Changes for page LDAP-Benutzer unter Linux

Last modified by Martin Uhl on 2025/05/07 12:27
From version 15.1
edited by Jonas Jelten
on 2025/01/07 12:54
Change comment: There is no comment for this version
To version 17.1
edited by Martin Uhl
on 2025/05/07 12:27
Change comment: There is no comment for this version

Summary

Details

Page properties
Author
... ... @@ -1,1 +1,1 @@
1 -XWiki.jelten
1 +XWiki.uhl
Content
... ... @@ -1,3 +1,5 @@
1 +{{toc\}}
2 +
1 1  # Für wen ist diese Anleitung
2 2  
3 3  **Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**!
... ... @@ -108,15 +108,39 @@
108 108  ## Filtern von Nutzern mit Gruppen
109 109  
110 110  Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
111 -Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
113 +Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
112 112  Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
113 113  
114 114  ## PAM-Logins
115 115  
116 -Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
117 -Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
118 +Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
118 118  
120 +Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
121 +
119 119  ```
123 +# login restriction for pam_access
124 +
125 +# StrukturDB machine's lsadmin and lsuser groups
126 ++:(yourmachinename-admin) (yourmachinename-user):ALL
127 +
128 +# allow local "root" user and members of local groups "root" and "login"
129 ++:root (login) (root):ALL
130 +
131 +# deny rest
132 +-:ALL:ALL
133 +```
134 +
135 +Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:
136 +
137 +```
138 +filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
139 +```
140 +
141 +### `pam_access` Setup
142 +
143 +Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
144 +
145 +```
120 120  Name: ITO LDAP group-based Authentication
121 121  Default: yes
122 122  Priority: 128
... ... @@ -144,6 +144,12 @@
144 144  %deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL
145 145  ```
146 146  
173 +Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
174 +
175 +```
176 +%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
177 +```
178 +
147 147  ## SSH-Key Login aus StrukturDB
148 148  
149 149  Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: