zurück zur Protokoll-Übersicht
- Datum
- 27.04.2014
- Thema
LDAP
- Anwesende
- Ort
Inhaltsverzeichnis
Öffentliches Treffen
Heut war wieder Hack(fleisch)- und Grill-Spaß... Wir hab'n 'n Logo ausgesucht und uns auf https://systemausfall.org/wikis/hack-hro/Logosuche/dario_logo_01.jpg von Darjo geeinigt... Des Bild muß natürlich noch vektorisiert und invertiert sowie hinter den Prompt 'n "make" gepappt werden, aber ansonsten ham wir jetzt 'n Logo... =) Des war's, endlich fertich!!!
Grillen
Jep, es gab Aas!!! Und Toastbrot sowie Ketchup... So richtig mit Kohle und Grill und so...
LDAP-Einrichtung
Pakete installieren:
aptitude install slapd aptitude install gosa gosa-schema gosa-plugin-samba gosa-plugin-ssh gosa-plugin-ssh-schema
Schemata, dir für unsere Zwecke relevant sind, zur LDAP-Datenbank-Definition hinzufügen:
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/samba3.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/gofon.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/gosystem.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/goto.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/gosa-samba3.ldif ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/openssh-lpk.ldif
Gosa-Nachbereitung
- Gosa in Apache aktivieren
- das gosa-Web-Interface besuchen und dort eine Konfiguration erstellen
- sobald du die Nutzer/Gruppen-Konfiguration im gosa-Interface siehst, bist du fertig mit diesem Schritt
in der Datei /etc/gosa/gosa.conf ungefähr die folgende Zeile einfügen (siehe auch man gosa.conf:
idGenerator="{%givenName}{%sn[0-2]}"
LDAP in unix-Accounts integrieren
- Ziel: Einträge aus dem LDAP-Verzeichnis sollen lokal auf dem Rechner als Nutzernamen sichtbar sein
leicht zu sehen in getent passwd
- die Kombination der lokalen Nutzerverwaltung mit dem LDAP-Server ist über den NSS-Dienst (Name-Service-Switch) möglich
siehe /etc/nsswitch.conf - dort fehlt bisher noch "ldap"
ldap-Nutzeraccount-Integration installieren:
aptitude install libnss-ldapd
- unsere Datenquellen: passwd, shadow, group
anschließend sind die Nutzer via getent passwd sichtbar
Nutzerverzeichnis automatisch anlegen, durch folgende Zeile am Ende der /etc/pam.d/common-session und common-session-noninteractive:
session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
SSH-Login mit Schlüssel
Details: https://github.com/AndriiGrytsenko/openssh-ldap-publickey -> geht nicht gut boeses perl * schlanke python implementierung sucht publickeys aus ldap fuer uid * wird verbessert/veroeffentlicht/dokumntiert
Webserver-Zugangssicherung mit LDAP
a2enmod ldap a2enmod authnz_ldap Example config:
<Location /test>
AuthType Basic
AuthBasicProvider ldap
AuthName "hack-hro.de"
AuthLDAPURL "ldap://ldap/ou=people,dc=hack-hro,dc=de?uid?sub?(objectClass=posixAccount)"
Require valid-user
</Location>Auf gruppenbasis:
<Location /test>
AuthType Basic
AuthBasicProvider ldap
AuthName "hack-hro.de"
AuthLDAPURL "ldap://ldap/ou=people,dc=hack-hro,dc=de?uid?sub?(objectClass=posixAccount)"
Require ldap-group cn=smb_privileged,ou=groups,dc=hack-hro,dc=de
AuthLDAPGroupAttributeIsDN off
AuthLDAPGroupAttribute memberUid
</Location>
Samba-Server
Samba-Server und LDAP-Integration installieren:
aptitude install smbldap-tools
anschließend den Abschnitt "SAMBA Server Configuration" in der /usr/share/doc/smbldap-tools/README.Debian.gz ausführen
die smb.conf-Einstellung obey pam restrictions auf yes
abschließend den Abschnitt "SMBLDAP-TOOLS Configuration" in der /usr/share/doc/smbldap-tools/README.Debian.gz ausführen
Werkzeug mitbringen valy
- Pfeilen Holz/Metall
- Schraubzwingen
- Schraubstock
- Abisolierzange
- Schraubenschluessel
- Zollstock
- Waage
- Holzhobel
- Schrauben ... Muttern ...
- Koerner
- Handbohrer
- Schweissgeraet
- Spachtel(auch X)
- Zangen (Kneifzangen) toll waeren kleine...
- IT-Pinzette
- Rohrzange