''zurück zur [[Protokolle|Protokoll-Übersicht]]''

 Datum:: 27.04.2014
 Thema:: ''LDAP''
 Anwesende:: 
 Ort:: 

<<TableOfContents>>

----
= Öffentliches Treffen =
Heut war wieder Hack(fleisch)- und Grill-Spaß... Wir hab'n 'n Logo ausgesucht und uns auf https://systemausfall.org/wikis/hack-hro/Logosuche/dario_logo_01.jpg von Darjo geeinigt... Des Bild muß natürlich noch vektorisiert und invertiert sowie hinter den Prompt 'n "make" gepappt werden, aber ansonsten ham wir jetzt 'n Logo... =) Des war's, endlich fertich!!!
 
== Grillen ==
Jep, es gab Aas!!! Und Toastbrot sowie Ketchup... So richtig mit Kohle und Grill und so...
 
 
== LDAP-Einrichtung ==
Pakete installieren: {{{
aptitude install slapd
aptitude install gosa gosa-schema gosa-plugin-samba gosa-plugin-ssh gosa-plugin-ssh-schema
}}}
 
Schemata, dir für unsere Zwecke relevant sind, zur LDAP-Datenbank-Definition hinzufügen: {{{
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/samba3.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/gofon.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/gosystem.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/goto.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/gosa-samba3.ldif
ldapadd -Y EXTERNAL -H ldapi:/// -f /etc/ldap/schema/gosa/openssh-lpk.ldif
}}}
 
 
== Gosa-Nachbereitung ==
 * Gosa in Apache aktivieren
 * das gosa-Web-Interface besuchen und dort eine Konfiguration erstellen
 * sobald du die Nutzer/Gruppen-Konfiguration im gosa-Interface siehst, bist du fertig mit diesem Schritt
 * in der Datei {{{/etc/gosa/gosa.conf}}} ungefähr die folgende Zeile einfügen (siehe auch {{{man gosa.conf}}}: {{{
idGenerator="{%givenName}{%sn[0-2]}"
}}}
 
 
== LDAP in unix-Accounts integrieren ==
 * Ziel: Einträge aus dem LDAP-Verzeichnis sollen lokal auf dem Rechner als Nutzernamen sichtbar sein
  * leicht zu sehen in {{{getent passwd}}}
 * die Kombination der lokalen Nutzerverwaltung mit dem LDAP-Server ist über den NSS-Dienst (Name-Service-Switch) möglich
  * siehe {{{/etc/nsswitch.conf}}} - dort fehlt bisher noch "ldap"
 * ldap-Nutzeraccount-Integration installieren: {{{
aptitude install libnss-ldapd
}}}
  * unsere Datenquellen: passwd, shadow, group
 * anschließend sind die Nutzer via {{{getent passwd}}} sichtbar
 * Nutzerverzeichnis automatisch anlegen, durch folgende Zeile am Ende der {{{/etc/pam.d/common-session}}} und {{{common-session-noninteractive}}}: {{{
session    required    pam_mkhomedir.so skel=/etc/skel/ umask=0077
}}} 
 
 
== SSH-Login mit Schlüssel ==
Details: https://github.com/AndriiGrytsenko/openssh-ldap-publickey -> geht nicht gut boeses perl
* schlanke python implementierung sucht publickeys aus ldap fuer uid
* wird verbessert/veroeffentlicht/dokumntiert
 
 
== Webserver-Zugangssicherung mit LDAP ==
a2enmod ldap
a2enmod authnz_ldap
Example config:
{{{
        <Location /test>
                AuthType Basic
                AuthBasicProvider ldap
                AuthName "hack-hro.de"
                AuthLDAPURL "ldap://ldap/ou=people,dc=hack-hro,dc=de?uid?sub?(objectClass=posixAccount)"
                Require valid-user
        </Location>
}}}
Auf gruppenbasis:
{{{
        <Location /test>
                AuthType Basic
                AuthBasicProvider ldap
                AuthName "hack-hro.de"
                AuthLDAPURL "ldap://ldap/ou=people,dc=hack-hro,dc=de?uid?sub?(objectClass=posixAccount)"
                Require ldap-group cn=smb_privileged,ou=groups,dc=hack-hro,dc=de
                AuthLDAPGroupAttributeIsDN off
                AuthLDAPGroupAttribute memberUid
        </Location>
}}}
 
 
== Samba-Server ==
 * Samba-Server und LDAP-Integration installieren: {{{
aptitude install smbldap-tools
}}}
 * anschließend den Abschnitt "SAMBA Server Configuration" in der {{{/usr/share/doc/smbldap-tools/README.Debian.gz}}} ausführen
  * die smb.conf-Einstellung {{{obey pam restrictions}}} auf {{{yes}}}
 * abschließend den Abschnitt "SMBLDAP-TOOLS Configuration" in der {{{/usr/share/doc/smbldap-tools/README.Debian.gz}}} ausführen

== Werkzeug mitbringen valy ==
 * Pfeilen Holz/Metall
 * Schraubzwingen
 * Schraubstock
 * Abisolierzange
 * Schraubenschluessel
 * Zollstock
 * Waage
 * Holzhobel
 * Schrauben ... Muttern ... 
 * Koerner 
 * Handbohrer
 * Schweissgeraet
 * Spachtel(auch X)
 * Zangen (Kneifzangen) toll waeren kleine...
 * https://systemausfall.org/wikis/hack-hro/Werkzeuch
 * IT-Pinzette
 * Rohrzange

----
CategoryProtokoll