Changes for page LDAP-Benutzer unter Linux
Last modified by Thomas Walter Erbesdobler on 2025/07/24 16:28
From version 16.1
edited by Jonas Jelten
on 2025/02/25 12:14
on 2025/02/25 12:14
Change comment:
There is no comment for this version
To version 19.1
edited by Michael Oberrauch
on 2025/06/30 09:17
on 2025/06/30 09:17
Change comment:
There is no comment for this version
Summary
-
Page properties (2 modified, 0 added, 0 removed)
Details
- Page properties
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. jelten1 +XWiki.oberrauc - Content
-
... ... @@ -1,3 +1,5 @@ 1 +{{toc/}} 2 + 1 1 # Für wen ist diese Anleitung 2 2 3 3 **Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**! ... ... @@ -113,8 +113,7 @@ 113 113 114 114 ## PAM-Logins 115 115 116 -Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. 117 -Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein. 118 +Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein. 118 118 119 119 Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen: 120 120 ... ... @@ -131,8 +131,8 @@ 131 131 -:ALL:ALL 132 132 ``` 133 133 134 -Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. 135 - In der `nslcd.conf` wäre das:135 +Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das: 136 + 136 136 ``` 137 137 filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*))) 138 138 ``` ... ... @@ -170,6 +170,7 @@ 170 170 ``` 171 171 172 172 Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben: 174 + 173 173 ``` 174 174 %yourmachinename-admin ALL=(ALL) NOPASSWD: ALL 175 175 ``` ... ... @@ -184,3 +184,14 @@ 184 184 ``` 185 185 186 186 [[attach:ssh-ldap-key]]-programm zum download 189 + 190 +Login für lokale Nutzer 191 + 192 +Die pam_access erlaubt den Login nur für entsprechende Nutzer in den entsprechenden Gruppen. 193 +Für lokale Nutzer, die nicht in den LDAP Gruppen sind, ist die "login" Gruppe vorgesehen, diese muss ggf. noch erstellt werden. 194 + 195 + # groupadd -r login 196 + 197 + # usermod -aG login <user> 198 + 199 +