PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Linux Nutzer mittels LDAP am eDirectory authentifizieren



Derryl
11.01.05, 22:10
Hallo,

ich möchte meine Nutzer an Suse 9.2 Clients über LDAP am eDirectory 8.7.3 authentifizieren. Im Linuxmagazin 5/2004 und bei Novell (http://support.novell.com/cgi-bin/search/searchtid.cgi?/10081706.htm) habe ich dazu Informationen gefunden. Die Erweiterung des Schemas hat so funktioniert. Aber wenn ich die Trustees setzten will, kann ich nicht alle Attribute auswählen.

Ich habe auch noch weitere Fragen.
Wenn ich TLS/SSL benutzen will, muss ich dann noch Zertifikate importieren?
Müssen die Nutzer- und Gruppenobjekte im eDirectory im gleichen Container sein? Wenn nicht, wo kann ich dann konfigurieren, dass zu einem Nutzer die notwendige Gruppeninformation gefunden wird?

MfG Derryl

bom
11.01.05, 22:30
So sollte es eigentlich funktionieren:


1. Start The YaST2 Control Center: /sbin/yast2 'menu'
2. Select the "Network/Advanced" section and then > LDAP client.
3. Select "Use LDAP".
4. Add the LDAP server in the server field and the search base of where users are located. For example:
Base DN: ou=users, dc=novell,dc=com
Addresses of LDAP Servers: ldap.novell.com
5. Select LDAP TLS/SSL.
6. Save your changes with by clicking Finish.

in der /etc/openldap/ldap.conf kannst Du IHMO nur eine Base DN angeben.
Mit dem keyword "sub" werden dann alle container unterhalb nach usern durchsucht. Wenn Du allerdings dieselben usernamen in mehreren containern verwendest, wirst Du ein Problem bekommen.

HTH

Derryl
12.01.05, 10:18
Danke für die Antwort. Ich werde es heute Abend ausprobieren.

Die Nutzer sind nur in einem Container gespeichert. In einem anderen Container auf gleicher Ebene sind die Gruppen eingerichtet.
Ich nutze folgende Struktur o=department. Darunter dann ou=users und ou=groups.
Wäre es dann sinnvoll als base DN den Container o=department mit dem Zusatz sub anzugeben?
Reicht die Erweiterung des eDirectory um das RFC 2307 Schema aus, um Unix Nutzer zu verwalten oder sind noch weiter Veränderungen notwendig?
Komme ich auch ohne diesen proxy user aus?

MfG Derryl

bom
12.01.05, 11:32
Danke für die Antwort. Ich werde es heute Abend ausprobieren.

Die Nutzer sind nur in einem Container gespeichert. In einem anderen Container auf gleicher Ebene sind die Gruppen eingerichtet.
Ich nutze folgende Struktur o=department. Darunter dann ou=users und ou=groups.
Wäre es dann sinnvoll als base DN den Container o=department mit dem Zusatz sub anzugeben?
Reicht die Erweiterung des eDirectory um das RFC 2307 Schema aus, um Unix Nutzer zu verwalten oder sind noch weiter Veränderungen notwendig?
Komme ich auch ohne diesen proxy user aus?

MfG Derryl

eDirectory 8.7.3 bringt längst alles mit, was Du zum Autentifizierung benötigst.
Was meinst Du genau mit verwalten? Willst Du die User auch auf der Linux-Seite automatisch anlegen? Wenn ja, schau Dir die aktuelle Beta vom OpenEnterprise Server an.(http://beta.novell.com) oder die NNLS.

An Deiner Stelle würde ich ou=users,o=departement als Base DN setzen, da Du ja nur user autentifizieren willst.

Hier nochmal eine Beispielkonfiguration eines SLES 8:



host host.company.com
port 636
base ou=headquarter,o=company
ldap_version 3
scope sub
ssl start_tls
ssl on


Hierfür wird bei uns ein ProxyUser verwendet(wird im LDAP Group Objekt angegeben), der Browse Rechte auf [ROOT] hat.

