[Gelöst] OPSI Admin Frontend & LDAP

[thomas.besser]

common-account:

Code: Alles auswählen

account sufficient      pam_ldap.so
account required        pam_unix.so

common-session bzw. common-session-noninteractive

Code: Alles auswählen

session sufficient      pam_ldap.so
session required        pam_unix.so

common-password ist nix drin bzgl. ldap

[hawaii]

You sir are my hero common-account did the trick, hier lag der Hund also begraben
Danke für deine Zeit!

[ueluekmen]

Wie wärs mit einem Howto im Wiki? Dies ist auch für andere Interessant. Wer weiß, vielleiucht wird auch die Enwticklung von opsi an der ein oder anderen Stelle von solchen Setups inspiriert.

[hawaii]

Jup, ich schreib da mal was zusammen, ich muss nur die Schritte noch mal durchgehen weil so wie es aussieht war vieles was ich getan habe gar nicht notwendig, das Hauptproblem lag wohl in der /etc/pam.d/common-account und wenn dem so ist, dann ist das gar nichts so schwierig wenn die LDAP Infrastruktur an sich schon gegeben ist

[hawaii]

So im Endeffekt sind das die Schritte die auf dem OPSI Server (Debian Squeeze) notwendig waren, wo packt man sowas denn am sinnvollsten ins Wiki?

1. Installieren der notwendigen LDAP Pakete

Code: Alles auswählen

apt-get install libnss-ldapd libpam-ldapd ldap-utils

2. Anpassen der /etc/nslcd.conf

Code: Alles auswählen

# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The location at which the LDAP server(s) should be reachable.
uri ldap://example.com

# The search base that will be used for all queries.
base dc=example,dc=com

# The LDAP protocol version to use.
ldap_version 3

# The DN to bind with for normal lookups.
binddn cn=admin,dc=example,dc=com
bindpw secret

# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com

# SSL options
#ssl off
tls_reqcert demand
tls_cacertfile /path/to/certificate

# The search scope.
#scope sub

3. Neustart des nslcd

Code: Alles auswählen

service nslcd restart

Ab diesem Punkt sollte man in der Lage sein, sowohl als root als auch als User opsiconfd die LDAP Gruppen zu sehen.
Der folgende Test sollte zweimal die gleiche Ausgabe inkl. LDAP Gruppen erzeugen:

Code: Alles auswählen

getent group

Code: Alles auswählen

su - opsiconfd
getent group

4. Anpassung der /etc/pam.d/ Module, jeweils am Anfang der Datei:

/etc/pam.d/common-auth

Code: Alles auswählen

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure

/etc/pam.d/common-account

Code: Alles auswählen

account   sufficient      pam_ldap.so
account   required        pam_unix.so

5. Weiterhin wie im Handbuch beschrieben opsi-auth in /etc/pam.d anlegen

http://download.uib.de/opsi4.0/doc/html ... tification

/etc/pam.d/opsi-auth

Code: Alles auswählen

@include sshd

6. User zur lokalen Gruppe "opsiadmin" hinzufügen

/etc/group

Code: Alles auswählen

opsiadmin:x:1000:opsiconfd,adminuser,User1,User2,.....

Danach sollte man sich mit den entsprechenden Usern der Gruppe "opsiadmin" am OPSI configed Interface authentifizieren können.
Danke auch an thomas.besser für seinen Input zu den PAM Modulen.

[Mike162]

Hallo,

deine anleitung ist super leider suche ich diese genau analog zu Ubuntu.
Kannst du mir hier hilfestellung geben?

Mfg

[thomas.besser]

deine anleitung ist super leider suche ich diese genau analog zu Ubuntu.

Ubuntu ist IMO zu allgemein, welcher Dienst übernimmt konkret die Namensauflösung für Benutzer/Gruppen auf deinem System? Ich kenne z.B. "sssd" oder "nslcd" auf Debian basierenden Systemen.

Gruß
Thomas

[Mike162]

Hallo,

die Namensauflösung wird von einem Windows DC übernommen.

Viele Grüße

[thomas.besser]

Und wie kommt dein Ubuntu (welche Version?) via LDAP an diese Informationen?

[Mike162]

Hi,
habe den opsi als Client ins aD mit Kerberos, Samba, Winbind in die Domäne gehangen.
Anschließend bin inch nach der Anleitungwiki/doku.php?id=opsi-server_authentica ... ed_on_ldap vorgegangen, wo ich nun auch bei etc/pam_ldap.conf hänge.