Client-Anbindung via DNS Service Discovery

Aus Xinux Wiki
Version vom 2. April 2026, 10:31 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „= Client-Anbindung via DNS Service Discovery = In dieser Konfiguration suchen die Clients ihren LDAP-Server automatisch über DNS SRV Records. Dies erhöht di…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Client-Anbindung via DNS Service Discovery

In dieser Konfiguration suchen die Clients ihren LDAP-Server automatisch über DNS SRV Records. Dies erhöht die Flexibilität im Labornetzwerk, da keine statischen IP-Adressen in den Konfigurationsdateien der Clients gepflegt werden müssen.

Voraussetzungen im DNS (Bind9)

Damit die Discovery funktioniert, muss der DNS-Server (it213.int) entsprechende SRV-Einträge für den LDAP-Dienst bereitstellen.

  • Beispielhafter Eintrag in der Zone-Datei:
_ldap._tcp.it213.int.    IN  SRV  10 70 389  ldap.it213.int.
  • Überprüfung vom Client aus:
  • host -t SRV _ldap._tcp.it213.int

Installation der Client-Komponenten

Auf jedem Client müssen die SSSD-Module und Werkzeuge für die PAM-Integration installiert werden.

  • apt update
  • apt install -y sssd libnss-sss libpam-sss libsss-sudo sssd-tools oddjob-mkhomedir

SSSD Konfiguration am Client

Die Konfiguration nutzt den Parameter "_srv_", um die DNS-Abfrage zu starten.

  • vim /etc/sssd/sssd.conf
[sssd]
config_file_version = 2
services = nss, pam, sudo
domains = it213.int

[domain/it213.int]
id_provider = ldap
auth_provider = ldap
chpass_provider = ldap
sudo_provider = ldap

# Automatische Server-Suche via DNS
ldap_uri = _srv_
dns_discovery_domain = it213.int

ldap_search_base = dc=it213,dc=int
ldap_sudo_search_base = ou=sudo,dc=it213,dc=int

# Bind-Zugang für die Abfrage
ldap_default_bind_dn = cn=admin,dc=it213,dc=int
ldap_default_authtok_type = password
ldap_default_authtok = 123Start$

# Sicherheitseinstellungen für Testumgebung
ldap_id_use_start_tls = false
ldap_auth_disable_tls_never_use_in_production = true
ldap_tls_reqcert = never

cache_credentials = true
enumerate = true

[nss]
filter_users = root,daemon,bin,sys,sync,games,man,lp,mail,news,uucp,proxy,www-data,backup,list,irc,gnats,nobody,systemd-network,systemd-resolve,messagebus,_apt,uuidd,nslcd
filter_groups = root,daemon,bin,sys,adm,tty,disk,lp,mail,news,uucp,man,proxy,kmem,dialout,fax,voice,cdrom,floppy,tape,sudo,audio,dip,www-data,backup,operator,list,irc,src,gnats,shadow,utmp,video,sasl,plugdev,staff,games,users,nogroup,systemd-journal,systemd-network,systemd-resolve,input,kvm,render,crontab,netdev,messagebus,_apt,uuidd,ssh,nslcd

[pam]
offline_credentials_expiration = 2
  • chmod 600 /etc/sssd/sssd.conf
  • systemctl restart sssd

PAM und NSS Integration

Damit das System die SSSD-Daten nutzt und beim ersten Login das Home-Verzeichnis erstellt, wird die Konfiguration aktualisiert.

  • pam-auth-update --enable sss mkhomedir

Funktionstest

  • getent passwd thomas
  • id tina
  • sudo -l -U thomas
Abgerufen von „http://wiki.ixheim.de/index.php?title=Client-Anbindung_via_DNS_Service_Discovery&oldid=68326