PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Auth gegen LDAP



TheDarkRose
29.05.10, 16:11
Wenn ich jetzt an den Clients so einrichte das sie die Benutzer vom LDAP beziehen, ist das dann jedes Entry im LDAP das der Klasse posixAccount angehört, egal in welcher OU es ist?

mamue
29.05.10, 19:35
Das kommt normalerweise auf die Einstellungen in der nsswitch.conf an.

HTH
mamue

TheDarkRose
30.05.10, 10:41
hast du da vielleicht ein beispiel parat?

mamue
30.05.10, 11:34
Wie sieht Deine denn jetzt aus?

mamue

bla!zilla
30.05.10, 16:01
Hängt davon ab, ab welcher OU du mit dem Suchen beginnst. Das kannst du per Config festlegen. Poste doch mal deine Config und erzähl ein wenig zu deiner Umgebung.

TheDarkRose
31.05.10, 06:54
Meine Config sieht im Moment noch gar nichts aus.
Zu Umgebung: ich hab im Netz meinen Server stehen, der als LDAP-Server dient, aber auch gleichzeitig Client werden soll, damit sich die Benutzer dort auch über SSH (falls das Homeverzeichniss existiert) anmelden können.

hessijens
31.05.10, 08:44
Zu Umgebung: ich hab im Netz meinen Server stehen, der als LDAP-Server dient, aber auch gleichzeitig Client werden soll

Schlecht Idee, denn der LDAP Server startet normalerweise als Benutzer "ldap". Wenn Du nun nsswitch.con so anpasst, dass Du dich *nur* gegen LDAP anmelden willst wird es keinen "ldap" Benutzer mehr geben wenn der Server starten soll. Der Server wird nicht starten -> Klassischer Falls von ins Knie geschossen. Zumindest der Server braucht also noch lokale Benutzer.

Einfacher wäre, wenn es nur der Dienst SSH sein soll, das ganze mit pam_ldap zu versuchen. Probleme sehe ich allerdings in der Bedingung "falls das Homeverzeichnis existiert". Keine Ahnung wie man das prüfen soll.

Übrigens kommt es für nss_ldap auf die Einstellungen in der ldap.conf an welche OrganizationUnit zur Autorisierung verwendet wird. Da stehen eigentlich alle Infos drin.

TheDarkRose
31.05.10, 08:48
Also nur gegen LDAP ist nicht geplant, sondern gegen LDAP und /etc/passwd.
Ich hab schon mal eine Testumgebung in dieser Art aufgesetzt und bemerkt, wenn das Homeverzeichniss nicht exisitert, kann man sich per SSH nicht anmelden.

Also in der ldap.conf muss ich mich spielen um die OU für den Auth zu bestimmen?

mamue
01.06.10, 09:12
Es gibt meist zwei ldap.conf. In der /etc/openldap/ldap.conf findest Du so etwas wie:
nss_base_passwd
Den könntest Du mit einem passenden Wert in der Art "ou=users,ou=abteilung1,dc=meinedomain,dc=org"

HTH
mamue

mamue
01.06.10, 09:14
Ein Nachtrag noch von mir:
Es sind selbstredend auch mehrere Einträge mit nss_base_passwd und nss_base_group möglich.