wiki.in.tum.de
Technische Universität München

LDAP-Benutzerlogin unter Linux

Für wen ist diese Anleitung

Wenn du ein Linux-System so installieren möchtest, dass sich Benutzer am Rechner direkt oder über SSH mit ihrem RBG-Passwort anmelden können, ist dies die Anmeldung. Insbesondere auf den Lehrstuhl-VM-Servern, die von der RBG im ESX angeboten werden, ist dies möglich.

Falls du den LDAP für andere Zwecke benutzen möchtest (Einbindung in ein Mailprogramm, als Kontaktbuch oder für Webanwendungen), ist dies vermutlich nicht die passende Anleitung.

Allgemein

Für die VMs der RBG: Bitte nicht die von uns vorinstallierten statischen Benutzer in /etc/passwd, /etc/shadow und /home entfernen. Der LDAP muss so installiert werden, dass diese statischen Benutzereinträge zusätzlich noch funktionieren. Für Wartungszwecke ist es uns wichtig, dass dies auch dann noch funktioniert, wenn die VM keine Netzwerkverbindung hat.

Ihr könnt gerne mit uns Rücksprache halten, wenn Ihr unseren LDAP für Loginzwecke benutzen möchtet, denn wir bleiben auch gerne darüber informiert, wo eine solche Konfiguration eingesetzt wird.

Auf ldap.in.tum.de sind alle Informatik-Benutzer. Gewöhnlich möchte man nicht, dass sie sich alle anmelden können. Die gängige Lösung ist, dass eine Benutzergruppe (auch aus dem LDAP oder auch lokal aus /etc/groups) definiert wird mit den Benutzern, die sich einloggen dürfen. Diese konfigurieren wir in allen installierten Diensten, die eine Benutzeranmeldung ermöglichen (bei sshd ist das die Einstellung "AllowGroup").

Wo die Home-Verzeichnisse abgelegt werden oder von wo sie eingebunden werden, und welches LDAP-Attribut für den Home-Pfad benutzt wird, ist im Einzelfall zu überlegen. Siehe dazu die auskommentierte Zeile unten für das Beispiel unserer Rechnerhalle. In der Regel wirst du jedoch nicht das Home-Directory der Rechnerhalle einbinden wollen oder können.

Anleitung

apt install libpam-ldap libnss-ldap nscd

Konfig in /etc/ldap.conf:
base ou=ou=in,o=tum,c=de

pam_login_attribute loginName
nss_map_attribute uid loginName
nss_base_passwd ou=Personen,ou=in,o=tum,c=de
nss_base_passwd ou=Projekte,ou=in,o=tum,c=de
nss_base_group        ou=Gruppen,ou=in,o=tum,c=de
nss_base_shadow ou=Personen,ou=in,o=tum,c=de
# nss_map_attribute     homeDirectory rbgHomeDirectoryHalle

uri ldaps://ldap.in.tum.de
ldap_version 3
ssl on

nss_initgroups_ignoreusers _apt,avahi,avahi-autoipd,backup,bin,colord,daemon,dnsmasq,games,gnats,hplip,irc,jetty,kernoops,libuuid,lightdm,list,lp,mail,man,messagebus,mongodb,news,ntp,postfix,proxy,pulse,root,rtkit,saned,speech-dispatcher,sshd,statd,sync,sys,syslog,systemd-network,systemd-resolve,systemd-timesync,unscd,usbmux,uucp,uuidd,vboxadd,vde2-net,www-data,zeroinst

Dann müssen in /etc/nsswitch.conf die drei Zeilen für "passwd", "group" und "shadow" editiert werden. Mit dem folgenden Setup wird sichergestellt, dass die statisch eingerichteten Benutzer und ihre Passwörter immer direkt benutzt werden – Wie oben beschrieben ist das wichtig für unsere VMs:
passwd:         files ldap systemd
group:          files ldap systemd
shadow:         files ldap

In /etc/pam.d/common-password sollte am Anfang die Zeile stehen:

password   sufficient pam_ldap.so

Danach noch:
systemctl restart nscd
Topic revision: r1 - 14 Mar 2022, ChristophBusseniusGa29lol
This site is powered by FoswikiCopyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding Foswiki? Send feedback