forum.opsi.org

opsi support forum
https://forum.opsi.org/

[Gelöst] OPSI Admin Frontend & LDAP

https://forum.opsi.org/viewtopic.php?t=5927

Seite 2 von 3

Re: OPSI Admin Frontend & LDAP

Verfasst: 11 Mär 2014, 09:50
von thomas.besser
common-account:

Code: Alles auswählen

account sufficient      pam_ldap.so
account required        pam_unix.so
common-session bzw. common-session-noninteractive

Code: Alles auswählen

session sufficient      pam_ldap.so
session required        pam_unix.so
common-password ist nix drin bzgl. ldap

Re: OPSI Admin Frontend & LDAP

Verfasst: 11 Mär 2014, 10:10
von hawaii
You sir are my hero :-) common-account did the trick, hier lag der Hund also begraben :-)
Danke für deine Zeit!

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 11 Mär 2014, 10:22
von ueluekmen
Wie wärs mit einem Howto im Wiki? Dies ist auch für andere Interessant. Wer weiß, vielleiucht wird auch die Enwticklung von opsi an der ein oder anderen Stelle von solchen Setups inspiriert. ;)

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 11 Mär 2014, 10:29
von hawaii
Jup, ich schreib da mal was zusammen, ich muss nur die Schritte noch mal durchgehen weil so wie es aussieht war vieles was ich getan habe gar nicht notwendig, das Hauptproblem lag wohl in der /etc/pam.d/common-account und wenn dem so ist, dann ist das gar nichts so schwierig wenn die LDAP Infrastruktur an sich schon gegeben ist ;-)

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 11 Mär 2014, 11:23
von hawaii
So im Endeffekt sind das die Schritte die auf dem OPSI Server (Debian Squeeze) notwendig waren, wo packt man sowas denn am sinnvollsten ins Wiki?

1. Installieren der notwendigen LDAP Pakete

Code: Alles auswählen

apt-get install libnss-ldapd libpam-ldapd ldap-utils
2. Anpassen der /etc/nslcd.conf

Code: Alles auswählen

# /etc/nslcd.conf
# nslcd configuration file. See nslcd.conf(5)
# for details.

# The user and group nslcd should run as.
uid nslcd
gid nslcd

# The location at which the LDAP server(s) should be reachable.
uri ldap://example.com

# The search base that will be used for all queries.
base dc=example,dc=com

# The LDAP protocol version to use.
ldap_version 3

# The DN to bind with for normal lookups.
binddn cn=admin,dc=example,dc=com
bindpw secret

# The DN used for password modifications by root.
#rootpwmoddn cn=admin,dc=example,dc=com

# SSL options
#ssl off
tls_reqcert demand
tls_cacertfile /path/to/certificate

# The search scope.
#scope sub
3. Neustart des nslcd

Code: Alles auswählen

service nslcd restart
Ab diesem Punkt sollte man in der Lage sein, sowohl als root als auch als User opsiconfd die LDAP Gruppen zu sehen.
Der folgende Test sollte zweimal die gleiche Ausgabe inkl. LDAP Gruppen erzeugen:

Code: Alles auswählen

getent group

Code: Alles auswählen

su - opsiconfd
getent group
4. Anpassung der /etc/pam.d/ Module, jeweils am Anfang der Datei:

/etc/pam.d/common-auth

Code: Alles auswählen

auth    sufficient      pam_ldap.so
auth    required        pam_unix.so nullok_secure
/etc/pam.d/common-account

Code: Alles auswählen

account   sufficient      pam_ldap.so
account   required        pam_unix.so
5. Weiterhin wie im Handbuch beschrieben opsi-auth in /etc/pam.d anlegen

http://download.uib.de/opsi4.0/doc/html ... tification

/etc/pam.d/opsi-auth

Code: Alles auswählen

@include sshd
6. User zur lokalen Gruppe "opsiadmin" hinzufügen

/etc/group

Code: Alles auswählen

opsiadmin:x:1000:opsiconfd,adminuser,User1,User2,.....
Danach sollte man sich mit den entsprechenden Usern der Gruppe "opsiadmin" am OPSI configed Interface authentifizieren können.
Danke auch an thomas.besser für seinen Input zu den PAM Modulen. :-)

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 01 Feb 2016, 09:14
von Mike162
Hallo,

deine anleitung ist super leider suche ich diese genau analog zu Ubuntu.
Kannst du mir hier hilfestellung geben?

Mfg

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 01 Feb 2016, 09:23
von thomas.besser
Mike162 hat geschrieben: deine anleitung ist super leider suche ich diese genau analog zu Ubuntu.
Ubuntu ist IMO zu allgemein, welcher Dienst übernimmt konkret die Namensauflösung für Benutzer/Gruppen auf deinem System? Ich kenne z.B. "sssd" oder "nslcd" auf Debian basierenden Systemen.

Gruß
Thomas

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 01 Feb 2016, 09:49
von Mike162
Hallo,

die Namensauflösung wird von einem Windows DC übernommen.

Viele Grüße

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 01 Feb 2016, 09:55
von thomas.besser
Und wie kommt dein Ubuntu (welche Version?) via LDAP an diese Informationen?

Re: [Gelöst] OPSI Admin Frontend & LDAP

Verfasst: 01 Feb 2016, 09:59
von Mike162
Hi,
habe den opsi als Client ins aD mit Kerberos, Samba, Winbind in die Domäne gehangen.
Anschließend bin inch nach der Anleitungwiki/doku.php?id=opsi-server_authentica ... ed_on_ldap vorgegangen, wo ich nun auch bei etc/pam_ldap.conf hänge.
Alle Zeiten sind UTC+02:00
Seite 2 von 3

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de