Changes for page LDAP-Benutzer unter Linux

Last modified by Jonas Jelten on 2025/02/25 12:14

From version 9.1
edited by Jonas Jelten
on 2024/12/12 15:56
Change comment: There is no comment for this version
To version 9.2
edited by Jonas Jelten
on 2024/12/12 16:04
Change comment: There is no comment for this version

Summary

Details

Page properties
Content
... ... @@ -20,8 +20,11 @@
20 20  Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus /etc/groups) mit den Benutzern, die sich einloggen dürfen.
21 21  Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
22 22  
23 +## PAM-Logins
24 +
23 23  Für logins über PAM (z.b. `ssh`) kann man es global mit `pam_access` in `/etc/security/access.conf` regulieren.
24 -Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
26 +Dafür: `/usr/share/pam-configs/ito-ldap` anlegen:
27 +
25 25  ```
26 26  Name: ITO LDAP group-based Authentication
27 27  Default: yes
... ... @@ -42,6 +42,24 @@
42 42  
43 43  und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir`
44 44  
48 +## sudo
49 +
50 +`sudo` (`sudoers`) config für passwortlosen root-zugriff:
51 +
52 +```
53 +%deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL
54 +```
55 +
56 +## SSH-Key Login aus StrukturDB
57 +
58 +Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:
59 +
60 +```
61 +AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key
62 +AuthorizedKeysCommandUser nobody
63 +```
64 +
65 +
45 45  # Homedirectories
46 46  
47 47  Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.