Benutzerauthentifizierung mit Autoyast
Inhaltsverzeichnis
Benutzerauthentifizierung über LDAP durch Autoyast
Allgemeines
Autoyast ist die automatische Installation eines SuSE Linux, die durch eine XML Datei gesteuert wird. Das heisst in dieser XML Datei finden sich die Konfigurationsparameter für das System. Es soll erreicht werden, dass die Authentifizierung der Benutzer nicht, wie gewohnt, über die /etc/passwd abläuft sondern gegen einen LDAP-Server, in dem sich die Benutzerdaten befinden. Um das zu erreichen, werden verschiedene Parameter in der Autoyast XML Datei verändert.
LDAP Element konfigurieren
Zunächst wird über das LDAP Element, das Autoyast bereitstellt, die generelle LDAP Konfiguration durchgeführt. Diese bewirkt, dass automatisch die notwendigen nss und pam Bibliotheken installiert werden.
<ldap> <ldap_domain>o=org</ldap_domain> <ldap_server>server01.org.de</ldap_server> <ldap_tls config:type="boolean">true</ldap_tls> <ldap_v2 config:type="boolean">false</ldap_v2> <login_enabled config:type="boolean">true</login_enabled> <pam_password>crypt</pam_password> <start_ldap config:type="boolean">true</start_ldap> </ldap>
Es gibt dabei bisher leider nur diese 6 LDAP Konfigurationsparameter. Es ist also nicht möglich einen Benutzer festzulegen, der die LDAP Abfragen durchführt.
- ldap_domain gibt die Basis an, auf der gesucht werden soll.
- ldap_server legt den Server fest, gegen den die Anfrage laufen soll.
- ldap_tls legt fest, dass die Anfrage mit TLS verschlüsselt wird.
- ldap_v2 bestimmt, dass Anfragen mit der Version 2 des LDAP Protokolls durchgeführt werden.
- login_enabled führt dazu, dass der login via LDAP eingeschalten wird.
- start_ldap ...
Proxybenutzer hinzufügen
Nun müssen noch zwei Konfigurationsdateien geändert werden. Die /etc/ldap.conf wird nun so angepasst, dass der Benutzer festgelegt wird, der die LDAP Abfragen durchführt:
<files config:type="list"> <config_file> <file_path>/etc/ldap.conf</file_path> <file_contents> <![CDATA[ uri ldap://server01.org.de/ base o=org scope sub ldap_version 3 binddn cn=proxy,o=org bindpw secret ssl start_tls ]]> </file_contents> </config_file>
Automatisch das Home-Verzeichnis erstellen
Direkt hierunter folgt dann noch eine Anpassung der /etc/pam.d/common-session, um das PAM Modul zur automatischen Erstellung des Home-Verzeichnisses hinzuzufügen:
<config_file> <file_path>/etc/pam.d/common-session</file_path> <file_contents> <![CDATA[ session required pam_limits.so session required pam_unix2.so session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 ]]> </file_contents> </config_file> </files>
Die automatische Installation wird nun gestartet und nach Abschluss sollte der Rechner dann fähig sein, seine Benutzer über LDAP zu authentifizieren.