25.5. YaST LDAP-Client

YaST enthält ein Modul zum Einrichten der LDAP-basierten Benutzerverwaltung. Wenn Sie diese Funktion bei der Installation nicht aktiviert haben, starten Sie das Modul durch Auswahl von Netzwerkdienste+LDAP-Client. YaST aktiviert alle PAM- und NSS-bezogenen Änderungen, die für LDAP erforderlich sind (siehe nachfolgende Beschreibung) und installiert die benötigten Dateien.

25.5.1. Standardverfahren

Hintergrundwissen über die Prozesse, die auf einem Client-Computer im Hintergrund ausgeführt werden, erleichtert Ihnen das Verständnis der Funktionsweise des YaST-Moduls LDAP-Client. Wenn LDAP für die Netzwerkauthentifizierung aktiviert oder das YaST-Modul aufgerufen wird, werden die Pakete pam_ldap und nss_ldap installiert und die beiden entsprechenden Konfigurationsdateien angepasst. pam_ldap ist das PAM-Modul, das für die Verhandlung zwischen den Anmeldeprozessen und dem LDAP-Verzeichnis als Quelle der Authentifizierungsdaten verantwortlich ist. Das dedizierte Modul pam_ldap.so wird installiert und die PAM-Konfiguration entsprechend angepasst (siehe Beispiel 25.11, „An LDAP angepasste Datei pam_unix2.conf“).

Beispiel 25.11. An LDAP angepasste Datei pam_unix2.conf

auth:       use_ldap 
account:    use_ldap
password:   use_ldap 
session:    none

Bei der manuellen Konfiguration zusätzlicher Dienste für die Verwendung von LDAP nehmen Sie das PAM-LDAP-Modul in die entsprechende PAM-Konfigurationsdatei für den Dienst in /etc/pam.d auf. Konfigurationsdateien, die bereits für einzelne Dienste angepasst sind, finden Sie unter /usr/share/doc/packages/pam_ldap/pam.d/. Kopieren Sie die entsprechenden Dateien in /etc/pam.d.

Die glibc-Namenauflösung über den nsswitch-Mechanismus wird an den Einsatz von LDAP mit nss_ldap angepasst. Bei der Installation dieses Pakets wird eine neue angepasste Datei nsswitch.conf in /etc/ erstellt. Weitere Informationen zur Funktionsweise von nsswitch.conf finden Sie in Abschnitt 18.6.1, „Konfigurationsdateien“. In der Datei nsswitch.conf müssen für die Benutzerverwaltung und -authentifizierung mit LDAP folgende Zeilen vorhanden sein: Siehe Beispiel 25.12, „Anpassungen in nsswitch.conf“.

Beispiel 25.12. Anpassungen in nsswitch.conf

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Mit diesen Zeilen wird die Resolver-Bibliothek von glibc angewiesen, zuerst die entsprechenden Dateien in /etc zu bewerten und zusätzlich die LDAP-Server aufzurufen, die als Quellen für Authentifizierungs- und Benutzerdaten dienen. Diesen Mechanismus können Sie testen, indem Sie beispielsweise die Inhalte der Benutzerdatenbank mit dem Befehl getent passwd abrufen. Der zurückgegebene Datensatz enthält eine Übersicht über die lokalen Benutzer des Systems und über alle auf dem LDAP-Server gespeicherten Benutzer.

Um zu verhindern, dass sich reguläre über LDAP verwaltete Benutzer mit ssh oder login beim Server anmelden, müssen die Dateien /etc/passwd und /etc/group eine zusätzliche Zeile enthalten. Hierbei handelt es sich um die Zeile +::::::/sbin/nologin in /etc/passwd und +::: in /etc/group.

25.5.2. Konfiguration des LDAP-Client

Nachdem YaST die ersten Anpassungen von nss_ldap, pam_ldap, /etc/passwd und /etc/group vorgenommen hat, können Sie einfach eine Verbindung zwischen dem Client und dem Server herstellen und die Benutzerverwaltung von YaST über LDAP ausführen lassen. Das grundlegende Setup wird in Abschnitt 25.5.2.1, „Grundlegende Konfiguration“ beschrieben.

Verwenden Sie für die weitere Konfiguration der YaST-Gruppe und der Benutzerkonfigurationsmodule den YaST LDAP-Client. Dies beinhaltet die Änderung der Standardeinstellungen für neue Benutzer und Gruppen und der Anzahl und Art von Attributen, die einem Benutzer bzw. einer Gruppe zugewiesen sind. Mit der LDAP-Benutzerverwaltung können Sie Benutzern und Gruppen mehrere und verschiedene Attribute zuweisen als bei herkömmlichen Lösungen zur Gruppen- oder Benutzerverwaltung. Dies wird ausführlich in Abschnitt 25.5.2.2, „Konfigurieren des YaST-Moduls zur Benutzer- und Gruppenverwaltung“ beschrieben.