Derryl
12.01.05, 12:20
Also die automatische Erstellung der Linuxnutzer ist im Moment nicht so wichtig. Priorität hat für mich erst einmal die Authentifizierung der Nutzer über LDAP. Dabei spielen die Gruppen eine sehr große Rolle, da über diese ein Großteil der Berechtigungen gesteuert werden soll. Da sich das eDirectory im Aufbau befindet, kann ich die dazu benötigete Struktur noch flexibel anpassen.

Hast du vielleicht eine Idee warum ich nicht alle Attribute des Proxy Users (wie in den Dokumenten, die ich im ersten Eintrag genannt habe, beschrieben) finden kann?

MfG Derryl

bom
12.01.05, 12:47
Ich persönlich würde die Gruppen und die User nicht in verschiedene OUs packen. Wozu auch? Dies ist vielleicht bei ADS standard, aber nicht bei eDir.

Was meinst Du mit, Du kannst die Attribute des ProxyUsers nicht finden?
Du musst dem ProxyUser Rechte auf diese Attribute geben(oder eben Browse Rechte auf [ROOT]). Das machst Du in der ConsoleOne(ich mag den iManager ned), indem Du Dir die Properties des ProxyUsers ansiehst, dann auf NDS Rights klickst und dann eben der Anleitung des TIDs folgst:

3.On the tree root object right-click on the object and select ?Trustees of this Object? and give the proxy user Browse entry rights, and read and compare property rights on the following attributes:

CN
Description
O
OU
Object Class
dc
gecos
gidNumber
homeDirectory
loginShell
memberUid
uidNumber
uniqueID

4.Open the properties of the LDAP group object of your server and from the general page select this new user as the proxy user.
5.Open the properties .of the LDAP sever object and click ?Refresh LDAP server? from the general page.

Derryl
12.01.05, 13:27
Also ich kann einige Attribute in der Liste nicht finden z.B. dc, gecos. Ich hab das mit Console One und dem iManager getestet,mit dem gleichen Ergebnis.

Die Trennung von Gruppen und Usern würde nur der Übersichtlichkeit halber erfolgen. Es wäre schön, wenn es so gehen würde, ansonsten packe ich sie in die gleiche ou. Gibt es funktionale Gründe dies nicht zu tun?

Ich würde später gerne noch einem AD über DirXML die Daten des eDirectory zur Verfügung stellen, inklusive Gruppen.

MfG Derryl

Derryl
12.01.05, 21:53
Das mit den Attributen habe ich hinbekommen. Ich kann mich aber leider noch nicht anmelden. Welche Funktion hat denn der ProxyUser im Zusammenhang mit der Anmeldung eines "normalen" Nutzers?

MfG Derryl

bom
13.01.05, 08:47
Das mit den Attributen habe ich hinbekommen. Ich kann mich aber leider noch nicht anmelden. Welche Funktion hat denn der ProxyUser im Zusammenhang mit der Anmeldung eines "normalen" Nutzers?

MfG Derryl

Der ProxyUser wird im LDAP Groups Objekt eingetragen, damit z.B. ein anonymous browse auf Deinen Tree möglich ist.
Versuche mal mit einem LDAP-Browser auf Deinen LDAP Server zuzugreifen und nutze dazu den anonymous login(also keinen).
Zum testen kannst Du dem ProxyUser auch mal komplette Browse Rechte auf [ROOT] geben.

Derryl
13.01.05, 12:05
Also ich hab's hinbekommen. Vielen Dank, Bom für deine schnelle und umfassende Hilfe. Ich werde jetzt noch etwas testen und mich bei Fragen noch einmal melden.

MfG Derryl

bom
13.01.05, 12:24
Super, dass es geklappt hat. Meld' Dich einfach, wenn Du weitere Fragen hast.