159 + 160 +## sudo 161 + 162 +`sudo` (`sudoers`) config für passwortlosen root-zugriff: 163 + 164 +``` 165 +%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL 166 +``` 167 + 168 +## SSH-Key Login aus StrukturDB 169 + 170 +Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: 171 + 172 +``` 173 +AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key 174 +AuthorizedKeysCommandUser nobody 175 +``` 176 + 177 +