Wiki source code of LDAP-Benutzer unter Linux

Last modified by Martin Uhl on 2025/05/07 12:27
Hide last authors
Martin Uhl 18.1 1 {{toc/}}
Martin Uhl 17.1 2
Jonas Jelten 9.1 3 # Für wen ist diese Anleitung
wikibot 1.1 4
Jonas Jelten 7.1 5 **Nicht relevant**: für VMs im ITO-VM-Cluster mit Ubuntu 24.04 oder neuer - diese haben das LDAP-Setup **direkt schon mitgeliefert**!
wikibot 1.1 6
Jonas Jelten 14.1 7 **Relevant für**: Alle Maschinen, auf denen CIT-Benutzer (alle aus der StrukturDB) am Rechner verfügbar sein sollen - z.B. damit Nutzer sich über SSH mit ihrem CIT-Account anmelden können, und man die Zugriffe zentral in der StrukturDB verwalten möchte.
Jonas Jelten 7.1 8
wikibot 1.1 9 Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung.
10
Jonas Jelten 9.1 11 # Allgemein
Jonas Jelten 4.1 12
Thomas Walter Erbesdobler 2.1 13 {{warning}}
Jonas Jelten 11.1 14 **Für die VMs der ITO:** Bitte nicht die von uns vorinstallierten statischen Benutzer in /etc/passwd, /etc/shadow und /home entfernen. Der LDAP muss so installiert werden, dass diese statischen Benutzereinträge zusätzlich noch funktionieren. Für Wartungszwecke ist es uns wichtig, dass dies auch dann noch funktioniert, wenn die VM keine Netzwerkverbindung hat.
Thomas Walter Erbesdobler 2.1 15 {{/warning}}
wikibot 1.1 16
17 Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird.
18
Jonas Jelten 9.1 19 # Anleitung
Jonas Jelten 4.1 20
Jonas Jelten 9.1 21 Wir wählen den Weg mit `nslcd` und `pam-ldapd` und `nss-ldapd`, weil leichter zu debuggen ist, leichtgewichtiger (die pam/nss-module reden mit nslcd und bauen nicht jeder einzeln eine ldap-verbindung auf).
wikibot 1.1 22
23 Zunächst den LDAP-Connector-Dienst installieren:
Thomas Walter Erbesdobler 2.1 24
Jonas Jelten 9.1 25 ```bash
wikibot 1.1 26 apt install nslcd
Jonas Jelten 9.1 27 ```
wikibot 1.1 28
29 Das fragt einen normalerweise nach dem LDAP-Server und nach dem Base-DN.
30
31 LDAP-Server:
Thomas Walter Erbesdobler 2.1 32
Jonas Jelten 9.1 33 ldaps://ldap.cit.tum.de
Thomas Walter Erbesdobler 2.1 34
wikibot 1.1 35 Base-DN:
Thomas Walter Erbesdobler 2.1 36
Jonas Jelten 9.1 37 ou=dir,dc=cit,dc=tum,dc=de
wikibot 1.1 38
Jonas Jelten 9.1 39 Konfiguration in `/etc/nslcd.conf`:
wikibot 1.1 40
Jonas Jelten 15.1 41 # /etc/nslcd.conf
42 # nslcd configuration file. See nslcd.conf(5)
43 # for details.
Jonas Jelten 9.1 44
Jonas Jelten 15.1 45 uid nslcd
46 gid nslcd
Jonas Jelten 9.1 47
Jonas Jelten 15.1 48 uri ldaps://ldap.cit.tum.de
Jonas Jelten 9.1 49
Jonas Jelten 15.1 50 base ou=dir,dc=cit,dc=tum,dc=de
Jonas Jelten 9.1 51
Jonas Jelten 15.1 52 tls_reqcert demand
53 tls_cacertfile /etc/ssl/certs/ca-certificates.crt
wikibot 1.1 54
Jonas Jelten 9.1 55 Der Installationsprozess sollte schon automatisch die Einträge in `/etc/pam.d/common-*` angelegt haben.
wikibot 1.1 56
57 Wenn nicht, kann man die für für LDAP notwendigen Einträge aktualisieren mit:
Thomas Walter Erbesdobler 2.1 58
Jonas Jelten 9.1 59 ```bash
wikibot 1.1 60 sudo pam-auth-update
Jonas Jelten 9.1 61 ```
wikibot 1.1 62
63 Nach den Config-Änderungen die Dienste neu starten:
Thomas Walter Erbesdobler 2.1 64
Jonas Jelten 9.1 65 ```bash
wikibot 1.1 66 sudo systemctl restart nscd nslcd
Jonas Jelten 9.1 67 ```
wikibot 1.1 68
Jonas Jelten 9.1 69 # Testing und Debugging
wikibot 1.1 70
Jonas Jelten 4.1 71 Man sollte jetzt in einer Shell Nutzer aus dem LDAP abfragen können:
wikibot 1.1 72
Jonas Jelten 11.2 73 ```
74 id $username
75 ```
wikibot 1.1 76
Jonas Jelten 4.1 77 Auflisten aller Nutzer:
78
Jonas Jelten 11.2 79 ```
80 getent passwd
81 ```
Jonas Jelten 4.1 82
83 Auflisten aller Gruppen:
84
Jonas Jelten 11.2 85 ```
86 getent group
87 ```
Jonas Jelten 4.1 88
89 Was mit dem LDAP gesprochen wird kann man sich live anschauen um besser fehler zu finden:
90
Jonas Jelten 9.1 91 ```bash
wikibot 1.1 92 sudo systemctl stop nslcd.service
93 sudo nslcd -n -d # starte im vordergrund im debug-modus
94 # jetzt schauen was so passiert
95 # danach mit C-c beenden, und normalen Dienst wieder starten:
96 sudo systemctl start nslcd.service
Jonas Jelten 9.1 97 ```
Jonas Jelten 11.2 98
99 ## Homedirectory
100
101 Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen.
