LDAP-Client
YaST --> Netzwerkdienste --> LDAP-Client
Konfiguration des LDAP-Clients
LDAP-Client Erweiterte Konfiguration Client-Einstellungen
LDAP-Client Erweiterte Konfiguration Verwaltungseinstellungen
Autor: ThomasF
| Diese Beschreibung wurde mit folgenden Distributionen getestet: |
|
Alles was uns nun noch fehlt ist ein Linux Rechner der sich am LDAP Server authentifizieren kann. Dieses Thema ist unter aktuellen Linux Distributionen eigentlich kein Problem. Doch treten hier immer wieder Probleme im Zusammenhang mit PAM auf. Ich fange deshalb erst einmal mit dem Vorgehen bei der aktuellen openSUSE 10.2 an, die hier am schnellsten zu erklären ist.
Der erste Schritt ist sicher zu stellen das alle notwendigen Pakete installiert sind. Hierzu geben wir auf einer Konsole einfach "
rpm -qa |grep ldap
ein.
| Folgende Pakete (inkl. eventueller Abhängigkeiten) müssen installiert sein: |
|
Der zweite Schritt stellt sicher das wir immer eine einheitliche Konfiguration vorfinden da es zwei Stellen gibt an denen eine ldap.conf liegt.
Wir löschen also die /etc/openldap/ldap.conf und legen dann einen symbolischen Link auf die /etc/ldap.conf in diesem Verzeichnis an:
ln -s /etc/ldap.conf /etc/openldap
Nun können wir über YaST2 den LDAP-Client konfigurieren. Hierbei wird erst einmal die IP Adresse bzw. der Name des LDAP Servers benötigt, außerdem die "LDAP Basedn" die mit der rootdn aus der slapd.conf des Servers übereinstimmt. (o=meineFirma,c=de). Auch ist darauf zu achten das das Kreuz bei "LDAP verwenden" gemacht ist und die beiden Kreuze bei "LDAP TLS/SSL" und "LDAP Version 2" nicht gesetzt sind. Beim Speichern werden alle notwendigen Einstellungen am System vorgenommen. Damit sollte der Rechner in der Lage sein einen User zu authentifizieren der lokal nicht vorhanden aber im LDAP Verzeichnis eingetragen ist.
Wenn es noch nicht so klappen sollte kann man sich auch einmal die ldap.conf anschauen. In unserer Minimal Version sind nur drei Einträge von Bedeutung:
- host ( Rechnername des Servers oder IP)
- base ( der suffix aus der slapd.conf des Servers)
- ldap_version ( der Wert sollte 3 sein um alle Möglichkeiten zu nutzen)
Falls die Datei schon standardmäßig dokumentiert ist sollte man für unsere Variante prüfen ob alle SSL oder TLS Einträge auskommentiert sind sowie alle anderen Einträge bis auf die drei oben genannten auch.
| Hinweis: |
|
Es ist daran zu denken das bei dieser Methode das Homeverzeichnis des Users nicht automatisch angelegt wird sondern auf dem Server von Hand erstellt werden muß, z.B mkdir /home/test chown test:user /home/test |
Es gibt auch eine Möglichkeit das Anlegen der Homes zu automatisieren, ich empfehle jedoch damit zu warten bis alles andere einwandfrei funktioniert, danach kann die /etc/pam.d/login entsprechend angepasst werden :
.... session required pam_mkhomedir.so skel=/etc/skel/ umask=0022 ....
die wichtige Zeile die man einfügen sollte ist die mit pam_mkhomedir.so die anderen Zeilen können sich je nach installierter Ldap Version durchaus unterscheiden.
Probleme die auftauchen können werde ich hier zu diesem Zeitpunkt nicht behandeln, aber ich werde versuchen alle Fragen zu diesem Thema im Forum zu beantworten.
