Änderungen von Dokument LDAP-Benutzer unter Linux

Zuletzt geändert von Thomas Walter Erbesdobler am 2025/07/24 16:28
Von Version 15.1
bearbeitet von Jonas Jelten
am 2025/01/07 12:54
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 19.1
bearbeitet von Michael Oberrauch
am 2025/06/30 09:17
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.jelten
1 +XWiki.oberrauc
Inhalt
... ... @@ -1,3 +1,5 @@
1 +{{toc/}}
2 +
1 1  # Für wen ist diese Anleitung
2 2  
3 3  **Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**!
... ... @@ -108,15 +108,39 @@
108 108  ## Filtern von Nutzern mit Gruppen
109 109  
110 110  Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
111 -Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
113 +Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
112 112  Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
113 113  
114 114  ## PAM-Logins
115 115  
116 -Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
117 -Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
118 +Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
118 118  
120 +Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
121 +
119 119  ```
123 +# login restriction for pam_access
124 +
125 +# StrukturDB machine's lsadmin and lsuser groups
126 ++:(yourmachinename-admin) (yourmachinename-user):ALL
127 +
128 +# allow local "root" user and members of local groups "root" and "login"
129 ++:root (login) (root):ALL
130 +
131 +# deny rest
132 +-:ALL:ALL
133 +```
134 +
135 +Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:
136 +
137 +```
138 +filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
139 +```
140 +
141 +### `pam_access` Setup
142 +
143 +Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
144 +
145 +```
120 120  Name: ITO LDAP group-based Authentication
121 121  Default: yes
122 122  Priority: 128
... ... @@ -144,6 +144,12 @@
144 144  %deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL
145 145  ```
146 146  
173 +Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
174 +
175 +```
176 +%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
177 +```
178 +
147 147  ## SSH-Key Login aus StrukturDB
148 148  
149 149  Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:
... ... @@ -154,3 +154,14 @@
154 154  ```
155 155  
156 156  [[attach:ssh-ldap-key]]-programm zum download
189 +
190 +Login für lokale Nutzer
191 +
192 +Die pam_access erlaubt den Login nur für entsprechende Nutzer in den entsprechenden Gruppen.
193 +Für lokale Nutzer, die nicht in den LDAP Gruppen sind, ist die "login" Gruppe vorgesehen, diese muss ggf. noch erstellt werden.
194 +
195 + # groupadd -r login
196 +
197 + # usermod -aG login <user>
198 +
199 +