Changes for page LDAP-Benutzer unter Linux

Last modified by Jonas Jelten on 2025/02/25 12:14

From 13.1 to 14.1

From version 14.1

edited by Jonas Jelten
on 2025/01/07 12:53

Change comment: There is no comment for this version

To version 16.1

edited by Jonas Jelten
on 2025/02/25 12:14

Change comment: There is no comment for this version

Raw
Rendered

Summary

Page properties (1 modified, 0 added, 0 removed)

Details

Page properties

Content

@@ -36,39 +36,19 @@
  Konfiguration in `/etc/nslcd.conf`:
--```
--# /etc/nslcd.conf
--# nslcd configuration file. See nslcd.conf(5)
--# for details.
++    # /etc/nslcd.conf
++    # nslcd configuration file. See nslcd.conf(5)
++    # for details.
--# The user and group nslcd should run as.
--uid nslcd
--gid nslcd
++    uid nslcd
++    gid nslcd
--# The location at which the LDAP server(s) should be reachable.
--uri ldaps://ldap.cit.tum.de
++    uri ldaps://ldap.cit.tum.de
--# The search base that will be used for all queries.
--base ou=dir,dc=cit,dc=tum,dc=de
++    base ou=dir,dc=cit,dc=tum,dc=de
--# The LDAP protocol version to use.
--#ldap_version 3
--
--# The DN to bind with for normal lookups.
--#binddn cn=annonymous,dc=example,dc=net
--#bindpw secret
--
--# The DN used for password modifications by root.
--#rootpwmoddn cn=admin,dc=example,dc=com
--
--# SSL options
--#ssl off
--tls_reqcert demand
--tls_cacertfile /etc/ssl/certs/ca-certificates.crt
--
--# The search scope.
--#scope sub
--```
++    tls_reqcert demand
++    tls_cacertfile /etc/ssl/certs/ca-certificates.crt
  Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben.
@@ -128,15 +128,40 @@
  ## Filtern von Nutzern mit Gruppen
  Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
--Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
++Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
  Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
  ## PAM-Logins
--Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
--Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
++Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft.
++Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
++Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
++
  ```
++# login restriction for pam_access
++
++# StrukturDB machine's lsadmin and lsuser groups
+++:(yourmachinename-admin) (yourmachinename-user):ALL
++
++# allow local "root" user and members of local groups "root" and "login"
+++:root (login) (root):ALL
++
++# deny rest
++-:ALL:ALL
++```
++
++Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein.
++In der `nslcd.conf` wäre das:
++```
++filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
++```
++
++### `pam_access` Setup
++
++Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
++
++```
  Name: ITO LDAP group-based Authentication
  Default: yes
  Priority: 128
@@ -164,6 +164,11 @@
  %deine-ldap-gruppe   ALL=(ALL) NOPASSWD: ALL
  ```
++Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
++```
++%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
++```
++
  ## SSH-Key Login aus StrukturDB
  Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:

Changes for page LDAP-Benutzer unter Linux

Summary

Details

Navigation