LDAP für Benutzeraccounts nutzen:
PAM, posix, NIS und Konsorten
Diese Seite drucken
LDAP für Benutzeraccounts nutzen:
|
Diese Seite drucken |
Wenn Sie LDAP für Benutzer-Accounts und zur Benutzer-Authentifizierung nutzen wollen, müssen Sie folgendes tun:
Für den ersten Punkt können Sie Standardobjekte nutzen, die für diesen Zweck bereits definiert wurden. Dies sind die Objektklassen, die Sie für Benutzer-Account-Verzeichniseinträge verwenden können:
| Objektklasse | Hauptzweck | OpenLDAP-Schema-Datei |
posixAccount |
Unix-Benutzer-Account-Daten | nis.schema |
shadowAccount |
Unix-Paßwort-/Alterungsdaten | nis.schema |
account |
Attribute für Organisationseinheiten und Hosts | cosine.schema |
person |
elementare Personendaten | core.schema |
organizationalPerson |
Adress- und Telefondaten | core.schema |
inetOrgPerson |
mitarbeiterbezogene Daten | inetorgperson.schema |
ipHost
and device |
Host-basierte Login-Zugriffskontrolle | nis.schema |
groupOfUniqueNames |
Host-basierte Login-Zugriffskontrolle | core.schema |
Die Objektklassen in den orangefarbenen Zeilen werden von nahezu allen Sites benutzt. Ein oder mehrere der Objektklassen in den gelben Zeilen können, je nach lokalen Gegebenheiten, ebenfalls für Benutzer-Account-Einträge verwendet werden. Die Klassen in den pinkfarbenen Zeilen werden verwendet, wenn eine hostbasierte Login-Zugriffskontrolle gewünscht wird, d.h., wenn Sie festlegen wollen, welche Benutzer sich auf den jeweiligen Hosts anmelden dürfen.
Die Migration existierender Benutzer-Account-Daten in ein LDAP-Verzeichnis ist sehr einfach, wenn man die Open Source-Migrationstools von PADL Software nutzt. Hierbei handelt es sich um eine Reihe von Perl-Skripten, die die benötigten Daten aus den eigentlichen Dateien extrahieren und die entsprechenden Verzeichniseinträge erzeugen. Die Skripten können so konfiguriert werden, daß sie die entsprechenden Einträge automatisch in das LDAP-Verzeichnis eintragen. Alternativ können Textdateien im LDIF-Format erzeugt werden, die Sie untersuchen, eventuell modifizieren und schließlich manuell importieren können.
Die Verwendung von Verzeichniseinträgen als Quelle für Benutzer-Authentifizierungsdaten
verlangt zwei zusätzliche von PADL Software entwickelte Open Source-Module:
nss_ldap und pam_ldap.
Das nss_ldap-Modul stellt eine Schnittstelle zur Standard-Nameservice-Switch-Datei
/etc/nsswitch her. Das Modul erlaubt es, LDAP als Option in Einträgen
dieser Datei anzugeben. Zum Beispiel teilen die beiden folgenden nsswitch-Einträge
dem Betriebssystem mit, Benutzer-Account-Informationen zuerst in der normalen
Konfigurationsdatei zu suchen und dann den OpenLDAP-Server zu nutzen:
passwd: files ldap
shadow: files ldapDas ldap-Schlüsselwort wird verwendet, um auf den OpenLDAP-Server
zu verweisen. Der Name der Organisationseinheit, die die Benutzer-Accounts enthält,
wird in der Konfigurationsdatei des LDAP-Servers festgelegt.
Das pam_ldap-Modul wird von der PAM-Einrichtung verwendet, um
LDAP als Quelle von Benutzer-Authentifizierungs- und anderen Benutzer-Account-Daten
zu nutzen. Es kann auf die übliche Weise in einem PAM-Stack plaziert werden:
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_nologin.so
auth sufficient /lib/security/pam_ldap.so
auth required /lib/security/pam_unix.so
account sufficient /lib/security/pam_ldap.so
account required /lib/security/pam_unix.so
password sufficient /lib/security/pam_ldap.so
password required /lib/security/pam_unix.so strict=false
session required /lib/security/pam_unix.so debug Im allgemeinen wird das pam_ldap-Modul im Stack einfach über dem
normalen Authentifizierungsmodul (hier pam_unix) eingefügt. Dieses
Modul erlaubt es Ihnen auch, einen Benutzer auf eine festgelegte Liste von Hosts
zu beschränken und/oder den Zugriff auf einen bestimmten Host auf eine festgelegte
Liste von Benutzern einzuschränken.
|
||||||||||||||||||||||||
Petra Haberer Version
0.0.1