Changes for page LDAP-Benutzer unter Linux

Last modified by Jonas Jelten on 2025/02/25 12:14
From version 15.1
edited by Jonas Jelten
on 2025/01/07 12:54
Change comment: There is no comment for this version
To version 16.1
edited by Jonas Jelten
on 2025/02/25 12:14
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -108,15 +108,40 @@
108 108  ## Filtern von Nutzern mit Gruppen
109 109  
110 110  Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
111 -Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
111 +Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
112 112  Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
113 113  
114 114  ## PAM-Logins
115 115  
116 -Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
117 -Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
116 +Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft.
117 +Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
118 118  
119 +Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
120 +
119 119  ```
122 +# login restriction for pam_access
123 +
124 +# StrukturDB machine's lsadmin and lsuser groups
125 ++:(yourmachinename-admin) (yourmachinename-user):ALL
126 +
127 +# allow local "root" user and members of local groups "root" and "login"
128 ++:root (login) (root):ALL
129 +
130 +# deny rest
131 +-:ALL:ALL
132 +```
133 +
134 +Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein.
135 +In der `nslcd.conf` wäre das:
136 +```
137 +filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
138 +```
139 +
140 +### `pam_access` Setup
141 +
142 +Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
143 +
144 +```
120 120  Name: ITO LDAP group-based Authentication
121 121  Default: yes
122 122  Priority: 128
... ... @@ -144,6 +144,11 @@
144 144  %deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL
145 145  ```
146 146  
172 +Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
173 +```
174 +%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
175 +```
176 +
147 147  ## SSH-Key Login aus StrukturDB
148 148  
149 149  Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: