openSUSE-Dokumentation
Kapitel 26. LDAP – Ein Verzeichnisdienst / 26.4. Konfigurieren eines LDAP-Client mit YaST
Zurück26.3. Konfigurieren eines LDAP-Servers mit YaST26.5. Konfigurieren von LDAP-Benutzern und -Gruppen in YaSTWeiter

Konfigurieren eines LDAP-Client mit YaST

YaST enthält ein Modul zum Einrichten der LDAP-basierten Benutzerverwaltung. Wenn Sie diese Funktion bei der Installation nicht aktiviert haben, starten Sie das Modul, indem Sie Netzwerkdienste+LDAP-Client wählen. YaST aktiviert alle PAM- und NSS-bezogenen Änderungen, die für LDAP erforderlich sind, und installiert die benötigten Dateien. Verbinden Sie einfach Client und Server miteinander und lassen Sie YaST Benutzer über LDAP verwalten. Das grundlegende Setup wird in Abschnitt 26.4.1, „Konfigurieren der grundlegenden Einstellungen“ beschrieben.

Verwenden Sie für die weitere Konfiguration der YaST-Gruppe und der Benutzerkonfigurationsmodule den YaST-LDAP-Client. Dies beinhaltet die Änderung der Standardeinstellungen für neue Benutzer und Gruppen und der Anzahl und Art von Attributen, die einem Benutzer bzw. einer Gruppe zugewiesen sind. Mit der LDAP-Benutzerverwaltung können Sie Benutzern und Gruppen mehrere und verschiedene Attribute zuweisen als bei herkömmlichen Lösungen zur Gruppen- oder Benutzerverwaltung. Die Konfiguration eines solchen Servers wird in Abschnitt 26.4.2, „Konfigurieren der YaST-Gruppe und der Benutzerverwaltungsmodule“ beschrieben.

Konfigurieren der grundlegenden Einstellungen

Das Dialogfeld für die grundlegende Konfiguration des LDAP-Clients (Abbildung 26.6, „YaST: LDAP-Client-Konfiguration“) wird während der Installation geöffnet, wenn Sie die LDAP-Benutzerverwaltung oder im YaST-Kontrollzentrum des installierten Systems Netzwerkdienste+LDAP-Client auswählen.

Abbildung 26.6. YaST: LDAP-Client-Konfiguration

YaST: LDAP-Client-Konfiguration

Gehen Sie wie folgt vor, um die Benutzer Ihres Computers bei einem OpenLDAP-Server zu authentifizieren und die Benutzerverwaltung über OpenLDAP zu aktivieren:

  1. Klicken Sie zum Aktivieren von LDAP auf LDAP verwenden. Wählen Sie LDAP verwenden, jedoch Anmeldungen deaktivieren aus, wenn LDAP für die Authentifizierung verwendet werden soll, Sie jedoch verhindern möchten, dass sich Benutzer bei diesem Client anmelden.

  2. Geben Sie die IP-Adresse des zu verwendenden LDAP-Servers ein.

  3. Geben Sie den LDAP Base DN ein, um die Suchbasis auf dem LDAP-Server auszuwählen. Wenn Sie den Basis-DN automatisch abrufen möchten, klicken Sie auf DN holen. YaST prüft dann, ob eine oder mehrere LDAP-Datenbanken an der oben angegebenen Serveradresse vorhanden sind. Wählen Sie den geeigneten "Base DN" aus den Suchergebnissen, die YaST liefert.

  4. Wenn eine durch TLS oder SSL geschützte Kommunikation mit dem Server erforderlich ist, wählen Sie LDAP TLS/SSL.

  5. Falls auf dem LDAP-Server noch LDAPv2 verwendet wird, muss die Verwendung dieser Protokollversion durch Auswahl von LDAP Version 2 ausdrücklich aktiviert werden.

  6. Wählen Sie Automounter starten aus, um die entfernten Verzeichnisse, wie beispielsweise ein entfernt verwaltetes /home-Verzeichnis auf dem Client einzuhängen.

  7. Aktivieren Sie die Option Home-Verzeichnis bei Anmeldung erstellen , um beim ersten Anmelden des Benutzers automatisch ein Home-Verzeichnis zu erstellen.

  8. Klicken Sie zum Anwenden der Einstellungen auf Verlassen.

Wenn Sie als Administrator Daten auf einem Server ändern möchten, klicken Sie auf Erweiterte Konfiguration. Das folgende Dialogfeld verfügt über zwei Registerkarten. Weitere Informationen hierzu finden Sie unter Abbildung 26.7, „YaST: Erweiterte Konfiguration“.

Abbildung 26.7. YaST: Erweiterte Konfiguration

YaST: Erweiterte Konfiguration

  1. Passen Sie auf dem Karteireiter Client-Einstellungen die folgenden Einstellungen je nach Bedarf an:

    1. Wenn sich die Suchbasis für Benutzer, Passwörter und Gruppen von der im LDAP Base DN angegebenen globalen Suchbasis unterscheidet, geben Sie diese anderen Benennungskontexte unter Benutzerzuordnung, Passwortzuordnung und Gruppenzuordnung ein.

    2. Geben Sie das Passwortänderungsprotokoll an. Die Standardmethode, die bei Passwortänderungen verwendet wird, lautet crypt. Dies bedeutet, dass mit crypt erstellte Passwort-Hashes verwendet werden. Detaillierte Informationen zu dieser und anderen Optionen finden Sie auf der Manualpage pam_ldap.

    3. Geben Sie die LDAP-Gruppe an, die mit Attribut für Gruppenmitglied verwendet werden soll. Der Standardwert ist member.

  2. Passen Sie unter Verwaltungseinstellungen folgende Einstellungen an:

    1. Legen Sie die Basis zum Speichern der Benutzerverwaltungsdaten mit Konfigurations-Base DN fest.

    2. Geben Sie die entsprechenden Werte für Administrator-DN ein. Dieser DN muss dem in /etc/openldap/slapd.conf angegebenen Wert für rootdn entsprechen, damit dieser spezielle Benutzer die auf einem LDAP-Server gespeicherten Daten bearbeiten kann. Geben Sie den vollen DN ein (z. B. cn=Administrator,dc=example,dc=com ) oder aktivieren Sie Basis-DN anhängen, damit der Basis-DN automatisch angehängt wird, wenn Sie cn=Administrator eingeben.

    3. Aktivieren Sie die Option Standardkonfigurationsobjekte erzeugen, um die Standardkonfigurationsobjekte auf dem Server zu erstellen und so die Benutzerverwaltung über LDAP zu ermöglichen.

    4. Wenn der Client-Computer als Dateiserver für die Home-Verzeichnisse in Ihrem Netzwerk fungieren soll, aktivieren Sie Home-Verzeichnisse auf diesem Computer.

    5. Im Abschnitt Passwortrichtlinie können Sie die zu verwendenen Einstellungen für die Passwortrichtlinie wählen, hinzufügen, löschen oder ändern. Die Konfiguration der Passwortrichtlinien mit YaST gehört zur Einrichtung des LDAP-Servers.

    6. Klicken Sie zum Verlassen der Option Erweiterte Konfiguration auf OK und anschließend zum Zuweisen der Einstellungen auf Beenden.

Mit Einstellungen für die Benutzerverwaltung konfigurieren bearbeiten Sie Einträge auf dem LDAP-Server. Der Zugriff auf die Konfigurationsmodule auf dem Server wird anschließend entsprechend den auf dem Server gespeicherten ACLs und ACIs gewährt. Befolgen Sie die in Abschnitt 26.4.2, „Konfigurieren der YaST-Gruppe und der Benutzerverwaltungsmodule“ beschriebenen Schritte.

Konfigurieren der YaST-Gruppe und der Benutzerverwaltungsmodule

Verwenden Sie den YaST-LDAP-Client, um die YaST-Module für die Benutzer- und Gruppenverwaltung anzupassen und sie nach Bedarf zu erweitern. Definieren Sie die Vorlagen mit Standardwerten für die einzelnen Attribute, um die Datenregistrierung zu vereinfachen. Die hier vorgenommenen Voreinstellungen werden als LDAP-Objekte im LDAP-Verzeichnis gespeichert. Die Registrierung von Benutzerdaten erfolgt weiterhin über reguläre YaST-Module für die Benutzer- und Gruppenverwaltung. Die registrierten Daten werden als LDAP-Objekte auf dem Server gespeichert.

Abbildung 26.8. YaST: Modulkonfiguration

YaST: Modulkonfiguration

Im Dialogfeld für die Modulkonfiguration (Abbildung 26.8, „YaST: Modulkonfiguration“) können Sie neue Module erstellen, vorhandene Konfigurationsmodule auswählen und ändern sowie Vorlagen für solche Module entwerfen und ändern.

Zum Erstellen eines neuen Konfigurationsmoduls gehen Sie wie folgt vor:

  1. Klicken Sie in Konfiguration des LDAP-Clients auf Erweiterte Konfiguration und öffnen Sie anschließend den Karteireiter Verwaltungseinstellungen. Klicken Sie auf Einstellungen für Benutzerverwaltung konfigurieren und geben Sie die Berechtigungen für den LDAP-Server ein.

  2. Klicken Sie auf Neu und wählen Sie den gewünschten Modultyp aus. Wählen Sie für ein Benutzerkonfigurationsmodul suseuserconfiguration und für eine Gruppenkonfiguration susegroupconfiguration aus.

  3. Legen Sie einen Namen für die neue Vorlage fest. In der Inhaltsansicht wird dann eine Tabelle mit allen in diesem Modul zulässigen Attributen und den entsprechenden zugewiesenen Werten angezeigt. Neben allen festgelegten Attributen enthält die Liste auch alle anderen im aktuellen Schema zulässigen jedoch momentan nicht verwendeten Attribute.

  4. Akzeptieren Sie die voreingestellten Werte oder passen Sie die Standardwerte an, die in der Gruppen- und Benutzerkonfiguration verwendet werden sollen, indem Sie Bearbeiten wählen und den neuen Wert eingeben. Ein Modul können Sie umbenennen, indem Sie einfach das Attribut cn des Moduls ändern. Durch Klicken auf Löschen wird das ausgewählte Modul gelöscht.

  5. Mit OK fügen Sie das neue Modul dem Auswahlmenü hinzu.

Mit den YaST-Modulen für die Gruppen- und Benutzerverwaltung werden Vorlagen mit sinnvollen Standardwerten eingebettet. Zum Bearbeiten einer Vorlage für ein Konfigurationsmodul führen Sie folgende Schritte aus:

  1. Klicken Sie im Dialogfeld Konfiguration von Modulen auf Vorlage konfigurieren.

  2. Legen Sie die Werte der allgemeinen dieser Vorlage zugewiesenen Attribute gemäß Ihren Anforderungen fest oder lassen Sie einige nicht benötigte Attribute leer. Leere Attribute werden auf dem LDAP-Server gelöscht.

  3. Ändern, löschen oder fügen Sie neue Standardwerte für neue Objekte hinzu (Benutzer- oder Gruppenkonfigurationsobjekte im LDAP-Baum).

Abbildung 26.9. YaST Konfiguration einer Objektvorlage

YaST Konfiguration einer Objektvorlage

Verbinden Sie die Vorlage mit dem entsprechenden Modul, indem Sie den Wert des Attributs susedefaulttemplate für das Modul auf den DN der angepassten Vorlage setzen.

[Tip]

Die Standardwerte für ein Attribut können anhand von anderen Attributen mithilfe einer Variablen anstelle eines absoluten Werts erstellt werden. Wenn Sie beispielsweise einen neuen Benutzer erstellen, wird cn=%sn %givenName automatisch anhand der Attributwerte für sn und givenName erstellt.

Nachdem alle Module und Vorlagen richtig konfiguriert wurden und zum Ausführen bereit sind, können neue Gruppen und Benutzer wie gewohnt mit YaST registriert werden.

Zurück26.3. Konfigurieren eines LDAP-Servers mit YaSTZum Anfang26.5. Konfigurieren von LDAP-Benutzern und -Gruppen in YaSTWeiter