Changes for page LDAP-Benutzer unter Linux

Last modified by Jonas Jelten on 2025/02/25 12:14

From 10.1 to 11.1 From 13.1 to 14.1

From version 11.1

edited by Jonas Jelten
on 2024/12/12 16:06

Change comment: There is no comment for this version

To version 13.1

edited by Jonas Jelten
on 2024/12/12 16:12

Change comment: There is no comment for this version

Raw
Rendered

Summary

Page properties (1 modified, 0 added, 0 removed)
Attachments (0 modified, 1 added, 0 removed)
- ssh-ldap-key

Details

Page properties

Content

@@ -14,63 +14,6 @@
  Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird.
--# Dienst-Spezifische Konfiguration
--
--## Filtern von Nutzern mit Gruppen
--
--Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
--Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
--Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
--
--## PAM-Logins
--
--Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
--Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
--
--```
--Name: ITO LDAP group-based Authentication
--Default: yes
--Priority: 128
--Auth-Type: Additional
--Auth:
--    required pam_access.so nodefgroup
--Account-Type: Primary
--Account:
--    required pam_access.so nodefgroup
--Password-Type: Primary
--Password:
--    required pam_access.so nodefgroup
--Session-Type: Additional
--Session:
--    required pam_access.so nodefgroup
--```
--
--und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir`
--
--## sudo
--
--`sudo` (`sudoers`) config für passwortlosen root-zugriff:
--
--```
--%deine-ldap-gruppe   ALL=(ALL) NOPASSWD: ALL
--```
--
--## SSH-Key Login aus StrukturDB
--
--Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:
--
--```
--AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key
--AuthorizedKeysCommandUser nobody
--```
--
--# Homedirectory
--
--Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.
--Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`)
--
--    map passwd homeDirectory ...
--
  # Anleitung
  Wir wählen den Weg mit `nslcd` und `pam-ldapd` und `nss-ldapd`, weil leichter zu debuggen ist, leichtgewichtiger (die pam/nss-module reden mit nslcd und bauen nicht jeder einzeln eine ldap-verbindung auf).
@@ -93,37 +93,39 @@
  Konfiguration in `/etc/nslcd.conf`:
--    # /etc/nslcd.conf
--    # nslcd configuration file. See nslcd.conf(5)
--    # for details.
++```
++# /etc/nslcd.conf
++# nslcd configuration file. See nslcd.conf(5)
++# for details.
--    # The user and group nslcd should run as.
--    uid nslcd
--    gid nslcd
++# The user and group nslcd should run as.
++uid nslcd
++gid nslcd
--    # The location at which the LDAP server(s) should be reachable.
--    uri ldaps://ldap.cit.tum.de
++# The location at which the LDAP server(s) should be reachable.
++uri ldaps://ldap.cit.tum.de
--    # The search base that will be used for all queries.
--    base ou=dir,dc=cit,dc=tum,dc=de
++# The search base that will be used for all queries.
++base ou=dir,dc=cit,dc=tum,dc=de
--    # The LDAP protocol version to use.
--    #ldap_version 3
++# The LDAP protocol version to use.
++#ldap_version 3
--    # The DN to bind with for normal lookups.
--    #binddn cn=annonymous,dc=example,dc=net
--    #bindpw secret
++# The DN to bind with for normal lookups.
++#binddn cn=annonymous,dc=example,dc=net
++#bindpw secret
--    # The DN used for password modifications by root.
--    #rootpwmoddn cn=admin,dc=example,dc=com
++# The DN used for password modifications by root.
++#rootpwmoddn cn=admin,dc=example,dc=com
--    # SSL options
--    #ssl off
--    tls_reqcert demand
--    tls_cacertfile /etc/ssl/certs/ca-certificates.crt
++# SSL options
++#ssl off
++tls_reqcert demand
++tls_cacertfile /etc/ssl/certs/ca-certificates.crt
--    # The search scope.
--    #scope sub
++# The search scope.
++#scope sub
++```
  Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben.
@@ -143,15 +143,21 @@
  Man sollte jetzt in einer Shell Nutzer aus dem LDAP abfragen können:
--    id $username
++```
++id $username
++```
  Auflisten aller Nutzer:
--    getent passwd
++```
