Benutzerauthentifizierung mit Autoyast

Aus Linupedia
Wechseln zu: Navigation, Suche

Allgemeines

Autoyast ist die automatische Installation von openSUSE, die durch eine XML Datei gesteuert wird. Das heisst in dieser XML Datei finden sich die Konfigurationsparameter für das System. Es soll erreicht werden, dass die Authentifizierung der Benutzer nicht, wie gewohnt, über die /etc/passwd abläuft sondern gegen einen LDAP-Server, in dem sich die Benutzerdaten befinden. Um das zu erreichen, werden verschiedene Parameter in der Autoyast XML Datei verändert.

LDAP Element konfigurieren

Zunächst wird über das LDAP Element, das Autoyast bereitstellt, die generelle LDAP Konfiguration durchgeführt. Diese bewirkt, dass automatisch die notwendigen nss und pam Bibliotheken installiert werden.

<ldap>
  <ldap_domain>o=org</ldap_domain>
  <ldap_server>server01.org.de</ldap_server>
  <ldap_tls config:type="boolean">true</ldap_tls>
  <ldap_v2 config:type="boolean">false</ldap_v2>
  <pam_password>crypt</pam_password>
  <start_ldap config:type="boolean">true</start_ldap>
</ldap>

Es gibt dabei bisher leider nur diese 5 LDAP Konfigurationsparameter <1--Link funktioniert nichtKonfigurationsparameter-->. Es ist also nicht möglich einen Benutzer festzulegen, der die LDAP Abfragen durchführt.

  • ldap_domain gibt die Basis an, auf der gesucht werden soll.
  • ldap_server legt den Server fest, gegen den die Anfrage laufen soll.
  • ldap_tls legt fest, dass die Anfrage mit TLS verschlüsselt wird.
  • ldap_v2 bestimmt, dass Anfragen mit der Version 2 des LDAP Protokolls durchgeführt werden.
  • start_ldap aktiviert den Rechner als LDAP Client.

Proxybenutzer hinzufügen

Nun müssen noch zwei Konfigurationsdateien geändert werden. Die /etc/ldap.conf wird nun so angepasst, dass der Benutzer festgelegt wird, der die LDAP Abfragen durchführt:

<files config:type="list">
  <config_file>
    <file_path>/etc/ldap.conf</file_path>
    <file_contents>
<![CDATA[
uri ldap://server01.org.de/
base o=org
scope sub
ldap_version 3
binddn cn=proxy,o=org
bindpw secret
ssl start_tls
]]>
    </file_contents>
  </config_file>

Automatisch das Home-Verzeichnis erstellen

Direkt hierunter folgt dann noch eine Anpassung der /etc/pam.d/common-session, um das PAM Modul zur automatischen Erstellung des Home-Verzeichnisses hinzuzufügen:

   <config_file>
     <file_path>/etc/pam.d/common-session</file_path>
     <file_contents>
<![CDATA[
session required pam_limits.so
session required pam_unix2.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
]]>
    </file_contents>
  </config_file>
</files>

Die automatische Installation wird nun gestartet und nach Abschluss sollte der Rechner dann fähig sein, seine Benutzer über LDAP zu authentifizieren.

Links


Zurück zur LDAP-Übersicht