Beispiel: Ubuntu 16.04.2 LTS
Login-Shell der LDAP-User installieren:
sudo apt install csh
Die von den Nutzern des Systems genutzten Default-Shells (ggf. LDAP-loginshell) müssen installiert sein.
Benötigte Pakete installieren:
sudo apt install krb5-user libpam-krb5 libpam-ccreds auth-client-config ldap-utils
libsasl2-modules-gssapi-mit sasl2-bin libnss-ldap libpam-ldap nfs-common nscd nslcd
Während der Installation der Pakete werden die Einstellungen für LDAP konfiguriert:
Die Einstellungen finden sich in /etc/ldap.conf und /etc/nslcd.conf wieder.
An /etc/nslcd.conf noch diese Zeilen anhängen:
base group ou=Groups,dc=uni-magdeburg,dc=de base passwd ou=People,dc=uni-magdeburg,dc=de scope group onelevel scope passwd onelevel
In /etc/nsswitch.conf LDAP als Datenquelle für Nutzerinformationen konfigurieren:
passwd: compat ldap group: compat ldap shadow: compat ldap
Optional für ldapsearch /etc/ldap/ldap.conf konfigurieren:
URI ldap://ldap1.ovgu.de/ ldap://ldap2.ovgu.de/ ldap://ldap3.ovgu.de/ BASE dc=uni-magdeburg,dc=de
Zur Konfiguration von Kerberos "sudo dpkg-reconfigure krb5-config" aufrufen.
Der Abschnitt [realms] sollte u.a. folgende Angaben enthalten
[realms]
URZ.UNI-MAGDEBURG.DE = {
kdc = lem.urz.uni-magdeburg.de
kdc = bowles.urz.uni-magdeburg.de
kdc = strugazki.urz.uni-magdeburg.de
admin_server = lem.urz.uni-magdeburg.de
}
Der Abschnitt [domain_realm] in /etc/krb5.conf muss von Hand angepasst werden. Eventuell weitere lokale Domains einfügen?
[domain_realm]
.urz.uni-magdeburg.de = URZ.UNI-MAGDEBURG.DE
urz.uni-magdeburg.de = URZ.UNI-MAGDEBURG.DE
.ovgu.de = URZ.UNI-MAGDEBURG.DE
ovgu.de = URZ.UNI-MAGDEBURG.DE
/etc/krb5.keytab
Im Kerberosserver müssen durch das URZ Einträge für jeden NFS-Client vorgenommen werden. Dazu wird der FQDN (voller Hostname, z.B. domicil.urz.uni.-magdeburg.de) des Clients benötigt. Hierfür bitte eine E-Mail-Anfrage an it-service@ovgu.de senden. Die vom Kerberos-Server exportierte Keytab wird von uns im Homedir des Antragstellers abgelegt. Die Keytab-Datei muss auf dem Client zu /etc/krb5.keytab kopiert werden. Bitte achten Sie auf die Permissions 600 und Owner root für /etc/krb5.keytab.
/etc/default/nfs-common NEED_GSSD=yes /etc/idmapd.conf im Abschnitt [General]: Domain = urz.uni-magdeburg.de
FQDN in /etc/hostname
sudo mkdir /import sudo mkdir /import/home sudo mkdir /import/group
/etc/fstab
sthome.ovgu.de:/ /import/home nfs4 nfsvers=4,minorversion=1,sec=krb5,noauto,x-systemd.automount 0 0 stgroup.ovgu.de:/group /import/group nfs4 nfsvers=4,minorversion=1,sec=krb5,noauto,x-systemd.automount 0 0
reboot
In der Grundeinstellung können sich alle im LDAP aktiven Nutzer anmelden. Einschränkungen sind allgemein mit dem PAM-Modul pam_succeed_if möglich oder speziell für den SSH-Zugang mit den Optionen AllowGroups und AllowUser in sshd_config.
IT-Service der OVGU
Tel.: +49 391 67 58888
Mo-Do 08:00 bis 11:30 & 12:30 bis 16:00
Fr 08:00 bis 11:30 & 12:30 bis 14:00
Mitarbeiterinnen und Mitarbeiter der Universitätsmedizin nutzen bitte die Kontakdaten auf dieser Seite.
Letzte Änderung: 04.11.2022 - Ansprechpartner:
Werner Liebscher