Maximilian.pottgiesser: /* OpenLDAP mit SSSD Client-Konfiguration */

2025-10-15T12:56:01Z

OpenLDAP mit SSSD Client-Konfiguration

Maximilian.pottgiesser: Die Seite wurde neu angelegt: „= OpenLDAP mit SSSD Client-Konfiguration = == Inhaltsverzeichnis == # Installation (Server) # Grundkonfiguration (Server) # Weitere Konfiguration (Server) #…“

2025-10-15T12:55:45Z

Die Seite wurde neu angelegt: „= OpenLDAP mit SSSD Client-Konfiguration = == Inhaltsverzeichnis == # Installation (Server) # Grundkonfiguration (Server) # Weitere Konfiguration (Server) #…“

Neue Seite

= OpenLDAP mit SSSD Client-Konfiguration =

== Inhaltsverzeichnis ==

# Installation (Server)
# Grundkonfiguration (Server)
# Weitere Konfiguration (Server)
# Konfiguration des Clients
# Kontrolle
# Grundstruktur
# Ldapscripts
# DNS-Konfiguration
# SSSD Client-Konfiguration
# Tests
# LDAP Server Management
# Sudo-Konfiguration
# Troubleshooting

== Installation (Server) ==

Passwort nach Wahl festlegen:

apt install slapd ldap-utils

;slapd: OpenLDAP Standalone Server
;ldap-utils: Utilities zum Zugriff auf den LDAP Server

== Grundkonfiguration (Server) ==

Während der Installation Domain-Name angeben: <code>it113.int</code>

== Weitere Konfiguration (Server) ==

dpkg-reconfigure -p low slapd

Folgende Einstellungen vornehmen:
* DNS domain name: <code>it113.int</code>
* Organization name: <code>it113</code>
* Administrator password: (Passwort festlegen)
* Database backend: MDB
* Remove database when slapd is purged: No
* Move old database: Yes

== Konfiguration des Clients ==

=== ldap.conf ===

cat /etc/ldap/ldap.conf

<syntaxhighlight lang="text">
base dc=it113,dc=int
uri ldap://server.it113.int
ldap_version 3
rootbinddn cn=admin,dc=it113,dc=int
pam_password md5
</syntaxhighlight>

=== Passwort für den Adminzugang eintragen ===

echo 123Start$ > /etc/ldap.secret
chmod 600 /etc/ldap.secret

== Kontrolle ==

=== Stimmt der base dn? ===

ldapsearch -x -LLL

Erwartete Ausgabe:

<syntaxhighlight lang="text">
dn: dc=it113,dc=int
objectClass: top
objectClass: dcObject
objectClass: organization
o: it113
dc: it113
</syntaxhighlight>

== Grundstruktur ==

=== Erstellen ===

cat /root/struktur.ldif

<syntaxhighlight lang="ldif">
dn: ou=users,dc=it113,dc=int
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=it113,dc=int
objectClass: organizationalUnit
ou: groups

dn: ou=hosts,dc=it113,dc=int
objectClass: organizationalUnit
ou: hosts
</syntaxhighlight>

=== Anlegen ===

ldapadd -xD cn=admin,dc=it113,dc=int -w 123Start$ -f /root/struktur.ldif

Erwartete Ausgabe:

<syntaxhighlight lang="text">
adding new entry "ou=users,dc=it113,dc=int"
adding new entry "ou=groups,dc=it113,dc=int"
adding new entry "ou=hosts,dc=it113,dc=int"
</syntaxhighlight>

== Ldapscripts ==

=== Installation ===

apt install ldapscripts

=== Konfiguration ===

==== Hauptkonfiguration ====

vim /etc/ldapscripts/ldapscripts.conf

<syntaxhighlight lang="bash">
SERVER="ldap://ldap.it113.int"
SUFFIX="dc=it113,dc=int"
GSUFFIX="ou=groups"
USUFFIX="ou=users"
MSUFFIX="ou=hosts"
BINDDN="cn=admin,dc=it113,dc=int"
USHELL="/bin/bash"
UHOMES="/home/%u"
CREATEHOMES="yes"
HOMESKEL="/etc/skel"
BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
GIDSTART="10000"
UIDSTART="10000"
MIDSTART="20000"
GCLASS="posixGroup"
PASSWORDGEN="pwgen"
RECORDPASSWORDS="no"
PASSWORDFILE="/var/log/ldapscripts_passwd.log"
LOGTOFILE="yes"
LOGFILE="/var/log/ldapscripts.log"
</syntaxhighlight>

==== Password Datei ====

echo -n "123Start$" > /etc/ldapscripts/ldapscripts.passwd
chmod 600 /etc/ldapscripts/ldapscripts.passwd

=== Management ===

==== Gruppen anlegen ====

ldapaddgroup it

==== Benutzer anlegen ====

ldapadduser thomas it
ldapadduser tina it

==== Passwörter setzen ====

ldapsetpasswd thomas
ldapsetpasswd tina

== DNS-Konfiguration (WICHTIG!) ==

Für SSSD Service Discovery werden DNS SRV Records benötigt.

=== DNS SRV Records anlegen ===

Im DNS-Server (z.B. BIND) folgende Einträge hinzufügen:

<syntaxhighlight lang="bind">
; LDAP Server A-Record
ldap.it113.int. IN A 192.168.113.10
server.it113.int. IN A 192.168.113.10

; SRV Records für LDAP Service Discovery
_ldap._tcp.it113.int. IN SRV 0 5 389 ldap.it113.int.
</syntaxhighlight>

'''SRV Record Parameter:'''
* <code>0</code> = Priority (0 = höchste Priorität)
* <code>5</code> = Weight (für Load Balancing)
* <code>389</code> = LDAP Port
* <code>ldap.it113.int.</code> = Hostname des LDAP-Servers

=== DNS testen ===

# A-Record testen
dig ldap.it113.int A

# SRV-Record testen (muss funktionieren!)
dig _ldap._tcp.it113.int SRV

Erwartete SRV-Ausgabe:
<syntaxhighlight lang="text">
_ldap._tcp.it113.int. 86400 IN SRV 0 5 389 ldap.it113.int.
</syntaxhighlight>

== SSSD Client-Konfiguration ==

SSSD (System Security Services Daemon) ersetzt die alte Konfiguration mit libnss-ldap und libpam-ldap.

=== Installation ===

apt install sssd-ldap ldap-utils

=== ldap.conf (Client) ===

cat /etc/ldap/ldap.conf

<syntaxhighlight lang="text">
base dc=it113,dc=int
uri ldap://server.it113.int
ldap_version 3
</syntaxhighlight>

=== SSSD Konfiguration ===

vim /etc/sssd/sssd.conf

<syntaxhighlight lang="ini">
[sssd]
config_file_version = 2
services = nss, pam
domains = it113.int

[domain/it113.int]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap

# DNS Service Discovery nutzen (benötigt SRV Records!)
ldap_uri = _srv_
dns_discovery_domain = it113.int

ldap_search_base = dc=it113,dc=int

ldap_default_bind_dn = cn=admin,dc=it113,dc=int
ldap_default_authtok_type = password
ldap_default_authtok = 123Start$

# TLS komplett deaktivieren (für Testumgebungen)
ldap_id_use_start_tls = false
ldap_auth_disable_tls_never_use_in_production = true
ldap_tls_reqcert = never

cache_credentials = true
enumerate = true

[nss]
filter_users = root,daemon,bin,sys,sync,games,man,lp,mail,news,uucp,proxy,www-data,backup,list,irc,gnats,nobody,systemd-network,systemd-resolve,messagebus,_apt,uuidd,nslcd
filter_groups = root,daemon,bin,sys,adm,tty,disk,lp,mail,news,uucp,man,proxy,kmem,dialout,fax,voice,cdrom,floppy,tape,sudo,audio,dip,www-data,backup,operator,list,irc,src,gnats,shadow,utmp,video,sasl,plugdev,staff,games,users,nogroup,systemd-journal,systemd-network,systemd-resolve,input,kvm,render,crontab,netdev,messagebus,_apt,uuidd,ssh,nslcd

[pam]
offline_credentials_expiration = 2
</syntaxhighlight>

'''Alternative ohne DNS SRV Records:'''

Falls die DNS SRV Records nicht funktionieren, kann man auch direkt den Server angeben:

<syntaxhighlight lang="ini">
[domain/it113.int]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap

# Direkte URI statt DNS Discovery
ldap_uri = ldap://ldap.it113.int:389

ldap_search_base = dc=it113,dc=int

# TLS deaktivieren
ldap_id_use_start_tls = false
ldap_auth_disable_tls_never_use_in_production = true
ldap_tls_reqcert = never
# ... rest wie oben
</syntaxhighlight>

=== Berechtigungen setzen ===

chmod 600 /etc/sssd/sssd.conf

=== SSSD Service aktivieren und starten ===

systemctl enable sssd
systemctl start sssd

=== NSS-Konfiguration anpassen ===

vim /etc/nsswitch.conf

<syntaxhighlight lang="text">
passwd: files sss
group: files sss
shadow: files sss
</syntaxhighlight>

=== PAM-Konfiguration ===

PAM muss für SSSD-Authentifizierung konfiguriert werden.

==== Automatische Konfiguration (empfohlen) ====

pam-auth-update

Aktiviere folgende Optionen:
* '''SSS authentication''' (für SSSD)
* '''Create home directory on login''' (für automatische Home-Verzeichnisse)

==== Manuelle PAM-Konfiguration ====

Falls die automatische Konfiguration nicht funktioniert:

'''1. common-auth bearbeiten:'''

vim /etc/pam.d/common-auth

Nach der <code>pam_unix.so</code> Zeile hinzufügen:

<syntaxhighlight lang="text">
auth sufficient pam_sss.so use_first_pass
</syntaxhighlight>

'''2. common-account bearbeiten:'''

vim /etc/pam.d/common-account

<syntaxhighlight lang="text">
account sufficient pam_sss.so
</syntaxhighlight>

'''3. common-password bearbeiten:'''

vim /etc/pam.d/common-password

<syntaxhighlight lang="text">
password sufficient pam_sss.so use_authtok
</syntaxhighlight>

'''4. common-session bearbeiten:'''

vim /etc/pam.d/common-session

<syntaxhighlight lang="text">
session optional pam_sss.so
session required pam_mkhomedir.so skel=/etc/skel umask=0077
</syntaxhighlight>

Die <code>pam_mkhomedir.so</code> Zeile ist '''sehr wichtig''' - sie erstellt automatisch Home-Verzeichnisse beim ersten Login!

==== PAM-Konfiguration prüfen ====

# Prüfen ob pam_sss eingebunden ist
grep -r "pam_sss" /etc/pam.d/

# Prüfen ob pam_mkhomedir eingebunden ist
grep -r "pam_mkhomedir" /etc/pam.d/

== Tests ==

=== SSSD Cache leeren (bei Problemen) ===

systemctl stop sssd
rm -rf /var/lib/sss/db/*
systemctl start sssd

=== Benutzer und Gruppen abfragen ===

getent group it

Erwartete Ausgabe:
<syntaxhighlight lang="text">
it:*:10000:
</syntaxhighlight>

getent passwd thomas

Erwartete Ausgabe:
<syntaxhighlight lang="text">
thomas:*:10000:10000:thomas:/home/thomas:/bin/bash
</syntaxhighlight>

getent passwd tina

Erwartete Ausgabe:
<syntaxhighlight lang="text">
tina:*:10001:10000:tina:/home/tina:/bin/bash
</syntaxhighlight>

=== Login und Home-Verzeichnis testen ===

# Login als LDAP-User
su - thomas

# Prüfen ob Home-Verzeichnis erstellt wurde
pwd
# Sollte /home/thomas zeigen

ls -la
# Sollte Dateien aus /etc/skel zeigen (.bashrc, .profile, etc.)

=== Authentifizierung testen ===

# Passwort-Login testen
su - tina

# Auth-Log bei Problemen prüfen
tail -f /var/log/auth.log

=== SSSD Status prüfen ===

systemctl status sssd

# Domain-Status
sssctl domain-status it113.int

# SSSD Logs bei Problemen
journalctl -u sssd -n 100
tail -f /var/log/sssd/sssd_it113.int.log

=== Häufige Probleme ===

'''Problem: "Could not start TLS encryption"'''

Lösung: In <code>/etc/sssd/sssd.conf</code> hinzufügen:
<syntaxhighlight lang="ini">
ldap_auth_disable_tls_never_use_in_production = true
</syntaxhighlight>

'''Problem: "No such file or directory" beim Login'''

Lösung: Home-Verzeichnisse werden nicht erstellt. Prüfe ob <code>pam_mkhomedir</code> aktiv ist:
grep pam_mkhomedir /etc/pam.d/common-session

'''Problem: "Authentication failure"'''

Lösung: PAM-Module nicht richtig konfiguriert. Prüfe:
grep pam_sss /etc/pam.d/common-auth
grep pam_sss /etc/pam.d/common-account

== LDAP Server Management ==

=== Starten des slapd ===

systemctl start slapd

=== Stoppen des slapd ===

systemctl stop slapd

=== Neustarten des slapd ===

systemctl restart slapd

=== Auf welchem Port lauscht der slapd ===

netstat -lntp | grep slapd

Erwartete Ausgabe:
<syntaxhighlight lang="text">
tcp 0 0 0.0.0.0:389 0.0.0.0:* LISTEN 499/slapd
</syntaxhighlight>

== Sudo-Konfiguration ==

=== Problem: Namenskonflikt mit lokaler sudo-Gruppe ===

Die lokale sudo-Gruppe (GID 27) kollidiert mit einer LDAP-Gruppe gleichen Namens. Daher verwenden wir einen anderen Gruppennamen für LDAP.

=== Admin-Gruppe auf dem LDAP Server anlegen ===

# Gruppe "admins" statt "sudo" anlegen (vermeidet Konflikt)
ldapaddgroup admins

# Benutzer zur Admin-Gruppe hinzufügen
ldapaddusertogroup thomas admins
ldapaddusertogroup tina admins

=== Gruppe prüfen ===

# Auf dem Client prüfen ob die Gruppe sichtbar ist
getent group admins

Erwartete Ausgabe:
<syntaxhighlight lang="text">
admins:*:10001:thomas,tina
</syntaxhighlight>

=== Sudoers konfigurieren (Client) ===

visudo -f /etc/sudoers.d/ldap-admins

<syntaxhighlight lang="text">
# LDAP Admins Gruppe
%admins ALL=(ALL:ALL) ALL
</syntaxhighlight>

=== Berechtigungen setzen ===

chmod 0440 /etc/sudoers.d/ldap-admins

=== Testen ===

# Als LDAP-User einloggen
su - thomas

# Gruppenmitgliedschaft prüfen
id
# Sollte "groups=10000(it),10001(admins)" zeigen

groups
# Sollte "it admins" zeigen

# Sudo testen
sudo whoami
# Sollte "root" ausgeben

sudo -l
# Sollte die sudo-Rechte anzeigen

=== Troubleshooting ===

'''Problem: Gruppe wird nicht angezeigt'''

# SSSD Cache leeren
systemctl stop sssd
rm -rf /var/lib/sss/db/*
systemctl start sssd

# Neu einloggen
su - thomas
id

'''Problem: "User is not in sudoers file"'''

Prüfe ob die Gruppe korrekt angelegt ist:
# Auf dem LDAP-Server
ldapsearch -x -b "ou=groups,dc=it113,dc=int" "(cn=admins)"

# Auf dem Client
getent group admins

== Troubleshooting ==

=== SSSD Debug-Modus aktivieren ===

vim /etc/sssd/sssd.conf

In der <code>[domain/it113.int]</code> Sektion hinzufügen:

<syntaxhighlight lang="ini">
debug_level = 9
</syntaxhighlight>

Dann SSSD neu starten und Logs prüfen:

systemctl restart sssd
tail -f /var/log/sssd/sssd_it113.int.log

=== LDAP-Verbindung manuell testen ===

ldapsearch -x -H ldap://server.it113.int -b dc=it113,dc=int -D cn=admin,dc=it113,dc=int -W

== Vorteile von SSSD gegenüber NSS/PAM-LDAP ==

* '''Caching''': Offline-Login möglich
* '''Performance''': Bessere Performance durch intelligentes Caching
* '''Moderne Architektur''': Aktiv entwickelt und gewartet
* '''Flexibilität''': Unterstützt mehrere Identity Provider
* '''Besseres Debugging''': Umfangreiche Logging-Optionen

[[Kategorie:LDAP]]
[[Kategorie:Authentifizierung]]
[[Kategorie:Linux]]

← Nächstältere Version		Version vom 15. Oktober 2025, 12:56 Uhr
Zeile 1:		Zeile 1:
	= OpenLDAP mit SSSD Client-Konfiguration =		= OpenLDAP mit SSSD Client-Konfiguration =
−
−	~~== Inhaltsverzeichnis ==~~
−
−	~~# Installation (Server)~~
−	~~# Grundkonfiguration (Server)~~
−	~~# Weitere Konfiguration (Server)~~
−	~~# Konfiguration des Clients~~
−	~~# Kontrolle~~
−	~~# Grundstruktur~~
−	~~# Ldapscripts~~
−	~~# DNS-Konfiguration~~
−	~~# SSSD Client-Konfiguration~~
−	~~# Tests~~
−	~~# LDAP Server Management~~
−	~~# Sudo-Konfiguration~~
−	~~# Troubleshooting~~

	== Installation (Server) ==		== Installation (Server) ==

LDAP Client SSSD - Netzwerk und Serveradministration - Versionsgeschichte

Maximilian.pottgiesser: /* OpenLDAP mit SSSD Client-Konfiguration */

Maximilian.pottgiesser: Die Seite wurde neu angelegt: „= OpenLDAP mit SSSD Client-Konfiguration = == Inhaltsverzeichnis == # Installation (Server) # Grundkonfiguration (Server) # Weitere Konfiguration (Server) #…“