Changes for page LDAP-Benutzer unter Linux
Last modified by Jonas Jelten on 2025/02/25 12:14
From version 11.2
edited by Jonas Jelten
on 2024/12/12 16:08
on 2024/12/12 16:08
Change comment:
There is no comment for this version
To version 11.1
edited by Jonas Jelten
on 2024/12/12 16:06
on 2024/12/12 16:06
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -14,7 +14,63 @@ 14 14 15 15 Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird. 16 16 17 +# Dienst-Spezifische Konfiguration 17 17 19 +## Filtern von Nutzern mit Gruppen 20 + 21 +Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**. 22 +Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen. 23 +Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen. 24 + 25 +## PAM-Logins 26 + 27 +Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren. 28 +Dafür: `/usr/share/pam-configs/ito-ldap` anlegen: 29 + 30 +``` 31 +Name: ITO LDAP group-based Authentication 32 +Default: yes 33 +Priority: 128 34 +Auth-Type: Additional 35 +Auth: 36 + required pam_access.so nodefgroup 37 +Account-Type: Primary 38 +Account: 39 + required pam_access.so nodefgroup 40 +Password-Type: Primary 41 +Password: 42 + required pam_access.so nodefgroup 43 +Session-Type: Additional 44 +Session: 45 + required pam_access.so nodefgroup 46 +``` 47 + 48 +und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir` 49 + 50 +## sudo 51 + 52 +`sudo` (`sudoers`) config für passwortlosen root-zugriff: 53 + 54 +``` 55 +%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL 56 +``` 57 + 58 +## SSH-Key Login aus StrukturDB 59 + 60 +Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: 61 + 62 +``` 63 +AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key 64 +AuthorizedKeysCommandUser nobody 65 +``` 66 + 67 +# Homedirectory 68 + 69 +Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen. 70 +Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`) 71 + 72 + map passwd homeDirectory ... 73 + 18 18 # Anleitung 19 19 20 20 Wir wählen den Weg mit `nslcd` und `pam-ldapd` und `nss-ldapd`, weil leichter zu debuggen ist, leichtgewichtiger (die pam/nss-module reden mit nslcd und bauen nicht jeder einzeln eine ldap-verbindung auf). ... ... @@ -37,39 +37,37 @@ 37 37 38 38 Konfiguration in `/etc/nslcd.conf`: 39 39 40 -``` 41 -# /etc/nslcd.conf 42 -# nslcd configuration file. See nslcd.conf(5) 43 -# for details. 96 + # /etc/nslcd.conf 97 + # nslcd configuration file. See nslcd.conf(5) 98 + # for details. 44 44 45 -# The user and group nslcd should run as. 46 -uid nslcd 47 -gid nslcd 100 + # The user and group nslcd should run as. 101 + uid nslcd 102 + gid nslcd 48 48 49 -# The location at which the LDAP server(s) should be reachable. 50 -uri ldaps://ldap.cit.tum.de 104 + # The location at which the LDAP server(s) should be reachable. 105 + uri ldaps://ldap.cit.tum.de 51 51 52 -# The search base that will be used for all queries. 53 -base ou=dir,dc=cit,dc=tum,dc=de 107 + # The search base that will be used for all queries. 108 + base ou=dir,dc=cit,dc=tum,dc=de 54 54 55 -# The LDAP protocol version to use. 56 -#ldap_version 3 110 + # The LDAP protocol version to use. 111 + #ldap_version 3 57 57 58 -# The DN to bind with for normal lookups. 59 -#binddn cn=annonymous,dc=example,dc=net 60 -#bindpw secret 113 + # The DN to bind with for normal lookups. 114 + #binddn cn=annonymous,dc=example,dc=net 115 + #bindpw secret 61 61 62 -# The DN used for password modifications by root. 63 -#rootpwmoddn cn=admin,dc=example,dc=com 117 + # The DN used for password modifications by root. 118 + #rootpwmoddn cn=admin,dc=example,dc=com 64 64 65 -# SSL options 66 -#ssl off 67 -tls_reqcert demand 68 -tls_cacertfile /etc/ssl/certs/ca-certificates.crt 120 + # SSL options 121 + #ssl off 122 + tls_reqcert demand 123 + tls_cacertfile /etc/ssl/certs/ca-certificates.crt 69 69 70 -# The search scope. 71 -#scope sub 72 -``` 125 + # The search scope. 126 + #scope sub 73 73 74 74 Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben. 75 75 ... ... @@ -89,21 +89,15 @@ 89 89 90 90 Man sollte jetzt in einer Shell Nutzer aus dem LDAP abfragen können: 91 91 92 -``` 93 -id $username 94 -``` 146 + id $username 95 95 96 96 Auflisten aller Nutzer: 97 97 98 -``` 99 -getent passwd 100 -``` 150 + getent passwd 101 101 102 102 Auflisten aller Gruppen: 103 103 104 -``` 105 -getent group 106 -``` 154 + getent group 107 107 108 108 Was mit dem LDAP gesprochen wird kann man sich live anschauen um besser fehler zu finden: 109 109 ... ... @@ -114,64 +114,3 @@ 114 114 # danach mit C-c beenden, und normalen Dienst wieder starten: 115 115 sudo systemctl start nslcd.service 116 116 ``` 117 - 118 -## Homedirectory 119 - 120 -Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen. 121 -Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`) 122 - 123 -``` 124 -map passwd homeDirectory ... 125 -``` 126 - 127 -# Dienst-Spezifische Konfiguration 128 - 129 -## Filtern von Nutzern mit Gruppen 130 - 131 -Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**. 132 -Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen. 133 -Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen. 134 - 135 -## PAM-Logins 136 - 137 -Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren. 138 -Dafür: `/usr/share/pam-configs/ito-ldap` anlegen: 139 - 140 -``` 141 -Name: ITO LDAP group-based Authentication 142 -Default: yes 143 -Priority: 128 144 -Auth-Type: Additional 145 -Auth: 146 - required pam_access.so nodefgroup 147 -Account-Type: Primary 148 -Account: 149 - required pam_access.so nodefgroup 150 -Password-Type: Primary 151 -Password: 152 - required pam_access.so nodefgroup 153 -Session-Type: Additional 154 -Session: 155 - required pam_access.so nodefgroup 156 -``` 157 - 158 -und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir` 159 - 160 -## sudo 161 - 162 -`sudo` (`sudoers`) config für passwortlosen root-zugriff: 163 - 164 -``` 165 -%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL 166 -``` 167 - 168 -## SSH-Key Login aus StrukturDB 169 - 170 -Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: 171 - 172 -``` 173 -AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key 174 -AuthorizedKeysCommandUser nobody 175 -``` 176 - 177 -