Einbindung für Ubuntu-Systeme

Beispiel: Ubuntu 16.04.2 LTS

Login-Shell der LDAP-User installieren:

sudo apt install csh

Die von den Nutzern des Systems genutzten Default-Shells (ggf. LDAP-loginshell) müssen installiert sein.

Benötigte Pakete installieren:

sudo apt install krb5-user libpam-krb5 libpam-ccreds auth-client-config ldap-utils 
      libsasl2-modules-gssapi-mit sasl2-bin libnss-ldap libpam-ldap nfs-common nscd nslcd

Während der Installation der Pakete werden die Einstellungen für LDAP konfiguriert:

  • Ubuntu01
  • Ubuntu02
  • Ubuntu03
  • Ubuntu04
  • Ubuntu05
  • Ubuntu06
  • Ubuntu07

Die Einstellungen finden sich in /etc/ldap.conf und /etc/nslcd.conf wieder.

An /etc/nslcd.conf noch diese Zeilen anhängen:

base   group  ou=Groups,dc=uni-magdeburg,dc=de
base   passwd ou=People,dc=uni-magdeburg,dc=de
scope  group  onelevel
scope  passwd onelevel

In /etc/nsswitch.conf LDAP als Datenquelle für Nutzerinformationen konfigurieren:

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

Optional für ldapsearch /etc/ldap/ldap.conf konfigurieren:

URI ldap://ldap1.ovgu.de/ ldap://ldap2.ovgu.de/ ldap://ldap3.ovgu.de/
BASE dc=uni-magdeburg,dc=de

Zur Konfiguration von Kerberos "sudo dpkg-reconfigure krb5-config" aufrufen.

  • Ubuntu08
  • Ubuntu09
  • Ubuntu10
  • Ubuntu11

Der Abschnitt [realms] sollte u.a. folgende Angaben enthalten

[realms]
        URZ.UNI-MAGDEBURG.DE = {
                kdc = lem.urz.uni-magdeburg.de
                kdc = bowles.urz.uni-magdeburg.de
                kdc = strugazki.urz.uni-magdeburg.de
                admin_server = lem.urz.uni-magdeburg.de
        }

Der Abschnitt [domain_realm] in /etc/krb5.conf muss von Hand angepasst werden. Eventuell weitere lokale Domains einfügen?

[domain_realm]
        .urz.uni-magdeburg.de = URZ.UNI-MAGDEBURG.DE
        urz.uni-magdeburg.de = URZ.UNI-MAGDEBURG.DE
        .ovgu.de = URZ.UNI-MAGDEBURG.DE
        ovgu.de = URZ.UNI-MAGDEBURG.DE

/etc/krb5.keytab

Im Kerberosserver müssen durch das URZ Einträge für jeden NFS-Client vorgenommen werden. Dazu wird der FQDN (voller Hostname, z.B. domicil.urz.uni.-magdeburg.de) des Clients benötigt. Hierfür bitte eine E-Mail-Anfrage an it-service@ovgu.de senden. Die vom Kerberos-Server exportierte Keytab wird von uns im Homedir des Antragstellers abgelegt. Die Keytab-Datei muss auf dem Client zu /etc/krb5.keytab kopiert werden. Bitte achten Sie auf die Permissions 600 und Owner root für /etc/krb5.keytab.

/etc/default/nfs-common
NEED_GSSD=yes

/etc/idmapd.conf
im Abschnitt [General]:
Domain = urz.uni-magdeburg.de

FQDN in /etc/hostname

sudo mkdir /import
sudo mkdir /import/home
sudo mkdir /import/group

/etc/fstab

sthome.ovgu.de:/ /import/home nfs4 nfsvers=4,minorversion=1,sec=krb5,noauto,x-systemd.automount 0 0
stgroup.ovgu.de:/group /import/group nfs4 nfsvers=4,minorversion=1,sec=krb5,noauto,x-systemd.automount 0 0

reboot

In der Grundeinstellung können sich alle im LDAP aktiven Nutzer anmelden. Einschränkungen sind allgemein mit dem PAM-Modul pam_succeed_if möglich oder speziell für den SSH-Zugang mit den Optionen AllowGroups und AllowUser in sshd_config.

Letzte Änderung: 06.11.2017 - Ansprechpartner:

Sie können eine Nachricht versenden an: Webmaster
Sicherheitsabfrage:
Captcha
 
Lösung: