Changes for page LDAP-Benutzer unter Linux
Last modified by Thomas Walter Erbesdobler on 2025/07/24 16:28
From version 20.1
edited by Christoph Bußenius
on 2025/07/23 11:48
on 2025/07/23 11:48
Change comment:
There is no comment for this version
To version 16.1
edited by Jonas Jelten
on 2025/02/25 12:14
on 2025/02/25 12:14
Change comment:
There is no comment for this version
Summary
-
Page properties (2 modified, 0 added, 0 removed)
Details
- Page properties
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. busseniu1 +XWiki.jelten - Content
-
... ... @@ -1,5 +3,3 @@ 1 -{{toc/}} 2 - 3 3 # Für wen ist diese Anleitung 4 4 5 5 **Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**! ... ... @@ -8,8 +8,6 @@ 8 8 9 9 Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung. 10 10 11 -[[LDAP für Webanwendungen etc.|LDAP-Apps]] 12 - 13 13 # Allgemein 14 14 15 15 {{warning}} ... ... @@ -117,7 +117,8 @@ 117 117 118 118 ## PAM-Logins 119 119 120 -Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein. 116 +Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. 117 +Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein. 121 121 122 122 Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen: 123 123 ... ... @@ -134,8 +134,8 @@ 134 134 -:ALL:ALL 135 135 ``` 136 136 137 -Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:138 - 134 +Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. 135 +In der `nslcd.conf` wäre das: 139 139 ``` 140 140 filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*))) 141 141 ``` ... ... @@ -173,7 +173,6 @@ 173 173 ``` 174 174 175 175 Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben: 176 - 177 177 ``` 178 178 %yourmachinename-admin ALL=(ALL) NOPASSWD: ALL 179 179 ``` ... ... @@ -188,12 +188,3 @@ 188 188 ``` 189 189 190 190 [[attach:ssh-ldap-key]]-programm zum download 191 - 192 -Login für lokale Nutzer 193 - 194 -Die pam_access erlaubt den Login nur für entsprechende Nutzer in den entsprechenden Gruppen. 195 -Für lokale Nutzer, die nicht in den LDAP Gruppen sind, ist die "login" Gruppe vorgesehen, diese muss ggf. noch erstellt werden. 196 - 197 - # groupadd -r login 198 - 199 - # usermod -aG login <user>