++getent passwd
++```
  Auflisten aller Gruppen:
--    getent group
++```
++getent group
++```
  Was mit dem LDAP gesprochen wird kann man sich live anschauen um besser fehler zu finden:
@@ -162,3 +162,64 @@
  # danach mit C-c beenden, und normalen Dienst wieder starten:
  sudo systemctl start nslcd.service
  ```
++
++## Homedirectory
++
++Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.
++Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`)
++
++```
++map passwd homeDirectory ...
++```
++
++# Dienst-Spezifische Konfiguration
++
++## Filtern von Nutzern mit Gruppen
++
++Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
++Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
++Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
++
++## PAM-Logins
++
++Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
++Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
++
++```
++Name: ITO LDAP group-based Authentication
++Default: yes
++Priority: 128
++Auth-Type: Additional
++Auth:
++    required pam_access.so nodefgroup
++Account-Type: Primary
++Account:
++    required pam_access.so nodefgroup
++Password-Type: Primary
++Password:
++    required pam_access.so nodefgroup
++Session-Type: Additional
++Session:
++    required pam_access.so nodefgroup
++```
++
++und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir`
++
++## sudo
++
++`sudo` (`sudoers`) config für passwortlosen root-zugriff:
++
++```
++%deine-ldap-gruppe   ALL=(ALL) NOPASSWD: ALL
++```
++
++## SSH-Key Login aus StrukturDB
++
++Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:
++
++```
++AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key
++AuthorizedKeysCommandUser nobody
++```
++
++[[attach:ssh-ldap-key]]-programm zum download

ssh-ldap-key

Author

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.jelten

Size

...	...	@@ -1,0 +1,1 @@
	1	+1.9 KB

Content

@@ -1,0 +1,70 @@
++#!/usr/bin/env python3
++
++"""
++fetch ssh keys from CIT ITO LDAP
++
++license: GPLv3
++(c) 2024 Jonas Jelten <jj@sft.lol>
++"""
++
++import argparse
++import logging
++
++import ldap3
++
++
++def main():
++    cli = argparse.ArgumentParser(description='ssh key fetcher from ldap')
++    cli.add_argument("username")
++    cli.add_argument("--ldap-server", default="ldaps://ldap.cit.tum.de")
++    cli.add_argument("--base-dn", default="ou=dir,dc=cit,dc=tum,dc=de")
++
++    cli.add_argument("--verbose", "-v", action="count", default=0)
++
++    args = cli.parse_args()
++
++    log_level = (logging.WARNING, logging.INFO, logging.DEBUG)[args.verbose]
++    logging.basicConfig(
++        level=log_level,
++        format="[%(asctime)s] %(message)s"
++    )
++    detail_level = (ldap3.utils.log.ERROR, ldap3.utils.log.BASIC, ldap3.utils.log.NETWORK)[args.verbose]
++    ldap3.utils.log.set_library_log_detail_level(detail_level)
++    ldap3.utils.log.set_library_log_activation_level(log_level)
++
++    keys = fetch_keys(user=args.username, server=args.ldap_server, basedn=args.base_dn)
++    for key in keys:
++        print(key)
++
++
++def fetch_keys(user, server, basedn):
++    logging.debug("connecting to ldap server %r", server)
++    conn = ldap3.Connection(server)
++    if not conn.bind():
++        raise Exception("failed to anonymous bind")
++
++    uid = ldap3.utils.conv.escape_filter_chars(user)
++
++    logging.debug("searching for user %r at base %r", uid, basedn)
++    ok = conn.search(
++        basedn,
++        f"(& (objectClass=inetOrgPerson) (uid={uid}))",
++        attributes=['uid', 'objectclass', 'sshPublicKey']
++    )
++    if not ok:
++        raise ValueError(f"failed to perform ldap search: {conn.result}")
++
++    if len(conn.entries) > 1:
++        raise ValueError(f"more than one user found: {len(conn.entries)} entries returned")
++
++    user = conn.entries[0]
++
++    keys = list()
++    for key in user.sshPublicKey:
++        keys.append(ldap3.utils.conv.to_unicode(key))
++    return keys
++
++
++if __name__ == "__main__":
++    main()
++

Changes for page LDAP-Benutzer unter Linux

Summary

Details

Navigation