Linux-Rechner mit IMT-Anmeldung versorgen: Unterschied zwischen den Versionen

IMT HilfeWiki - das Wiki
(LDAP)
Zeile 27: Zeile 27:
  
 
Jetzt sollte man diese Daten zunächst testen:
 
Jetzt sollte man diese Daten zunächst testen:
 
+
odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid
odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid
+
Enter LDAP Password:  
 
+
dn: uid=gudrun,ou=People,o=upb,c=de
Enter LDAP Password:  
+
uid: gudrun
 
+
dn: uid=barbara,ou=People,o=upb,c=de
dn: uid=gudrun,ou=People,o=upb,c=de
+
uid: barbara
 
+
[...]
uid: gudrun
 
 
 
dn: uid=barbara,ou=People,o=upb,c=de
 
 
 
uid: barbara
 
 
 
[...]
 
  
 
Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung.   
 
Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung.   
  
 
nslcd.conf:  
 
nslcd.conf:  
 
+
uri ldap://ldap.uni-paderborn.de/
<code>uri ldap://ldap.uni-paderborn.de/</code>
+
base o=upb,c=de
 
+
filter  passwd  (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))
<code>base o=upb,c=de</code>
+
base    passwd  ou=People,o=upb,c=de
 
+
scope   passwd  onelevel
<code>filter  passwd  (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))</code>
+
base    group   ou=Groups,o=upb,c=de
 
+
scope   group   onelevel
<code>base    passwd  ou=People,o=upb,c=de</code>
+
binddn cn=binddn,ou=admin,o=upb,c=de
 
+
bindpw secret
<code>scope   passwd  onelevel</code>
+
tls_reqcert demand
 
+
tls_cacertfile /etc/ssl/certs/ca-certificates.crt
<code>base    group   ou=Groups,o=upb,c=de</code>
 
 
 
<code>scope   group   onelevel</code>
 
 
 
<code>binddn cn=binddn,ou=admin,o=upb,c=de</code>
 
 
 
<code>bindpw secret</code>
 
 
 
<code>tls_reqcert demand</code>
 
 
 
<code>tls_cacertfile /etc/ssl/certs/ca-certificates.crt</code>
 
  
 
Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf
 
Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf
  
<code>passwd:         files ldap</code>
+
passwd:         files ldap
 
+
group:          files ldap
<code>group:          files ldap</code>
 
  
 
gestellt werden. Mit dem Kommando
 
gestellt werden. Mit dem Kommando
  
<code>odenbach@fenchurch:~$ getent passwd gudrun</code>
+
odenbach@fenchurch:~$ getent passwd gudrun
 
+
gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh
<code>gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh</code>
 
  
 
kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).
 
kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).

Version vom 11. Oktober 2019, 14:33 Uhr

Anleitung
Linux Linux
Informationen
BetriebssystemLinux
ServiceAnmeldedienst
Interessant fürAngestellte, Studierende und Gäste
Linux Portalseite

no displaytitle found: Linux-Rechner mit IMT-Anmeldung versorgen

Diese Anleitung richtet sich an Administratoren von Bereichen, die Linux-Rechner mit IMT-Benutzern ausstatten wollen, so dass eine Anmeldung mit IMT-Benutzerdaten möglich ist.

Was ist zu tun?[Bearbeiten | Quelltext bearbeiten]

  • LDAP einrichten
  • Kerberos einrichten
  • NFSv4 einrichten

Schritt-für-Schritt Anleitung[Bearbeiten | Quelltext bearbeiten]

Jeder Arbeitschritt wird hier genau erklärt und ggf. mit Screenshots hinterlegt.

LDAP[Bearbeiten | Quelltext bearbeiten]

Der Zugriff auf den LDAP-Server des IMT muss vorher abgesprochen und genehmigt werden. Im einzelnen benötigen wir dafür folgende Informationen:

  • Welche LDAP-User sollen auf dem System sichtbar sein? Man kann dabei über Gruppen und/oder dezentrale Dienste im Serviceportal filtern.
  • Von welchen IPs bzw. aus welchem Subnetz soll der Zugriff erfolgen?

