Changes for page LDAP-Benutzer unter Linux
Last modified by Jonas Jelten on 2025/02/25 12:14
From version 9.1
edited by Jonas Jelten
on 2024/12/12 15:56
on 2024/12/12 15:56
Change comment:
There is no comment for this version
To version 9.2
edited by Jonas Jelten
on 2024/12/12 16:04
on 2024/12/12 16:04
Change comment:
There is no comment for this version
Summary
-
Page properties (1 modified, 0 added, 0 removed)
Details
- Page properties
-
- Content
-
... ... @@ -20,8 +20,11 @@ 20 20 Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen. 21 21 Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen. 22 22 23 +## PAM-Logins 24 + 23 23 Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren. 24 -Dafür: `/usr/share/pam-configs/ito-ldap` anlegen: 26 +Dafür: `/usr/share/pam-configs/ito-ldap` anlegen: 27 + 25 25 ``` 26 26 Name: ITO LDAP group-based Authentication 27 27 Default: yes ... ... @@ -42,6 +42,24 @@ 42 42 43 43 und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir` 44 44 48 +## sudo 49 + 50 +`sudo` (`sudoers`) config für passwortlosen root-zugriff: 51 + 52 +``` 53 +%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL 54 +``` 55 + 56 +## SSH-Key Login aus StrukturDB 57 + 58 +Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`: 59 + 60 +``` 61 +AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key 62 +AuthorizedKeysCommandUser nobody 63 +``` 64 + 65 + 45 45 # Homedirectories 46 46 47 47 Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.