Änderungen von Dokument LDAP-Benutzer unter Linux

Zuletzt geändert von Thomas Walter Erbesdobler am 2025/07/24 16:28
Von Version 16.1
bearbeitet von Jonas Jelten
am 2025/02/25 12:14
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 20.1
bearbeitet von Christoph Bußenius
am 2025/07/23 11:48
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Dokument-Autor
... ... @@ -1,1 +1,1 @@
1 -XWiki.jelten
1 +XWiki.busseniu
Inhalt
... ... @@ -1,3 +1,5 @@
1 +{{toc/}}
2 +
1 1  # Für wen ist diese Anleitung
2 2  
3 3  **Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**!
... ... @@ -6,6 +6,8 @@
6 6  
7 7  Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung.
8 8  
11 +[[LDAP für Webanwendungen etc.|LDAP-Apps]]
12 +
9 9  # Allgemein
10 10  
11 11  {{warning}}
... ... @@ -113,8 +113,7 @@
113 113  
114 114  ## PAM-Logins
115 115  
116 -Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft.
117 -Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
120 +Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
118 118  
119 119  Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
120 120  
... ... @@ -131,8 +131,8 @@
131 131  -:ALL:ALL
132 132  ```
133 133  
134 -Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein.
135 -In der `nslcd.conf` wäre das:
137 +Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:
138 +
136 136  ```
137 137  filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
138 138  ```
... ... @@ -170,6 +170,7 @@
170 170  ```
171 171  
172 172  Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
176 +
173 173  ```
174 174  %yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
175 175  ```
... ... @@ -184,3 +184,12 @@
184 184  ```
185 185  
186 186  [[attach:ssh-ldap-key]]-programm zum download
191 +
192 +Login für lokale Nutzer
193 +
194 +Die pam_access erlaubt den Login nur für entsprechende Nutzer in den entsprechenden Gruppen.
195 +Für lokale Nutzer, die nicht in den LDAP Gruppen sind, ist die "login" Gruppe vorgesehen, diese muss ggf. noch erstellt werden.
196 +
197 + # groupadd -r login
198 +
199 + # usermod -aG login <user>