Changes for page LDAP-Benutzer unter Linux

Last modified by Thomas Walter Erbesdobler on 2025/07/24 16:28

From 12.1 to 11.2 From 22.1 to 21.1

From version 21.1

edited by Christoph Bußenius
on 2025/07/23 11:52

Change comment: There is no comment for this version

To version 12.1

edited by Jonas Jelten
on 2024/12/12 16:09

Change comment: There is no comment for this version

Raw
Rendered

Summary

Page properties (2 modified, 0 added, 0 removed)
Attachments (0 modified, 0 added, 1 removed)
- ssh-ldap-key

Details

Page properties

Author

@@ -1,1 +1,1 @@
--XWiki.busseniu
++XWiki.jelten

Content

@@ -1,15 +3,11 @@
--{{toc/}}
--
  # Für wen ist diese Anleitung
  **Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**!
--**Relevant für**: Alle Maschinen, auf denen CIT-Benutzer (alle aus der StrukturDB) am Rechner verfügbar sein sollen - z.B. damit Nutzer sich über SSH mit ihrem CIT-Account anmelden können, und man die Zugriffe zentral in der StrukturDB verwalten möchte.
++**Relevant für: **Alle Maschinen, auf denen CIT-Benutzer (alle aus der StrukturDB) am Rechner verfügbar sein sollen - z.B. damit Nutzer sich über SSH mit ihrem CIT-Account anmelden können
  Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung.
--[[LDAP für Webanwendungen etc.|https://wiki.ito.cit.tum.de/bin/edit/CIT/ITO/Docs/Guides/LDAP-Apps/WebHome]]
--
  # Allgemein
  {{warning}}
@@ -18,6 +18,7 @@
  Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird.
++
  # Anleitung
  Wir wählen den Weg mit `nslcd` und `pam-ldapd` und `nss-ldapd`, weil leichter zu debuggen ist, leichtgewichtiger (die pam/nss-module reden mit nslcd und bauen nicht jeder einzeln eine ldap-verbindung auf).
@@ -40,19 +40,39 @@
  Konfiguration in `/etc/nslcd.conf`:
--    # /etc/nslcd.conf
--    # nslcd configuration file. See nslcd.conf(5)
--    # for details.
++```
++# /etc/nslcd.conf
++# nslcd configuration file. See nslcd.conf(5)
++# for details.
--    uid nslcd
--    gid nslcd
++# The user and group nslcd should run as.
++uid nslcd
++gid nslcd
--    uri ldaps://ldap.cit.tum.de
++# The location at which the LDAP server(s) should be reachable.
++uri ldaps://ldap.cit.tum.de
--    base ou=dir,dc=cit,dc=tum,dc=de
++# The search base that will be used for all queries.
++base ou=dir,dc=cit,dc=tum,dc=de
--    tls_reqcert demand
--    tls_cacertfile /etc/ssl/certs/ca-certificates.crt
++# The LDAP protocol version to use.
++#ldap_version 3
++
++# The DN to bind with for normal lookups.
++#binddn cn=annonymous,dc=example,dc=net
++#bindpw secret
++
++# The DN used for password modifications by root.
++#rootpwmoddn cn=admin,dc=example,dc=com
++
++# SSL options
++#ssl off
++tls_reqcert demand
++tls_cacertfile /etc/ssl/certs/ca-certificates.crt
++
++# The search scope.
++#scope sub
++```
  Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben.
@@ -112,39 +112,15 @@
  ## Filtern von Nutzern mit Gruppen
  Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
--Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
++Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
  Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
  ## PAM-Logins
--Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
++Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
++Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
--Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
--
  ```
--# login restriction for pam_access
--
--# StrukturDB machine's lsadmin and lsuser groups
--+:(yourmachinename-admin) (yourmachinename-user):ALL
--
--# allow local "root" user and members of local groups "root" and "login"
--+:root (login) (root):ALL
--
--# deny rest
---:ALL:ALL
--```
--
--Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:
--
--```
--filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
--```
--
--### `pam_access` Setup
--
--Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
--
--```
  Name: ITO LDAP group-based Authentication
  Default: yes
  Priority: 128
@@ -172,12 +172,6 @@
  %deine-ldap-gruppe   ALL=(ALL) NOPASSWD: ALL
  ```
--Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
--
--```
--%yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
--```
--
  ## SSH-Key Login aus StrukturDB
  Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:
@@ -187,13 +187,4 @@
  AuthorizedKeysCommandUser nobody
  ```
--[[attach:ssh-ldap-key]]-programm zum download
--Login für lokale Nutzer
--
--Die pam_access erlaubt den Login nur für entsprechende Nutzer in den entsprechenden Gruppen.
--Für lokale Nutzer, die nicht in den LDAP Gruppen sind, ist die "login" Gruppe vorgesehen, diese muss ggf. noch erstellt werden.
--
--    # groupadd -r login
--
--    # usermod -aG login <user>

ssh-ldap-key

Author

...	...	@@ -1,1 +1,0 @@
1		-XWiki.jelten

Size

...	...	@@ -1,1 +1,0 @@
1		-1.9 KB

Content

@@ -1,70 +1,0 @@
--#!/usr/bin/env python3
--
--"""
--fetch ssh keys from CIT ITO LDAP
--
--license: GPLv3
--(c) 2024 Jonas Jelten <jj@sft.lol>
--"""
--
--import argparse
--import logging
--
--import ldap3
--
--
--def main():
--    cli = argparse.ArgumentParser(description='ssh key fetcher from ldap')
--    cli.add_argument("username")
--    cli.add_argument("--ldap-server", default="ldaps://ldap.cit.tum.de")
--    cli.add_argument("--base-dn", default="ou=dir,dc=cit,dc=tum,dc=de")
--
--    cli.add_argument("--verbose", "-v", action="count", default=0)
--
--    args = cli.parse_args()
--
--    log_level = (logging.WARNING, logging.INFO, logging.DEBUG)[args.verbose]
--    logging.basicConfig(
--        level=log_level,
--        format="[%(asctime)s] %(message)s"
--    )
--    detail_level = (ldap3.utils.log.ERROR, ldap3.utils.log.BASIC, ldap3.utils.log.NETWORK)[args.verbose]
--    ldap3.utils.log.set_library_log_detail_level(detail_level)
--    ldap3.utils.log.set_library_log_activation_level(log_level)
--
--    keys = fetch_keys(user=args.username, server=args.ldap_server, basedn=args.base_dn)
--    for key in keys:
--        print(key)
--
--
--def fetch_keys(user, server, basedn):
--    logging.debug("connecting to ldap server %r", server)
--    conn = ldap3.Connection(server)
--    if not conn.bind():
--        raise Exception("failed to anonymous bind")
--
--    uid = ldap3.utils.conv.escape_filter_chars(user)
--
--    logging.debug("searching for user %r at base %r", uid, basedn)
--    ok = conn.search(
--        basedn,
--        f"(& (objectClass=inetOrgPerson) (uid={uid}))",
--        attributes=['uid', 'objectclass', 'sshPublicKey']
--    )
--    if not ok:
--        raise ValueError(f"failed to perform ldap search: {conn.result}")
--
--    if len(conn.entries) > 1:
--        raise ValueError(f"more than one user found: {len(conn.entries)} entries returned")
--
--    user = conn.entries[0]
--
--    keys = list()
--    for key in user.sshPublicKey:
--        keys.append(ldap3.utils.conv.to_unicode(key))
--    return keys
--
--
--if __name__ == "__main__":
--    main()
--

Changes for page LDAP-Benutzer unter Linux

Summary

Details

Navigation