LDAP-Client: Unterschied zwischen den Versionen

Aus Linupedia.org
Wechseln zu: Navigation, Suche
 
(aus Quick Start von ThomasF eingefügt)
Zeile 6: Zeile 6:
 
Bild:YaST2 LDAP-Client Erweiterte Konfiguration Verwaltungseinstellungen.jpg|LDAP-Client Erweiterte Konfiguration Verwaltungseinstellungen
 
Bild:YaST2 LDAP-Client Erweiterte Konfiguration Verwaltungseinstellungen.jpg|LDAP-Client Erweiterte Konfiguration Verwaltungseinstellungen
 
</gallery>
 
</gallery>
 +
 +
Autor: [[Benutzer:ThomasF|ThomasF]]<br />
 +
 +
Alles was uns nun noch fehlt ist ein Linux Rechner der sich am [[LDAP]] Server authentifizieren kann. Dieses Thema ist unter aktuellen [[Linux Distributionen]] eigentlich kein Problem. Doch treten hier immer wieder Probleme im Zusammenhang mit [[PAM]] auf. Ich fange deshalb erst einmal mit dem Vorgehen bei der aktuellen [[openSUSE]] 10.2 an, die hier am schnellsten zu erklären ist.
 +
 +
Der erste Schritt ist sicher zu stellen das alle notwendigen Pakete installiert sind. Hierzu geben wir auf einer Konsole einfach "
 +
rpm -qa |grep ldap
 +
ein.
 +
 +
{{Box Installation||
 +
* yast2-ldap-client-2.9.14-5
 +
* openldap2-client-2.2.6-34
 +
* nss_ldap-215-55
 +
* pam_ldap-169-24
 +
}}
 +
 +
Der zweite Schritt stellt sicher das wir immer eine einheitliche Konfiguration vorfinden da es zwei Stellen gibt an denen eine ldap.conf liegt.
 +
 +
Wir löschen also die /etc/openldap/ldap.conf und legen dann einen symbolischen Link auf die /etc/ldap.conf in diesem Verzeichnis an:
 +
 +
ln -s /etc/ldap.conf /etc/openldap
 +
 +
Nun können wir über [[YaST]]2 den LDAP-Client konfigurieren.
 +
Hierbei wird erst einmal die IP Adresse bzw. der Name des [[LDAP]] Servers benötigt, außerdem die "LDAP Basedn" die mit der rootdn aus der slapd.conf des Servers übereinstimmt. (o=meineFirma,c=de). Auch ist darauf zu achten das das Kreuz bei "LDAP verwenden" gemacht ist und die beiden Kreuze bei "LDAP TLS/SSL" und "LDAP Version 2" nicht gesetzt sind. Beim Speichern werden alle notwendigen Einstellungen am System vorgenommen. Damit sollte der Rechner in der Lage sein einen User zu authentifizieren der lokal nicht vorhanden aber im LDAP Verzeichnis eingetragen ist.
 +
 +
Wenn es noch nicht so klappen sollte kann man sich auch einmal die ldap.conf anschauen. In unserer Minimal Version sind nur drei Einträge von Bedeutung:
 +
 +
* host ( Rechnername des Servers oder IP)
 +
* base ( der suffix aus der slapd.conf des Servers)
 +
* ldap_version ( der Wert sollte 3 sein um alle Möglichkeiten zu nutzen)
 +
 +
Falls die Datei schon standardmäßig dokumentiert ist sollte man für unsere Variante prüfen ob alle SSL oder TLS Einträge auskommentiert sind sowie alle anderen Einträge bis auf die drei oben genannten auch.
 +
 +
{{Box Hinweis||Es ist daran zu denken das bei dieser Methode das Homeverzeichnis des Users nicht automatisch angelegt wird sondern auf dem Server von Hand erstellt werden muß, z.B
 +
 +
mkdir /home/test
 +
chown test:user /home/test
 +
}}
 +
 +
Es gibt auch eine Möglichkeit das Anlegen der Homes zu automatisieren, ich empfehle jedoch damit zu warten bis alles andere einwandfrei funktioniert, danach kann die /etc/pam.d/login entsprechend angepasst werden :
 +
 +
....
 +
session  required      pam_mkhomedir.so skel=/etc/skel/ umask=0022
 +
....
 +
 +
die wichtige Zeile die man einfügen sollte ist die mit pam_mkhomedir.so die anderen Zeilen können sich je nach installierter Ldap Version durchaus unterscheiden.
 +
 +
Probleme die auftauchen können werde ich hier zu diesem Zeitpunkt nicht behandeln, aber ich werde versuchen alle Fragen zu diesem Thema im Forum zu beantworten.
 +
  