102 Man kann z.B. in der `/etc/nslcd.conf` das homefolderattribut anders mappen (siehe `man nslcd.conf`)
103
104 ```
105 map passwd homeDirectory ...
106 ```
107
108 # Dienst-Spezifische Konfiguration
109
110 ## Filtern von Nutzern mit Gruppen
111
112 Auf ldap.cit.tum.de sind alle CIT-Benutzer. Gewöhnlich möchte man **nicht**, dass sie **sich alle anmelden können**.
Jonas Jelten 16.1 113 Die gängige Lösung ist, dass man eine Benutzergruppe definiert (auch in der StrukturDB als LDAP-Gruppe oder auch lokal aus `/etc/groups`) mit den Benutzern, die sich einloggen dürfen.
Jonas Jelten 11.2 114 Diese Gruppe konfigurieren wir dann in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen.
115
116 ## PAM-Logins
117
Martin Uhl 17.1 118 Ob ein Nutzer sich einloggen kann (`ssh`, desktop login), wird global mit `pam_access` geprüft. Selbst erstellte lokale Nutzer müssen in der `login`-Gruppe sein.
Jonas Jelten 11.2 119
Jonas Jelten 16.1 120 Erlaube Gruppen (oder Nutzer) werden in `/etc/security/access.conf` eingetragen:
121
Jonas Jelten 11.2 122 ```
Jonas Jelten 16.1 123 # login restriction for pam_access
124
125 # StrukturDB machine's lsadmin and lsuser groups
126 +:(yourmachinename-admin) (yourmachinename-user):ALL
127
128 # allow local "root" user and members of local groups "root" and "login"
129 +:root (login) (root):ALL
130
131 # deny rest
132 -:ALL:ALL
133 ```
134
Martin Uhl 17.1 135 Um die `machinename-admin`/`machinename-user`-Gruppen zu sehen, muss ein zusätzlicher LDAP-Filter für Gruppen eingestellt sein. In der `nslcd.conf` wäre das:
136
Jonas Jelten 16.1 137 ```
138 filter group (|(objectClass=posixGroup)(&(objectClass=itoMachineUserGroup)(cn=yourmachinename-*)))
139 ```
140
141 ### `pam_access` Setup
142
143 Für PAM-Autokonfiguration `/usr/share/pam-configs/ito-ldap` anlegen:
144
145 ```
Jonas Jelten 11.2 146 Name: ITO LDAP group-based Authentication
147 Default: yes
148 Priority: 128
149 Auth-Type: Additional
150 Auth:
151 required pam_access.so nodefgroup
152 Account-Type: Primary
153 Account:
154 required pam_access.so nodefgroup
155 Password-Type: Primary
156 Password:
157 required pam_access.so nodefgroup
158 Session-Type: Additional
159 Session:
160 required pam_access.so nodefgroup
161 ```
162
163 und dann aktivieren: `pam-auth-update --enable ito-ldap --enable ldap --enable mkhomedir`
164
165 ## sudo
166
167 `sudo` (`sudoers`) config für passwortlosen root-zugriff:
168
169 ```
170 %deine-ldap-gruppe ALL=(ALL) NOPASSWD: ALL
171 ```
172
Jonas Jelten 16.1 173 Um zum beispiel den `lsadmin`-Nutzern aus dem `machine`-Eintrag `sudo`-Rechte zu geben:
Martin Uhl 17.1 174
Jonas Jelten 16.1 175 ```
176 %yourmachinename-admin ALL=(ALL) NOPASSWD: ALL
177 ```
178
Jonas Jelten 11.2 179 ## SSH-Key Login aus StrukturDB
180
181 Damit `ssh` automatisch ssh-keys von Nutzern aus der StrukturDB verwendet, muss man diese aus dem LDAP abholen. config für `ssh`:
182
183 ```
184 AuthorizedKeysCommand /usr/local/bin/ssh-ldap-key
185 AuthorizedKeysCommandUser nobody
186 ```
187
Jonas Jelten 13.1 188 [[attach:ssh-ldap-key]]-programm zum download