25.5.2.1. Grundlegende Konfiguration

Das Dialogfeld für die grundlegende Konfiguration des LDAP-Client (Abbildung 25.2, „YaST: Konfiguration des LDAP-Client“) wird während der Installation geöffnet, wenn Sie die LDAP-Benutzerverwaltung oder Netzwerkdienste+LDAP-Client im YaST-Kontrollzentrum des installierten Systems auswählen.

Abbildung 25.2. YaST: Konfiguration des LDAP-Client

YaST: Konfiguration des LDAP-Client

Gehen Sie wie folgt vor, um die Benutzer Ihres Computers bei einem OpenLDAP-Server zu authentifizieren und die Benutzerverwaltung über OpenLDAP zu aktivieren:

  1. Klicken Sie zum Aktivieren von LDAP auf LDAP verwenden. Wählen Sie LDAP verwenden, jedoch Anmeldungen deaktivieren aus, wenn LDAP für die Authentifizierung verwendet werden soll, Sie jedoch verhindern möchten, dass sich Benutzer bei diesem Client anmelden.

  2. Geben Sie die IP-Adresse des zu verwendenden LDAP-Servers ein.

  3. Geben Sie den LDAP Base DN ein, um die Suchbasis auf dem LDAP-Server auszuwählen.

    Wenn Sie den „Base DN“ automatisch abrufen möchten, klicken Sie auf DN holen. YaST prüft dann, ob eine oder mehrere LDAP-Datenbanken an der oben angegebenen Serveradresse vorhanden sind. Wählen Sie den geeigneten „Base DN“ aus den Suchergebnissen, die YaST liefert.

  4. Wenn eine durch TLS oder SSL geschützte Kommunikation mit dem Server erforderlich ist, wählen Sie LDAP TLS/SSL.

  5. Falls auf dem LDAP-Server noch LDAPv2 verwendet wird, muss die Verwendung dieser Protokollversion durch Auswahl von LDAP Version 2 ausdrücklich aktiviert werden.

  6. Wählen Sie Automounter starten aus, um die entfernten Verzeichnisse, wie beispielsweise ein entfernt verwaltetes /home-Verzeichnis auf dem Client einzuhängen.

  7. Klicken Sie zum Anwenden der Einstellungen auf Beenden.

Abbildung 25.3. YaST: Erweiterte Konfiguration

YaST: Erweiterte Konfiguration

Wenn Sie als Administrator Daten auf einem Server ändern möchten, klicken Sie auf Erweiterte Konfiguration. Das folgende Dialogfeld verfügt über zwei Registerkarten. Siehe Abbildung 25.3, „YaST: Erweiterte Konfiguration“:

  1. Passen Sie auf der Registerkarte Client-Einstellungen die folgenden Einstellungen je nach Bedarf an:

    1. Wenn sich die Suchbasis für Benutzer, Passwörter und Gruppen von der im LDAP Base DN angegebenen globalen Suchbasis unterscheidet, geben Sie diese anderen Benennungskontexte unter Benutzerzuordnung, Passwortzuordnung und Gruppenzuordnung ein.

    2. Geben Sie das Passwortänderungsprotokoll an. Die Standardmethode, die bei Passwortänderungen verwendet wird, lautet crypt. Dies bedeutet, dass mit crypt erstellte Passwort-Hashes verwendet werden. Detaillierte Informationen zu dieser und anderen Optionen finden Sie auf der Manualpage pam_ldap.

    3. Geben Sie die LDAP-Gruppe an, die mit Attribut für Gruppenmitglied verwendet werden soll. Der Standardwert ist member.

  2. Passen Sie unter Verwaltungseinstellungen folgende Einstellungen an:

    1. Legen Sie die Basis zum Speichern der Benutzerverwaltungsdaten mit Konfigurations-Base DN fest.

    2. Geben Sie die entsprechenden Werte für Administrator-DN ein. Dieser DN muss dem in /etc/openldap/slapd.conf angegebenen Wert für rootdn entsprechen, damit dieser spezielle Benutzer die auf einem LDAP-Server gespeicherten Daten bearbeiten kann. Geben Sie den vollen DN ein (z. B. cn=admin,dc=suse,dc=de) oder aktivieren Sie Basis-DN anhängen, damit der Basis-DN automatisch angehängt wird, wenn Sie cn=admin eingeben.

    3. Aktivieren Sie die Option Standardkonfigurationsobjekte erzeugen, um die Standardkonfigurationsobjekte auf dem Server zu erstellen und so die Benutzerverwaltung über LDAP zu ermöglichen.

    4. Wenn der Client-Computer als Dateiserver für die Home-Verzeichnisse in Ihrem Netzwerk fungieren soll, aktivieren Sie Home-Verzeichnisse auf diesem Computer.