Im Gegenzug erhält man einen Bind-DN und ein Bind-Password.

Jetzt sollte man diese Daten zunächst testen:

odenbach@fenchurch:~$ ldapsearch -x -ZZ -h ldap.uni-paderborn.de -Duid=binddn,ou=admin,o=upb,c=de -W -LLL objectClass=posixAccount uid
Enter LDAP Password: 
dn: uid=gudrun,ou=People,o=upb,c=de
uid: gudrun
dn: uid=barbara,ou=People,o=upb,c=de
uid: barbara
[...]

Wenn das soweit funktioniert, muss der LDAP als Namensquelle für passwd und group eingetragen werden. Dafür wird unter Debian Linux das Paket nslcd empfohlen, sinnvollerweise zusammen mit dem nscd (Name Service Caching Daemon). Grundsätzlich funktioniert wohl auch der sssd, damit haben wir aber keinerlei Erfahrung.

nslcd.conf:

uri ldap://ldap.uni-paderborn.de/
base o=upb,c=de
filter  passwd  (&(objectclass=posixAccount)(!(upbPersonSperre=TRUE)))
base    passwd  ou=People,o=upb,c=de
scope   passwd  onelevel
base    group   ou=Groups,o=upb,c=de
scope   group   onelevel
binddn cn=binddn,ou=admin,o=upb,c=de
bindpw secret
tls_reqcert demand
tls_cacertfile /etc/ssl/certs/ca-certificates.crt

Danach müssen in der /etc/nsswitch.conf die Einträge für passwd und group jeweils auf

passwd:         files ldap
group:          files ldap

gestellt werden. Mit dem Kommando

odenbach@fenchurch:~$ getent passwd gudrun
gudrun:*:2102:10000:Gudrun Oevel:/upb/users/g/gudrun/profiles/unix/imt:/bin/zsh

kann man testen, ob der LDAP als Identitätsquelle funktioniert (Usernamen auswählen, der definitiv über LDAP kommt, siehe ldapsearch Test oben).

Kerberos[Bearbeiten | Quelltext bearbeiten]

unterteilt werden

NFSv4[Bearbeiten | Quelltext bearbeiten]

Überschriften dritter Ordnung

Nebenbei[Bearbeiten | Quelltext bearbeiten]

  • Hier nochmal der Hinweis auf den Menüpunkt "Mitmachen" links im Hauptmenü, hinter dem sich wertvolle Anleitungen und Hinweise verstecken.
  • Erfahrene Redakteure finden unterhalb der "Kategorie:Utility templates" interessantes Handwerkszeug für fortgeschrittene Textmanipulationen.

Siehe auch[Bearbeiten | Quelltext bearbeiten]

Weitere interessante Artikel zum gleichen Themenfeld verlinken


Bei Fragen oder Problemen wenden Sie sich bitte telefonisch oder per E-Mail an uns:

Tel. IT: +49 (5251) 60-5544 Tel. Medien: +49 (5251) 60-2821 E-Mail: imt@uni-paderborn.de

Das Notebook-Café ist die Benutzerberatung des IMT

Das IMT:Notebook-Café (Raum I0.401) bietet in der vorlesungsfreien Zeit nur eingeschränkten Support

Mo Di-Do Fr
Vor-Ort-Support - 09-13 Uhr -
Telefonsupport 08:30-13 Uhr & 13:30-15 Uhr 08:30-13 Uhr

Das IMT:Servicecenter Medien auf H1 hat aktuell von Montag bis Freitag von 08:00-13:00 Uhr geöffnet.


Cookies helfen uns bei der Bereitstellung des IMT HilfeWikis. Bei der Nutzung vom IMT HilfeWiki werden die in der Datenschutzerklärung beschriebenen Cookies gespeichert.