Cookies helfen uns bei der Bereitstellung des IMT HilfeWikis. Bei der Nutzung vom IMT HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.Weitere Informationen

Linux-Rechner mit IMT-Anmeldung versorgen

IMT HilfeWiki - das Wiki
Wechseln zu:Navigation, Suche
Anleitung
Linux Linux
Informationen
Betriebssystem Linux
Service Anmeldedienst
Interessant für Angestellte, Studierende und Gäste
Linux Portalseite

Diese Anleitung richtet sich an Administratoren von Bereichen, die Linux-Rechner mit IMT-Benutzern ausstatten wollen, so dass eine Anmeldung mit IMT-Benutzerdaten möglich ist.

Was ist zu tun?

  • LDAP einrichten
  • Kerberos einrichten
  • NFSv4 einrichten
  • PAM für Kerberos konfigurieren

Schritt-für-Schritt Anleitung

LDAP

Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen:

  • Welche LDAP-User sollen auf dem System sichtbar sein? Man kann dabei über Gruppen und/oder dezentrale Dienste im Serviceportal filtern.
  • Von welchen IPs bzw. aus welchem Subnetz soll der Zugriff erfolgen?

Im Gegenzug erhält man einen Bind-DN und ein Bind-Password.

Jetzt sollte man diese Daten zunächst testen:

odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid
Enter LDAP Password: 
dn: uid=gudrun,ou=People,o=upb,c=de
uid: gudrun
dn: uid=barbara,ou=People,o=upb,c=de
uid: barbara
[...]

Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung.

/etc/nslcd.conf:

uri ldaps://ldap.uni-paderborn.de/
base o=upb,c=de
filter  passwd  (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))
base    passwd  ou=People,o=upb,c=de
scope   passwd  onelevel
base    group   ou=Groups,o=upb,c=de
scope   group   onelevel
binddn cn=binddn,ou=admin,o=upb,c=de
bindpw secret
tls_reqcert demand
tls_cacertfile /etc/ssl/certs/ca-certificates.crt

Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf

passwd:         files ldap
group:          files ldap

gestellt werden. Mit dem Kommando

odenbach@fenchurch:~$ getent passwd gudrun
gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh

kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).

Kerberos

Die Kerberos-Konfiguration ist deutlich einfacher, es reicht die Datei /etc/krb5.conf auf dem Rechner zu installieren. Mit dem Kommando

odenbach@dervish:~$ kinit odenbach
Password for odenbach@UNI-PADERBORN.DE: 

kann man testen, ob alles funktioniert. Wenn keine Fehlermeldung kommt, hat alles funktioniert. Dann kann man mit klist das erhaltene Ticket ansehen:

odenbach@dervish:~$ klist 
Ticket cache: FILE:/tmp/krb5cc_2041_BSV3G1lvHz
Default principal: odenbach@UNI-PADERBORN.DE

Valid starting       Expires              Service principal
10/11/2019 15:46:41  10/12/2019 01:46:38  krbtgt/UNI-PADERBORN.DE@UNI-PADERBORN.DE
        renew until 10/12/2019 01:46:39

Natürlich ist auch hierbei ein Benutzername zu wählen, der aus dem LDAP kommt.

NFSv4

Das Einrichten von NFSv4 ist hier bereits beschrieben.

PAM

Durch die Installation des Pakets libpam-krb5 wird die notwendige Konfiguration in /etc/pam.d bereits vorgenommen. Ansonsten empfehlen wir, sich die Konfiguration auf einem öffentlich erreichbaren IMT-Rechner wie sshgate.uni-paderborn.de anzusehen und ggf. zu übernehmen.

Nebenbei

  • Hier nochmal der Hinweis auf den Menüpunkt "Mitmachen" links im Hauptmenü, hinter dem sich wertvolle Anleitungen und Hinweise verstecken.
  • Erfahrene Redakteure finden unterhalb der "Kategorie:Utility templates" interessantes Handwerkszeug für fortgeschrittene Textmanipulationen.

Siehe auch

Netzwerkspeicher auf UNIX Maschinen

Single Sign On


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: imt@uni-paderborn.de

Der Servicepoint auf N5 bleibt geschlossen.

Das IMT:Notebook-Café (Raum I0.401) hat Mo-Do von 10-15 Uhr geöffnet,
das IMT:Servicecenter Medien auf H1 Montag bis Donnerstag 8.00 - 14.00 Uhr, Freitag 8.00 - 12.00 Uhr.