  

Version vom 9. Mai 2007, 09:40 Uhr

YaST --> Netzwerkdienste --> LDAP-Client

Autor: ThomasF

Alles was uns nun noch fehlt ist ein Linux Rechner der sich am LDAP Server authentifizieren kann. Dieses Thema ist unter aktuellen Linux Distributionen eigentlich kein Problem. Doch treten hier immer wieder Probleme im Zusammenhang mit PAM auf. Ich fange deshalb erst einmal mit dem Vorgehen bei der aktuellen openSUSE 10.2 an, die hier am schnellsten zu erklären ist.

Der erste Schritt ist sicher zu stellen das alle notwendigen Pakete installiert sind. Hierzu geben wir auf einer Konsole einfach "

rpm -qa |grep ldap

ein.

Folgende Pakete (inkl. eventueller Abhängigkeiten) müssen installiert sein:
  • yast2-ldap-client-2.9.14-5
  • openldap2-client-2.2.6-34
  • nss_ldap-215-55
  • pam_ldap-169-24


Der zweite Schritt stellt sicher das wir immer eine einheitliche Konfiguration vorfinden da es zwei Stellen gibt an denen eine ldap.conf liegt.

Wir löschen also die /etc/openldap/ldap.conf und legen dann einen symbolischen Link auf die /etc/ldap.conf in diesem Verzeichnis an:

ln -s /etc/ldap.conf /etc/openldap

Nun können wir über YaST2 den LDAP-Client konfigurieren. Hierbei wird erst einmal die IP Adresse bzw. der Name des LDAP Servers benötigt, außerdem die "LDAP Basedn" die mit der rootdn aus der slapd.conf des Servers übereinstimmt. (o=meineFirma,c=de). Auch ist darauf zu achten das das Kreuz bei "LDAP verwenden" gemacht ist und die beiden Kreuze bei "LDAP TLS/SSL" und "LDAP Version 2" nicht gesetzt sind. Beim Speichern werden alle notwendigen Einstellungen am System vorgenommen. Damit sollte der Rechner in der Lage sein einen User zu authentifizieren der lokal nicht vorhanden aber im LDAP Verzeichnis eingetragen ist.

Wenn es noch nicht so klappen sollte kann man sich auch einmal die ldap.conf anschauen. In unserer Minimal Version sind nur drei Einträge von Bedeutung:

  • host ( Rechnername des Servers oder IP)
  • base ( der suffix aus der slapd.conf des Servers)
  • ldap_version ( der Wert sollte 3 sein um alle Möglichkeiten zu nutzen)

Falls die Datei schon standardmäßig dokumentiert ist sollte man für unsere Variante prüfen ob alle SSL oder TLS Einträge auskommentiert sind sowie alle anderen Einträge bis auf die drei oben genannten auch.

Hinweis:

Es ist daran zu denken das bei dieser Methode das Homeverzeichnis des Users nicht automatisch angelegt wird sondern auf dem Server von Hand erstellt werden muß, z.B

mkdir /home/test
chown test:user /home/test


Es gibt auch eine Möglichkeit das Anlegen der Homes zu automatisieren, ich empfehle jedoch damit zu warten bis alles andere einwandfrei funktioniert, danach kann die /etc/pam.d/login entsprechend angepasst werden :

....
session  required       pam_mkhomedir.so skel=/etc/skel/ umask=0022
....

die wichtige Zeile die man einfügen sollte ist die mit pam_mkhomedir.so die anderen Zeilen können sich je nach installierter Ldap Version durchaus unterscheiden.

Probleme die auftauchen können werde ich hier zu diesem Zeitpunkt nicht behandeln, aber ich werde versuchen alle Fragen zu diesem Thema im Forum zu beantworten.



zurück zu YaST
zurück zu LDAP