LDAP Benutzerauthentifizierung ueber AutoYast

Aus Linupedia
Wechseln zu: Navigation, Suche

Autor: endor

a.. howto kann man das auf grund seiner kuerze kaum nennen, aber ich denke es spart trotzdem zeit, wenn man die informationen konzentriert hier findet.

wer seine rechner über autoyast aufsetzt, hat die tolle möglichkeit, die benutzerauthentifizierung über ldap, schon während der installation, quasi automatisch einzurichten. ich gebe zu, die möglichkeiten sind bisher nicht besonders schön, aber es funktioniert. was ist also zu tun?

wir tragen zunächst die generelle ldap konfiguration in die autoyast xml datei ein. diese bewirkt auch, dass automatisch die notwendigen nss und pam bibliotheken installiert werden. Code:

 <ldap>
   <ldap_domain>o=org</ldap_domain>
   <ldap_server>server01.org.de</ldap_server>
   <ldap_tls config:type="boolean">true</ldap_tls>
   <ldap_v2 config:type="boolean">false</ldap_v2>
   <login_enabled config:type="boolean">true</login_enabled>
   <pam_password>crypt</pam_password>
   <start_ldap config:type="boolean">true</start_ldap>
 </ldap>


es gibt dabei leider nur diese 6 LDAP Konfigurationsparameter.

  • ldap_domain gibt die Basis an, auf der gesucht werden soll.
  • ldap_server legt den Server fest, gegen den die Anfrage laufen soll.
  • dap_tls legt fest, dass die Anfrage mit TLS verschlüsselt wird.
  • ldap_v2 bestimmt, dass Anfragen mit der Version 2 des LDAP Protokolls durchgeführt werden.
  • login_enabled führt dazu das der login via LDAP eingeschalten wird.
  • start_ldap ...

nun müssen noch zwei konfigurationsdateien geändert werden. wir müssen die /etc/ldap.conf ändern, weil leider bisher keine proxynutzerkonfiguration mittels autoyast möglich ist. wir fügen also unterhalb der ldap konfiguration hinzu: Code:

 <files config:type="list">
   <config_file>
     <file_path>/etc/ldap.conf</file_path>
     <file_contents>
<![CDATA[
uri ldap://server01.org.de/
base o=org
scope sub
ldap_version 3
binddn cn=proxy,o=org
bindpw secret
ssl start_tls
]]>
    </file_contents>
  </config_file>


direkt hierunter folgt dann noch eine anpassung der /etc/pam.d/session-common, um das pam modul zur automatischen erstellung des home-directories hinzuzufügen:

Code:

  <config_file>
    <file_path>/etc/pam.d/common-session</file_path>
    <file_contents>
<![CDATA[
session required pam_limits.so
session required pam_unix2.so
session required pam_mkhomedir.so skel=/etc/skel/ umask=0022
]]>
     </file_contents>
   </config_file>
 </files>


danach stupsen wie die automatische installation an, und nach abschluss sollte der rechner dann fähig sein, seine benutzer über ldap zu authentifizieren.

falls jemand eine möglichkeit gefunden hat den proxybenutzer auf eine andere art und weise eleganter hinzuzufügen, bitte immer her damit. auch für sonstige änderungsvorschläge bin ich dankbar.

eingefügt: --Yehudi 23:50, 23. Okt 2006 (CEST)