Client-Anbindung via DNS Service Discovery: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(Die Seite wurde neu angelegt: „= Client-Anbindung via DNS Service Discovery = In dieser Konfiguration suchen die Clients ihren LDAP-Server automatisch über DNS SRV Records. Dies erhöht di…“) |
|||
| Zeile 27: | Zeile 27: | ||
* vim /etc/sssd/sssd.conf | * vim /etc/sssd/sssd.conf | ||
| − | + | = SSSD Konfiguration mit DNS Discovery Erweiterung = | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | [ | + | [sssd] |
| − | + | services = nss, pam, sudo | |
| − | + | domains = it213.int | |
| − | |||
| − | |||
| − | + | [domain/it213.int] | |
| − | + | id_provider = ldap | |
| − | + | auth_provider = ldap | |
| + | access_provider = permit | ||
| + | sudo_provider = ldap | ||
| − | + | <span style="color:red">ldap_uri = _srv_</span> | |
| − | + | <span style="color:red">dns_discovery_domain = it213.int</span> | |
| − | + | ldap_search_base = dc=it213,dc=int | |
| − | + | ldap_sudo_search_base = ou=sudo,dc=it213,dc=int | |
| − | |||
| − | |||
| − | + | cache_credentials = True | |
| − | ldap_id_use_start_tls = false | + | <span style="color:red">enumerate = true</span> |
| − | + | ldap_id_use_start_tls = false | |
| − | ldap_tls_reqcert = never | + | ldap_tls_reqcert = never |
| − | + | <span style="color:red">ldap_default_bind_dn = cn=admin,dc=it213,dc=int</span> | |
| − | + | <span style="color:red">ldap_default_authtok = 123Start$</span> | |
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
| − | |||
* chmod 600 /etc/sssd/sssd.conf | * chmod 600 /etc/sssd/sssd.conf | ||
Version vom 2. April 2026, 10:36 Uhr
Client-Anbindung via DNS Service Discovery
In dieser Konfiguration suchen die Clients ihren LDAP-Server automatisch über DNS SRV Records. Dies erhöht die Flexibilität im Labornetzwerk, da keine statischen IP-Adressen in den Konfigurationsdateien der Clients gepflegt werden müssen.
Voraussetzungen im DNS (Bind9)
Damit die Discovery funktioniert, muss der DNS-Server (it213.int) entsprechende SRV-Einträge für den LDAP-Dienst bereitstellen.
- Beispielhafter Eintrag in der Zone-Datei:
_ldap._tcp.it213.int. IN SRV 10 70 389 ldap.it213.int.
- Überprüfung vom Client aus:
- host -t SRV _ldap._tcp.it213.int
Installation der Client-Komponenten
Auf jedem Client müssen die SSSD-Module und Werkzeuge für die PAM-Integration installiert werden.
- apt update
- apt install -y sssd libnss-sss libpam-sss libsss-sudo sssd-tools oddjob-mkhomedir
SSSD Konfiguration am Client
Die Konfiguration nutzt den Parameter "_srv_", um die DNS-Abfrage zu starten.
- vim /etc/sssd/sssd.conf
SSSD Konfiguration mit DNS Discovery Erweiterung
[sssd] services = nss, pam, sudo domains = it213.int
[domain/it213.int] id_provider = ldap auth_provider = ldap access_provider = permit sudo_provider = ldap
ldap_uri = _srv_ dns_discovery_domain = it213.int
ldap_search_base = dc=it213,dc=int ldap_sudo_search_base = ou=sudo,dc=it213,dc=int
cache_credentials = True
enumerate = true
ldap_id_use_start_tls = false
ldap_tls_reqcert = never
ldap_default_bind_dn = cn=admin,dc=it213,dc=int ldap_default_authtok = 123Start$
- chmod 600 /etc/sssd/sssd.conf
- systemctl restart sssd
PAM und NSS Integration
Damit das System die SSSD-Daten nutzt und beim ersten Login das Home-Verzeichnis erstellt, wird die Konfiguration aktualisiert.
- pam-auth-update --enable sss mkhomedir
Funktionstest
- getent passwd thomas
- id tina
- sudo -l -U thomas