LinuxUser Fotos bearbeiten (Vorschau)

Netz&System
OpenLDAP
Hier zeigt sich ein Nachteil der dynamischen
Konfiguration: Sie gestaltet sich
ganz offensichtlich etwas schwieriger als
das Editieren einfacher Textdateien. Die
Nutzerauthentifizierung sollte jedoch
mit allen Distributionen von Haus aus
funktionieren.
Clients einrichten
Um von der zentralen Nutzerverwaltung
zu profitieren, benötigen Sie nur wenige
zusätzliche Schritte.
Linux nutzt für die Authentifizierung
PAM und den Name Service Switch (NSS),
um Benutzerdaten aus Datenbanken zu
lesen, sodass Sie die entsprechenden
Pakete einspielen müssen. Unter Debian
benötigen Sie dafür libnss-ldapd, libpamldapd
und – wenn Sie Nutzern ein Abfragen
des LDAP-Verzeichnisses gestatten
möchten – auch die ldap-utils. Die Installationsroutine
fragt alle relevanten Informationen
ab, sodass Sie nur darauf achten
müssen, dass sie mit denen des Servers
übereinstimmen.
Anschließend weisen Sie den NSS an,
von nun an auch LDAP-Server abzufragen,
wenn sich ein Nutzer anmeldet. Zu
diesem Zweck ergänzen Sie in der /etc/
nsswitch.conf die mit passwd, group
und shadow beginnenden Zeilen um
ldap 4 . Um Abfragen mit Ldapsearch
und Konsorten an den Server zu senden,
müssen Sie eventuell auch noch die Parameter
für TLS_CACERT und URI in der
/ etc/ldap/ldap.conf anpassen.
Jetzt können Sie sich anmelden. Falls
das nicht gelingt, beobachten Sie beispielsweise
mithilfr des Kommandos
tail ‐f /var/log/auth.log die für Authentifizierungen
zuständige Protokolldatei.
Es kommt vor, dass auf dem LDAP-
Client noch kein Home-Verzeichnis für
den User existiert, der sich anmelden
möchte. Um dieses automatisch anzulegen,
fügen Sie in der /etc/pam.d/common‐session
die folgende Zeile hinzu:
Listing 5
# tls.ldif
dn: cn=config
add: olcTLSCACertificateFile
olcTLSCACertificateFile: /etc/
ldap/certs/ca.crt
‐
add: olcTLSCertificateFile
olcTLSCertificateFile: /etc/ldap/
certs/server.crt
‐
add: olcTLSCertificateKeyFile
olcTLSCertificateKeyFile: /etc/
ldap/certs/server.key
‐
# tls erzwingen
add: add: olcSecurity
olcSecurity: tls=1
‐
add: olcSecurity
olcSecurity: ssf=256
Listing 6
$ ldapsearch ‐ZZ ‐x ‐LLL
"uid=karl"
$ ldapsearch ‐DD ‐x ‐LLL
objectClass=posixAccount
Listing 7
session required pam_mkhomedir.soU
skel=/etc/skel/ umask=0027
Arbeiten Ihre Nutzer mit verschiedenen
Rechnern und möchten Sie deren Daten
synchron halten, dann denken Sie am
besten darüber nach, einen NFS-Server
ins Netz zu stellen, der die Heimatverzeichnisse
bereitstellt.
Sichere Verbindung
Um zu verhindern, dass jemand die im
Klartext übermittelten Nutzerdaten im
Netz abgreift, gilt es, die Verbindung
mittels TLS abzusichern. Dazu erzeugen
Sie Schlüssel und Zertifikate für den Server
(Listing 4) und machen OpenLDAP
mittels einer LDIF-Datei (Listing 5) mit
ihnen bekannt:
$ ldapmodify ‐Y EXTERNAL ‐H ldapU
i:// ‐f tls.ldif
Hinterlegen Sie danach auf den Clients
das CA-Zertifikat und geben Sie ihnen
vor, TLS zu nutzen. Dazu passen Sie die
Datei / etc/nslcd.conf an, indem Sie
dort die Option ssl auskommentieren,
auf start_tls setzen und hinter tls_
cacertfile den Pfad zum CA-Zertifikat
eintragen. Danach starten Sie Nslcd neu.
Bevor der LDAP-Verkehr auch verschlüsselt
reibungslos läuft, erfordern
die Einträge URI und TLS_CACERT in
/ etc/ldap/ldap.conf eventuell etwas
Aufmerksamkeit.
$ ldappasswd ‐ZZ ‐D "cn=admin,dc=hochdrei,dc=local" "uid=karl,
ou=vorstand,dc=hochdrei,dc=local" ‐W ‐S
$ ldappasswd ‐ZZ ‐D "uid=karl,ou=vorstand,dc=hochdrei,dc=local" ‐W ‐S
82 www.linux-user.de
09.2014