    5. Klicken Sie zum Verlassen der Erweiterten Konfiguration auf Übernehmen und anschließend zum Zuweisen der Einstellungen auf Beenden.

Mit Einstellungen für die Benutzerverwaltung konfigurieren bearbeiten Sie Einträge auf dem LDAP-Server. Der Zugriff auf die Konfigurationsmodule auf dem Server wird anschließend entsprechend den auf dem Server gespeicherten ACLs und ACIs gewährt. Befolgen Sie die in Abschnitt 25.5.2.2, „Konfigurieren des YaST-Moduls zur Benutzer- und Gruppenverwaltung“ beschriebenen Schritte.

25.5.2.2. Konfigurieren des YaST-Moduls zur Benutzer- und Gruppenverwaltung

Verwenden Sie den YaST LDAP-Client, um die YaST-Module für die Benutzer- und Gruppenverwaltung anzupassen und sie nach Bedarf zu erweitern. Definieren Sie die Vorlagen mit Standardwerten für die einzelnen Attribute, um die Datenregistrierung zu vereinfachen. Die hier vorgenommenen Voreinstellungen werden als LDAP-Objekte im LDAP-Verzeichnis gespeichert. Die Registrierung von Benutzerdaten erfolgt weiterhin über reguläre YaST-Module für die Benutzer- und Gruppenverwaltung. Die registrierten Daten werden als LDAP-Objekte auf dem Server gespeichert.

Abbildung 25.4. YaST: Modulkonfiguration

YaST: Modulkonfiguration

Im Dialogfeld für die Modulkonfiguration (Abbildung 25.4, „YaST: Modulkonfiguration“) können Sie neue Module erstellen, vorhandene Konfigurationsmodule auswählen und ändern sowie Vorlagen für solche Module entwerfen und ändern.

Zum Erstellen eines neuen Konfigurationsmoduls gehen Sie wie folgt vor:

  1. Klicken Sie auf Neu und wählen Sie den gewünschten Modultyp aus. Wählen Sie für ein Benutzerkonfigurationsmodul suseuserconfiguration und für eine Gruppenkonfiguration susegroupconfiguration aus.

  2. Legen Sie einen Namen für die neue Vorlage fest.

    In der Inhaltsansicht wird dann eine Tabelle mit allen in diesem Modul zulässigen Attributen und den entsprechenden zugewiesenen Werten angezeigt. Neben allen festgelegten Attributen enthält die Liste auch alle anderen im aktuellen Schema zulässigen jedoch momentan nicht verwendeten Attribute.

  3. Akzeptieren Sie die voreingestellten Werte oder passen Sie die Standardwerte an, die in der Gruppen- und Benutzerkonfiguration verwendet werden sollen, indem Sie Bearbeiten wählen und den neuen Wert eingeben. Ein Modul können Sie umbenennen, indem Sie einfach das Attribut cn des Moduls ändern. Durch Klicken auf Löschen wird das ausgewählte Modul gelöscht.

  4. Mit OK fügen Sie das neue Modul dem Auswahlmenü hinzu.

Mit den YaST-Modulen für die Gruppen- und Benutzerverwaltung werden Vorlagen mit sinnvollen Standardwerten eingebettet. Zum Bearbeiten einer Vorlage für ein Konfigurationsmodul führen Sie folgende Schritte aus:

  1. Klicken Sie im Dialogfeld Konfiguration von Modulen auf Vorlage konfigurieren.

  2. Legen Sie die Werte der allgemeinen dieser Vorlage zugewiesenen Attribute gemäß Ihren Anforderungen fest oder lassen Sie einige nicht benötigte Attribute leer. Leere Attribute werden auf dem LDAP-Server gelöscht.

  3. Ändern, löschen oder fügen Sie neue Standardwerte für neue Objekte hinzu (Benutzer- oder Gruppenkonfigurationsobjekte im LDAP-Baum).

Abbildung 25.5. YaST: Konfiguration einer Objektvorlage

YaST: Konfiguration einer Objektvorlage

Verbinden Sie die Vorlage mit dem entsprechenden Modul, indem Sie den Wert des Attributs susedefaulttemplate für das Modul auf den DN der angepassten Vorlage setzen.

[Tip]Tipp

Die Standardwerte für ein Attribut können anhand von anderen Attributen mithilfe einer Variablen anstelle eines absoluten Werts erstellt werden. Wenn Sie beispielsweise einen neuen Benutzer erstellen, wird cn=%sn %givenName automatisch anhand der Attributwerte für sn und givenName erstellt.

Nachdem alle Module und Vorlage richtig konfiguriert wurden und zum Ausführen bereit sind, können neue Gruppen und Benutzer wie gewohnt mit YaST registriert werden.