45.5. YaST LDAP-Client

YaST enthält ein Modul zum Einrichten der LDAP-basierten Benutzerverwaltung. Wenn Sie diese Funktion bei der Installation nicht aktiviert haben, starten Sie das Modul durch Auswahl von Netzwerkdienste+LDAP-Client. YaST aktiviert alle PAM- und NSS-bezogenen Änderungen, die für LDAP erforderlich sind (siehe nachfolgende Beschreibung) und installiert die benötigten Dateien.

45.5.1. Standardverfahren

Hintergrundwissen über die Prozesse, die auf einem Clientrechner im ausgeführt werden, erleichtert Ihnen das Verständnis der Funktionsweise des YaST LDAP-Client-Moduls. Wenn LDAP für die Netzwerkauthentifizierung aktiviert oder das YaST-Modul aufgerufen wird, werden die Pakete pam_ldap und nss_ldap installiert und die beiden entsprechenden Konfigurationsdateien angepasst. pam_ldap ist das PAM-Modul, das für die Verhandlung zwischen den Anmeldeprozessen und dem LDAP-Verzeichnis als Quelle der Authentifizierungsdaten verantwortlich ist. Das dedizierte Modul pam_ldap.so wird installiert und die PAM-Konfiguration entsprechend angepasst (siehe Beispiel 45.11, „An LDAP angepasste Datei pam_unix2.conf“).

Beispiel 45.11. An LDAP angepasste Datei pam_unix2.conf

auth:       use_ldap 
account:    use_ldap 
password:   use_ldap
session:    none 

Bei der manuellen Konfiguration zusätzlicher Dienste für die Verwendung von LDAP nehmen Sie das PAM-LDAP-Modul in die entsprechende PAM-Konfigurationsdatei für den entsprechenden Dienst in /etc/pam.d auf. Konfigurationsdateien, die bereits für einzelne Dienste angepasst sind, finden Sie unter /usr/share/doc/packages/pam_ldap/pam.d/. Kopieren Sie die entsprechenden Dateien in /etc/pam.d.

Mit nss_ldap wird die glibc-Namenauflösung über den nsswitch-Mechanismus an den Einsatz von LDAP angepasst. Bei der Installation dieses Pakets wird eine neue angepasste Datei nsswitch.conf in /etc/ erstellt. Weitere Informationen zur Funktionsweise von nsswitch.conf finden Sie in Abschnitt 38.5.1, „Konfigurationsdateien“. In der Datei nsswitch.conf müssen für die Benutzerverwaltung und -authentifizierung mit LDAP folgende Zeilen vorhanden sein: Siehe Beispiel 45.12, „Anpassungen in nsswitch.conf“.

Beispiel 45.12. Anpassungen in nsswitch.conf

passwd: compat 
group: compat
 
passwd_compat: ldap 
group_compat: ldap
    

Mit diesen Zeilen wird die Resolver-Bibliothek von glibc angewiesen, zuerst die entsprechenden Dateien in /etc auszuwerten und zusätzlich den LDAP-Server anzufragen, der als Quelle für Authentifizierungs- und Benutzerdaten dient. Diesen Mechanismus können Sie testen, indem Sie beispielsweise die Inhalte der Benutzerdatenbank mit dem Befehl getent passwd abrufen. Der zurückgegebene Datensatz enthält eine Übersicht über die lokalen Benutzer des Systems und aller auf dem LDAP-Server gespeicherten Benutzer.

Um zu verhindern, dass sich reguläre über LDAP verwaltete Benutzer mit ssh oder login beim Server anmelden, müssen die Dateien /etc/passwd und /etc/group eine zusätzliche Zeile enthalten. Hierbei handelt es sich um die Zeile +::::::/sbin/nologin in /etc/passwd and +::: in /etc/group.

45.5.2. Konfiguration des LDAP-Client

Nachdem YaST die ersten Anpassungen von nss_ldap, pam_ldap, /etc/passwd und /etc/group vorgenommen hat, können Sie einfach eine Verbindung zwischen dem Client und dem Server herstellen und die Benutzerverwaltung von YaST über LDAP ausführen lassen. Die grundlegende Einrichtung wird in Abschnitt 45.5.2.1, „Grundlegende Konfiguration“ beschrieben.

Verwenden Sie für die weitere Konfiguration der YaST-Benutzer- und Gruppenkonfigurationsmodule den YaST LDAP-Client. Dies beinhaltet die Änderung der Standardeinstellungen für neue Benutzer und Gruppen und der Anzahl und Art von Attributen, die einem Benutzer bzw. einer Gruppe zugewiesen sind. Mit der LDAP-Benutzerverwaltung können Sie Benutzern und Gruppen zusätzliche und andere Attribute zuweisen als bei herkömmlichen Lösungen zur Gruppen- oder Benutzerverwaltung. Dies wird in Abschnitt 45.5.2.2, „Konfiguration der YaST-Benutzer- und der Gruppenverwaltungsmodule“ dargestellt.

45.5.2.1. Grundlegende Konfiguration

Der Dialog für die grundlegende Konfiguration des LDAP-Client (Abbildung 45.2, „YaST: Konfiguration des LDAP-Clients“) wird während der Installation geöffnet, wenn Sie die LDAP-Benutzerverwaltung oder Netzwerkdienste+LDAP-Client im YaST-Kontrollzentrum des installierten Systems auswählen.

Abbildung 45.2. YaST: Konfiguration des LDAP-Clients

YaST: Konfiguration des LDAP-Clients

Gehen Sie wie folgt vor, um die Benutzer Ihres Computers bei einem OpenLDAP-Server zu authentifizieren und die Benutzerverwaltung über OpenLDAP zu aktivieren:

  1. Klicken Sie zum Aktivieren von LDAP auf LDAP verwenden. Wählen Sie LDAP verwenden, jedoch Anmeldungen deaktivieren aus, wenn LDAP für die Authentifizierung verwendet werden soll, Sie jedoch verhindern möchten, dass sich Benutzer bei diesem Client anmelden.

  2. Geben Sie die IP-Adresse des zu verwendenden LDAP-Servers ein.

  3. Geben Sie den LDAP base DN ein, um die Suchbasis auf dem LDAP-Server auszuwählen.

  4. Wenn eine durch TLS oder SSL geschützte Kommunikation mit dem Server erforderlich ist, wählen Sie LDAP TLS/SSL.

  5. Falls auf dem LDAP-Server noch LDAPv2 verwendet wird, muss die Verwendung dieser Protokollversion durch Auswahl von LDAP Version 2 ausdrücklich aktiviert werden.

  6. Wählen Sie Automounter starten aus, um die entfernten Verzeichnisse, wie beispielsweise ein entfernt verwaltetes /home-Verzeichnis auf dem Client zu mounten.

  7. Klicken Sie zum Anwenden der Einstellungen auf Beenden.

Abbildung 45.3. YaST: Erweiterte Konfiguration

YaST: Erweiterte Konfiguration

Wenn Sie als Administrator Daten auf einem Server ändern möchten, klicken Sie auf Erweiterte Konfiguration. Der folgende Dialog verfügt über zwei Karteireiter. Siehe Abbildung 45.3, „YaST: Erweiterte Konfiguration“:

  1. Passen Sie im Karteireiter Client-Einstellungen die folgenden Einstellungen je nach Bedarf an:

    1. Wenn sich die Suchbasis für Benutzer, Passwörter und Gruppen von der im LDAP Base DN angegebenen globalen Suchbasis unterscheidet, geben Sie diese anderen Benennungskontexte unter Benutzerzuordnung, Passwortzuordnung und Gruppenzuordnung ein.

    2. Geben Sie das Passwortänderungsprotokoll an. Die Standardmethode, die bei Passwortänderungen verwendet wird, lautet crypt. Dies bedeutet, dass mit crypt erstellte Passwort-Hashes verwendet werden. Detaillierte Informationen zu dieser und anderen Optionen finden Sie auf der Manualpage pam_ldap.

    3. Geben Sie die LDAP-Gruppe an, die mit Attribut für Gruppenmitglied verwendet werden soll. Der Standardwert ist member.

  2. Passen Sie unter Verwaltungseinstellungen folgende Einstellungen an:

    1. Legen Sie die Basis zum Speichern der Benutzerverwaltungsdaten mit Konfigurations-Base DN fest.

    2. Geben Sie die entsprechenden Werte für Administrator-DN ein. Dieser DN muss dem in /etc/openldap/slapd.conf angegebenen Wert für rootdn entsprechen, damit dieser spezielle Benutzer die auf einem LDAP-Server gespeicherten Daten bearbeiten kann.

    3. Aktivieren Sie die Option Standardkonfigurationsobjekte erzeugen, um die Standardkonfigurationsobjekte auf dem Server zu erstellen und so die Benutzerverwaltung über LDAP zu ermöglichen.

    4. Wenn der Clientcomputer als Dateiserver für die Home-Verzeichnisse in Ihrem Netzwerk fungieren soll, aktivieren Sie Home-Verzeichnisse auf diesem Computer.

    5. Klicken Sie zum Verlassen der Erweiterten Konfiguration auf Übernehmen und anschließend zum Zuweisen der Einstellungen auf Beenden.

Mit Einstellungen für die Benutzerverwaltung konfigurieren bearbeiten Sie Einträge auf dem LDAP-Server. Der Zugriff auf die Konfigurationsmodule auf dem Server wird anschließend entsprechend den auf dem Server gespeicherten ACLs und ACIs gewährt. Befolgen Sie die in Abschnitt 45.5.2.2, „Konfiguration der YaST-Benutzer- und der Gruppenverwaltungsmodule“ beschriebenen Schritte.

45.5.2.2. Konfiguration der YaST-Benutzer- und der Gruppenverwaltungsmodule

Verwenden Sie den YaST LDAP-Client, um die YaST-Module für die Benutzer- und Gruppenverwaltung anzupassen und sie nach Bedarf zu erweitern. Definieren Sie die Vorlagen mit Standardwerten für die einzelnen Attribute, um die Datenregistrierung zu vereinfachen. Die hier vorgenommenen Voreinstellungen werden als LDAP-Objekte im LDAP-Verzeichnis gespeichert. Die Registrierung von Benutzerdaten erfolgt weiterhin über reguläre YaST-Module für die Benutzer- und Gruppenverwaltung. Die registrierten Daten werden als LDAP-Objekte auf dem Server gespeichert.

Abbildung 45.4. YaST: Modulkonfiguration

YaST: Modulkonfiguration

Im Dialog für die Modulkonfiguration (Abbildung 45.4, „YaST: Modulkonfiguration“) können Sie neue Module erstellen, vorhandene Konfigurationsmodule auswählen und ändern sowie Vorlagen für solche Module entwerfen und ändern.

Zum Erstellen eines neuen Konfigurationsmoduls gehen Sie wie folgt vor:

  1. Klicken Sie auf Neu und wählen Sie den gewünschten Modultyp aus. Wählen Sie für ein Benutzerkonfigurationsmodul suseuserconfiguration und für eine Gruppenkonfiguration susegroupconfiguration aus.

  2. Legen Sie einen Namen für die neue Vorlage fest.

    In der Inhaltsansicht wird dann eine Tabelle mit allen in diesem Modul zulässigen Attributen und den entsprechenden zugewiesenen Werten angezeigt. Neben allen festgelegten Attributen sind in der Liste auch alle anderen im aktuellen Schema zulässigen jedoch momentan nicht verwendeten Attribute enthalten.

  3. Akzeptieren Sie die voreingestellten Werte oder passen Sie die Standardwerte an, die in der Gruppen- und Benutzerkonfiguration verwendet werden sollen, indem Sie Bearbeiten wählen und den neuen Wert eingeben. Ein Modul können Sie umbenennen, indem Sie einfach das Attribut cn des Moduls ändern. Durch Klicken auf Löschen wird das ausgewählte Modul gelöscht.

  4. Mit OK fügen Sie das neue Modul dem Auswahlmenü hinzu.

Mit den YaST-Module für die Gruppen- und Benutzerverwaltung werden Vorlagen mit sinnvollen Standardwerten eingebettet. Zum Bearbeiten einer Vorlage für ein Konfigurationsmodul führen Sie folgende Schritte aus:

  1. Klicken Sie im Dialog Konfiguration von Modulen auf Vorlage konfigurieren.

  2. Legen Sie die Werte der allgemeinen dieser Vorlage zugewiesenen Attribute gemäß Ihren Anforderungen fest oder lassen Sie einige nicht benötigte Attribute leer. Leere Attribute werden auf dem LDAP-Server gelöscht.

  3. Ändern, löschen oder fügen Sie neue Standardwerte für neue Objekte hinzu (Benutzer- oder Gruppenkonfigurationsobjekte im LDAP-Baum).

Abbildung 45.5. YaST: Konfiguration einer Objektvorlage

YaST: Konfiguration einer Objektvorlage

Verbinden Sie die Vorlage mit dem entsprechenden Modul, indem Sie den Wert des Attributs susedefaulttemplate für das Modul auf den DN der angepassten Vorlage setzen.

[Tip]Tipp

Die Standardwerte für ein Attribut können anhand von anderen Attributen mit Variablen anstelle eines absoluten Werts erstellt werden. Wenn Sie beispielsweise einen neuen Benutzer erstellen, wird cn=%sn %givenName automatisch anhand der Attributwerte für sn und givenName erstellt.

Nachdem alle Module und Vorlage richtig konfiguriert wurden und zum Ausführen bereit sind, können neue Gruppen und Benutzer wie gewohnt mit YaST registriert werden.