Benutzerauthentifizierung mit Autoyast: Unterschied zwischen den Versionen
Endor (Diskussion | Beiträge) K (→LDAP Element konfigurieren: link zu dtdparse vom ldap element) |
Endor (Diskussion | Beiträge) K (→LDAP Element konfigurieren: vergessen login_enabled aus dem konfigurationsbeispiel zu entfernen) |
||
Zeile 15: | Zeile 15: | ||
<ldap_tls config:type="boolean">true</ldap_tls> | <ldap_tls config:type="boolean">true</ldap_tls> | ||
<ldap_v2 config:type="boolean">false</ldap_v2> | <ldap_v2 config:type="boolean">false</ldap_v2> | ||
− | |||
<pam_password>crypt</pam_password> | <pam_password>crypt</pam_password> | ||
<start_ldap config:type="boolean">true</start_ldap> | <start_ldap config:type="boolean">true</start_ldap> |
Version vom 1. September 2006, 10:06 Uhr
Inhaltsverzeichnis
Benutzerauthentifizierung über LDAP durch Autoyast
Allgemeines
Autoyast ist die automatische Installation eines SuSE Linux, die durch eine XML Datei gesteuert wird. Das heisst in dieser XML Datei finden sich die Konfigurationsparameter für das System. Es soll erreicht werden, dass die Authentifizierung der Benutzer nicht, wie gewohnt, über die /etc/passwd abläuft sondern gegen einen LDAP-Server, in dem sich die Benutzerdaten befinden. Um das zu erreichen, werden verschiedene Parameter in der Autoyast XML Datei verändert.
LDAP Element konfigurieren
Zunächst wird über das LDAP Element, das Autoyast bereitstellt, die generelle LDAP Konfiguration durchgeführt. Diese bewirkt, dass automatisch die notwendigen nss und pam Bibliotheken installiert werden.
<ldap> <ldap_domain>o=org</ldap_domain> <ldap_server>server01.org.de</ldap_server> <ldap_tls config:type="boolean">true</ldap_tls> <ldap_v2 config:type="boolean">false</ldap_v2> <pam_password>crypt</pam_password> <start_ldap config:type="boolean">true</start_ldap> </ldap>
Es gibt dabei bisher leider nur diese 5 LDAP Konfigurationsparameter. Es ist also nicht möglich einen Benutzer festzulegen, der die LDAP Abfragen durchführt.
- ldap_domain gibt die Basis an, auf der gesucht werden soll.
- ldap_server legt den Server fest, gegen den die Anfrage laufen soll.
- ldap_tls legt fest, dass die Anfrage mit TLS verschlüsselt wird.
- ldap_v2 bestimmt, dass Anfragen mit der Version 2 des LDAP Protokolls durchgeführt werden.
- start_ldap aktiviert den Rechner als LDAP Client.
Proxybenutzer hinzufügen
Nun müssen noch zwei Konfigurationsdateien geändert werden. Die /etc/ldap.conf wird nun so angepasst, dass der Benutzer festgelegt wird, der die LDAP Abfragen durchführt:
<files config:type="list"> <config_file> <file_path>/etc/ldap.conf</file_path> <file_contents> <![CDATA[ uri ldap://server01.org.de/ base o=org scope sub ldap_version 3 binddn cn=proxy,o=org bindpw secret ssl start_tls ]]> </file_contents> </config_file>
Automatisch das Home-Verzeichnis erstellen
Direkt hierunter folgt dann noch eine Anpassung der /etc/pam.d/common-session, um das PAM Modul zur automatischen Erstellung des Home-Verzeichnisses hinzuzufügen:
<config_file> <file_path>/etc/pam.d/common-session</file_path> <file_contents> <![CDATA[ session required pam_limits.so session required pam_unix2.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 ]]> </file_contents> </config_file> </files>
Die automatische Installation wird nun gestartet und nach Abschluss sollte der Rechner dann fähig sein, seine Benutzer über LDAP zu authentifizieren.