Changes for page LDAP-Benutzer unter Linux

Last modified by Jonas Jelten on 2025/02/25 12:14
From version 16.1
edited by Jonas Jelten
on 2025/02/25 12:14
Change comment: There is no comment for this version
To version 15.1
edited by Jonas Jelten
on 2025/01/07 12:54
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -108,40 +108,15 @@
108 108  ## Filtern von Nutzern mit Gruppen
109 109  
110 110  Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
111 -Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
111 +Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
112 112  Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
113 113  
114 114  ## PAM-Logins
115 115  
116 -Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft.
117 -Selbst erstellte lokale Nutzerssen in der `login`-Gruppe sein.
116 +r logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
117 +Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
118 118  
119 -Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
120 -
121 121  ```
122 -# login restriction for pam_access
123 -
124 -# StrukturDB machine's lsadmin and lsuser groups
125 -+:(yourmachinename-admin) (yourmachinename-user):ALL
126 -
127 -# allow local "root" user and members of local groups "root" and "login"
128 -+:root (login) (root):ALL
129 -
130 -# deny rest
131 --:ALL:ALL
132 -```
133 -
134 -Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein.
135 -In der `nslcd.conf` wäre das:
136 -```
137 -filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
138 -```
139 -
140 -### `pam_access` Setup
141 -
142 -Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
143 -
144 -```
145 145  Name: ITO LDAP group-based Authentication
146 146  Default: yes
147 147  Priority: 128
... ... @@ -169,11 +169,6 @@
169 169  %deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL
170 170  ```
171 171  
172 -Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
173 -```
174 -%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
175 -```
176 -
177 177  ## SSH-Key Login aus StrukturDB
178 178  
179 179  Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: