Zentrale Benutzerverwaltung mit OpenLDAP und SSS: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
Zeile 8: Zeile 8:
  
 
= Grundkonfiguration =
 
= Grundkonfiguration =
= OpenLDAP Configuration Dialogs (slapd) =
 
 
Die folgende Tabelle führt die exakten englischen Abfragen auf, die bei '''dpkg-reconfigure slapd''' erscheinen, sowie die empfohlenen Eingaben für die it213.int Umgebung.
 
Die folgende Tabelle führt die exakten englischen Abfragen auf, die bei '''dpkg-reconfigure slapd''' erscheinen, sowie die empfohlenen Eingaben für die it213.int Umgebung.
 
  
 
{| class="wikitable"
 
{| class="wikitable"
Zeile 34: Zeile 32:
 
|}
 
|}
  
= OpenLDAP Manuelle Einrichtung (OLC)=
+
= OpenLDAP Manuelle Einrichtung (OLC) =
 
[[OpenLDAP Manuelle Einrichtung (OLC)]]
 
[[OpenLDAP Manuelle Einrichtung (OLC)]]
  
= Konfiguration des Clients =
+
= Server Vorbereitung =
== ldap.conf ==
+
== Grundstruktur ==
* cat /etc/ldap/ldap.conf
+
{{#drawio:it213-ldap}}
base            dc=it213, dc=int
 
uri            ldap://ldap.it213.int
 
ldap_version    3
 
rootbinddn      cn=admin, dc=it213, dc=int
 
pam_password    md5
 
 
 
== Passwort für den Adminzugang eintragen ==
 
* echo 123Start$ > /etc/ldap.secret
 
  
= Kontrolle =
+
=== Erstellen ===
== Stimmt der base dn ==
+
* cat <<EOF > /root/struktur.ldif
* ldapsearch -x -LLL
+
<pre>
dn: dc=it213,dc=int
+
dn: ou=users,dc=it213,dc=int
objectClass: top
+
objectClass: organizationalUnit
objectClass: dcObject
+
ou: users
objectClass: organization
 
o: it213
 
dc: it213
 
  
= Grundstruktur =
+
dn: ou=groups,dc=it213,dc=int
{{#drawio:it21-ldap}}
+
objectClass: organizationalUnit
 +
ou: groups
  
 +
dn: ou=hosts,dc=it213,dc=int
 +
objectClass: organizationalUnit
 +
ou: hosts
  
== Erstellen ==
+
dn: ou=sudo,dc=it213,dc=int
* cat /root/struktur.ldif
+
objectClass: organizationalUnit
dn: ou=users,dc=it213,dc=int
+
ou: sudo
objectClass: organizationalUnit
+
</pre>
ou: users
+
EOF
 
dn: ou=groups,dc=it213,dc=int
 
objectClass: organizationalUnit
 
ou: groups
 
 
dn: ou=hosts,dc=it213,dc=int
 
objectClass: organizationalUnit
 
ou: hosts
 
  
== Anlegen ==
+
=== Anlegen ===
* ldapadd -xD cn=admin,dc=it213,dc=int -w 123Start$ -f struktur.ldif  
+
* ldapadd -xD cn=admin,dc=it213,dc=int -w 123Start$ -f /root/struktur.ldif  
adding new entry "ou=users,dc=it213,dc=int"
 
adding new entry "ou=groups,dc=it213,dc=int"
 
adding new entry "ou=hosts,dc=it213,dc=int"
 
  
 
= Ldapscripts =
 
= Ldapscripts =
Zeile 96: Zeile 76:
 
  MSUFFIX="ou=hosts"
 
  MSUFFIX="ou=hosts"
 
  BINDDN="cn=admin,dc=it213,dc=int"
 
  BINDDN="cn=admin,dc=it213,dc=int"
USHELL="/bin/bash"
 
UHOMES="/home/%u"
 
CREATEHOMES="yes"
 
HOMESKEL="/etc/skel"
 
 
  BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
 
  BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
 
  GIDSTART="10000"
 
  GIDSTART="10000"
 
  UIDSTART="10000"
 
  UIDSTART="10000"
MIDSTART="20000"
 
GCLASS="posixGroup"
 
PASSWORDGEN="pwgen"
 
RECORDPASSWORDS="no"
 
PASSWORDFILE="/var/log/ldapscripts_passwd.log"
 
LOGTOFILE="yes"
 
LOGFILE="/var/log/ldapscripts.log"
 
LOGTOSYSLOG="no"
 
SYSLOGFACILITY="local4"
 
SYSLOGLEVEL="info"
 
LDAPSEARCHBIN="/usr/bin/ldapsearch"
 
LDAPADDBIN="/usr/bin/ldapadd"
 
LDAPDELETEBIN="/usr/bin/ldapdelete"
 
LDAPMODIFYBIN="/usr/bin/ldapmodify"
 
LDAPMODRDNBIN="/usr/bin/ldapmodrdn"
 
LDAPPASSWDBIN="/usr/bin/ldappasswd"
 
LDAPSEARCHOPTS="-o ldif-wrap=no"
 
  
 
=== Password Datei ===
 
=== Password Datei ===
 
* echo -n "123Start$" > /etc/ldapscripts/ldapscripts.passwd
 
* echo -n "123Start$" > /etc/ldapscripts/ldapscripts.passwd
  
== Managment ==
+
== Management ==
 
=== Struktur ===
 
=== Struktur ===
{{#drawio:it21-2}}
+
{{#drawio:it213-2}}
  
=== Gruppen anlegen ===
+
=== Gruppen und Benutzer ===
 
* ldapaddgroup it
 
* ldapaddgroup it
 
=== Benutzer anlegen ===
 
 
* ldapadduser thomas it
 
* ldapadduser thomas it
 
* ldapadduser tina it
 
* ldapadduser tina it
 
=== Passwörter setzen ===
 
 
* ldapsetpasswd thomas
 
* ldapsetpasswd thomas
 
* ldapsetpasswd tina
 
* ldapsetpasswd tina
  
= nsswitch und pam anbinden =
+
= Client Anbindung via SSSD =
* [[Zusammenspiel von PAM und NSS]]
+
Da sudo-ldap veraltet ist, nutzen wir SSSD für NSS, PAM und Sudo.
  
 
== Installation ==
 
== Installation ==
* env DEBIAN_FRONTEND=noninteractive apt install -yqq libnss-ldap libpam-ldap nslcd
+
* apt install sssd libnss-sss libpam-sss libsss-sudo
;Wir konfigurieren von Hand
 
  
== ldap.conf ==
+
== Konfiguration ==
* cat /etc/ldap/ldap.conf
+
* vim /etc/sssd/sssd.conf
base            dc=it213, dc=int
+
<pre>
uri            ldap://server.it213.int
+
[sssd]
ldap_version    3
+
services = nss, pam, sudo
rootbinddn      cn=admin, dc=it213, dc=int
+
domains = it213.int
pam_password    md5
 
  
== Passwort für den Adminzugang eintragen ==
+
[domain/it213.int]
* echo 123Start$ > /etc/ldap.secret
+
id_provider = ldap
 +
auth_provider = ldap
 +
sudo_provider = ldap
  
== Wir benutzen nur eine Konfigurationdatei ==
+
ldap_uri = ldap://ldap.it213.int
* ln -fs /etc/ldap/ldap.conf /etc/libnss-ldap.conf
+
ldap_search_base = dc=it213,dc=int
* ln -fs /etc/ldap/ldap.conf /etc/pam_ldap.conf
+
ldap_sudo_search_base = ou=sudo,dc=it213,dc=int
 +
ldap_id_use_start_tls = false
  
== nslcd.conf ==
+
cache_credentials = True
* cat /etc/nslcd.conf
+
ldap_tls_reqcert = allow
uid nslcd
+
</pre>
gid nslcd
 
uri ldap://ldap.it213.int
 
base dc=it213,dc=int
 
  
== Nsswitch anpassen ==
+
* chmod 600 /etc/sssd/sssd.conf
* cat /etc/nsswitch.conf  
+
* systemctl restart sssd
passwd:        files ldap
 
group:          files ldap
 
shadow:        files ldap
 
  
== PAM anpassen ==
+
== System Integration ==
Falls ein Home Verzeichnis gewünscht ist, muss folgende Datei bearbeitet werden:
+
=== nsswitch.conf ===
;Eleganter
+
* vim /etc/nsswitch.conf
*pam-auth-update
+
passwd:        files sss
;Manuell
+
group:          files sss
* '''nano /etc/pam.d/common-session'''
+
shadow:        files sss
  session required pam_mkhomedir.so skel=/etc/skel umask=0022
+
  sudoers:        files sss
  
== Reboot ==
+
=== PAM mkhomedir ===
!!!Reboot!!!
+
* pam-auth-update --enable mkhomedir
  
= Tests =
+
= Sudo im LDAP =
* getent group it
+
== Sudo-Regeln anlegen ==
it:*:10000:
+
Damit SSSD Sudo-Regeln findet, müssen diese als Objekte im LDAP existieren.
* getent passwd thomas
+
* cat <<EOF > /root/sudo_rules.ldif
thomas:*:10000:10000:thomas:/home/thomas:/bin/bash
+
<pre>
* su - tina
+
dn: cn=defaults,ou=sudo,dc=it213,dc=int
tina@server:~$
+
objectClass: sudoRole
 +
cn: defaults
 +
sudoOption: env_reset
 +
sudoOption: mail_badpass
 +
sudoOption: secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
  
== Dienstverwaltung ==
+
dn: cn=%sudo,ou=sudo,dc=it213,dc=int
* systemctl start slapd
+
objectClass: sudoRole
* systemctl stop slapd
+
cn: %sudo
* systemctl restart slapd
+
sudoUser: %sudo
 +
sudoHost: ALL
 +
sudoRunAsUser: ALL
 +
sudoRunAsGroup: ALL
 +
sudoCommand: ALL
 +
</pre>
 +
EOF
  
== Portprüfung ==
+
* ldapadd -xD cn=admin,dc=it213,dc=int -w 123Start$ -f /root/sudo_rules.ldif
* netstat -lntp | grep slapd
 
tcp        0      0 0.0.0.0:389            0.0.0.0:* LISTEN    499/slapd
 
  
= Sudo =
+
== Gruppenzuweisung ==
Sudo Gruppe auf dem ldap Server anlegen:
 
 
* ldapaddgroup sudo
 
* ldapaddgroup sudo
 
* ldapaddusertogroup thomas sudo
 
* ldapaddusertogroup thomas sudo
 
* ldapaddusertogroup tina sudo
 
* ldapaddusertogroup tina sudo
  
Pakete installieren:
+
= Tests und Kontrolle =
* apt install sudo-ldap
+
== Identität ==
 
+
* getent group it
Konfiguration:
+
* getent passwd thomas
* visudo -f /etc/sudoers.d/ldap-sudoers
+
* id tina
%sudo ALL=(ALL:ALL) ALL
 
 
 
* vim /etc/sudo-ldap.conf
 
sudoers_base ou=sudo,dc=it213,dc=int
 
  
Testen:
+
== Sudo Check ==
 
* su - thomas
 
* su - thomas
 
* sudo -l
 
* sudo -l
 
* sudo whoami
 
* sudo whoami
 +
 +
== Dienstverwaltung ==
 +
* systemctl status slapd
 +
* systemctl status sssd
 +
* netstat -lntp | grep slapd

Version vom 2. April 2026, 06:21 Uhr

Installation

passwort nach wahl festlegen
  • apt update
  • apt install slapd ldap-utils
slapd
OpenLDAP Standalone Server
ldap-utils
Utilities zum Zugriff auf den LDAP Server

Grundkonfiguration

Die folgende Tabelle führt die exakten englischen Abfragen auf, die bei dpkg-reconfigure slapd erscheinen, sowie die empfohlenen Eingaben für die it213.int Umgebung.

Debconf Question Description Recommended Input / Choice
Omit OpenLDAP server configuration? Determines if the installer should skip creating a database. No
DNS domain name: Used to construct the base DN of the LDAP directory. it213.int
Organization name: The name of the organization to use in the base DN. it213
Administrator password: The password for the admin entry (cn=admin). 123Start$
Confirm password: Re-enter the password for verification. 123Start$
Database backend to use: The storage engine for the LDAP database. MDB
Do you want the database to be removed when slapd is purged? Whether to delete the data if the package is completely removed. No
Move old database? If a database already exists, should it be moved aside? Yes
Allow LDAPv2 protocol? Support for the obsolete LDAP version 2. No

OpenLDAP Manuelle Einrichtung (OLC)

OpenLDAP Manuelle Einrichtung (OLC)

Server Vorbereitung

Grundstruktur

Erstellen

  • cat <<EOF > /root/struktur.ldif
dn: ou=users,dc=it213,dc=int
objectClass: organizationalUnit
ou: users

dn: ou=groups,dc=it213,dc=int
objectClass: organizationalUnit
ou: groups

dn: ou=hosts,dc=it213,dc=int
objectClass: organizationalUnit
ou: hosts

dn: ou=sudo,dc=it213,dc=int
objectClass: organizationalUnit
ou: sudo

EOF

Anlegen

  • ldapadd -xD cn=admin,dc=it213,dc=int -w 123Start$ -f /root/struktur.ldif

Ldapscripts

Installation

  • apt install ldapscripts

Konfiguration

Hauptkonfiguration

  • cat /etc/ldapscripts/ldapscripts.conf
SERVER="ldap://ldap.it213.int"
SUFFIX="dc=it213,dc=int"
GSUFFIX="ou=groups"
USUFFIX="ou=users"
MSUFFIX="ou=hosts"
BINDDN="cn=admin,dc=it213,dc=int"
BINDPWDFILE="/etc/ldapscripts/ldapscripts.passwd"
GIDSTART="10000"
UIDSTART="10000"

Password Datei

  • echo -n "123Start$" > /etc/ldapscripts/ldapscripts.passwd

Management

Struktur

Gruppen und Benutzer

  • ldapaddgroup it
  • ldapadduser thomas it
  • ldapadduser tina it
  • ldapsetpasswd thomas
  • ldapsetpasswd tina

Client Anbindung via SSSD

Da sudo-ldap veraltet ist, nutzen wir SSSD für NSS, PAM und Sudo.

Installation

  • apt install sssd libnss-sss libpam-sss libsss-sudo

Konfiguration

  • vim /etc/sssd/sssd.conf
[sssd]
services = nss, pam, sudo
domains = it213.int

[domain/it213.int]
id_provider = ldap
auth_provider = ldap
sudo_provider = ldap

ldap_uri = ldap://ldap.it213.int
ldap_search_base = dc=it213,dc=int
ldap_sudo_search_base = ou=sudo,dc=it213,dc=int
ldap_id_use_start_tls = false

cache_credentials = True
ldap_tls_reqcert = allow
  • chmod 600 /etc/sssd/sssd.conf
  • systemctl restart sssd

System Integration

nsswitch.conf

  • vim /etc/nsswitch.conf
passwd:         files sss
group:          files sss
shadow:         files sss
sudoers:        files sss

PAM mkhomedir

  • pam-auth-update --enable mkhomedir

Sudo im LDAP

Sudo-Regeln anlegen

Damit SSSD Sudo-Regeln findet, müssen diese als Objekte im LDAP existieren.

  • cat <<EOF > /root/sudo_rules.ldif
dn: cn=defaults,ou=sudo,dc=it213,dc=int
objectClass: sudoRole
cn: defaults
sudoOption: env_reset
sudoOption: mail_badpass
sudoOption: secure_path=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin

dn: cn=%sudo,ou=sudo,dc=it213,dc=int
objectClass: sudoRole
cn: %sudo
sudoUser: %sudo
sudoHost: ALL
sudoRunAsUser: ALL
sudoRunAsGroup: ALL
sudoCommand: ALL

EOF

  • ldapadd -xD cn=admin,dc=it213,dc=int -w 123Start$ -f /root/sudo_rules.ldif

Gruppenzuweisung

  • ldapaddgroup sudo
  • ldapaddusertogroup thomas sudo
  • ldapaddusertogroup tina sudo

Tests und Kontrolle

Identität

  • getent group it
  • getent passwd thomas
  • id tina

Sudo Check

  • su - thomas
  • sudo -l
  • sudo whoami

Dienstverwaltung

  • systemctl status slapd
  • systemctl status sssd
  • netstat -lntp | grep slapd
Abgerufen von „http://wiki.ixheim.de/index.php?title=Zentrale_Benutzerverwaltung_mit_OpenLDAP_und_SSS&oldid=68270