Changes for page LDAP-Benutzer unter Linux
Last modified by Jonas Jelten on 2025/02/25 12:14
From version 6.1
edited by Nico Greger
on 2024/02/15 12:49
on 2024/02/15 12:49
Change comment:
There is no comment for this version
To version 8.1
edited by Jonas Jelten
on 2024/12/12 15:55
on 2024/12/12 15:55
Change comment:
There is no comment for this version
Summary
-
Page properties (2 modified, 0 added, 0 removed)
Details
- Page properties
-
- Author
-
... ... @@ -1,1 +1,1 @@ 1 -XWiki. gregern1 +XWiki.jelten - Content
-
... ... @@ -1,7 +1,9 @@ 1 1 = Für wen ist diese Anleitung = 2 2 3 - Wenn du ein Linux-System so installieren möchtest,dass sich Benutzeram Rechner direktoderüberSSHmit ihremCIT-Accountanmeldenkönnen,istdies die Anleitung.Insbesondereauf denLehrstuhl-VM-Servern,dievon derITO im ESXangebotenwerden, ist dies möglich.3 +**Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**! 4 4 5 +**Relevant für: **Alle Maschinen, auf denen CIT-Benutzer (alle aus der StrukturDB) am Rechner verfügbar sein sollen - z.B. damit Nutzer sich über SSH mit ihrem CIT-Account anmelden können 6 + 5 5 Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung. 6 6 7 7 = Allgemein = ... ... @@ -18,8 +18,29 @@ 18 18 Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen. 19 19 Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen. 20 20 21 -Bei ##ssh## ist das in ##/etc/ssh/sshd_config## Einstellung ##AllowGroup##! 23 +Für logins über PAM (z.b. ##ssh##) kann man es global mit ##pam_access## in ##/etc/security/access.conf## regulieren. 24 +Dafür: ##/usr/share/pam-configs/ito-ldap## anlegen: 25 +{{code language="none"}} 26 +Name: ITO LDAP group-based Authentication 27 +Default: yes 28 +Priority: 128 29 +Auth-Type: Additional 30 +Auth: 31 + required pam_access.so nodefgroup 32 +Account-Type: Primary 33 +Account: 34 + required pam_access.so nodefgroup 35 +Password-Type: Primary 36 +Password: 37 + required pam_access.so nodefgroup 38 +Session-Type: Additional 39 +Session: 40 + required pam_access.so nodefgroup 41 +{{/code}} 22 22 43 +und dann aktivieren: ##pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir## 44 + 45 + 23 23 = Homedirectories = 24 24 25 25 Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.