Debian LDAP-Client
Allgemein
Hier wird die clientseitige Einrichtung für LDAP beschrieben. Nachdem PAM (Plugabble Authentication Module) zum Einsatz kommt, wird LDAP nicht nur zur Anmeldung am Linuxsystem (lokal bzw. Telnet/SSH remote) verwendet, sondern auch für sämtliche Serverdienste, die PAM verwenden können (z.B. FTP, Postfix und Cyrus, usw.).
Installation
apt-get install libnss-ldapd libpam-ldapd
Folgende Fragen beantworten:
- LDAP Server URI: ldap://IP_DES_LDAP_SERVER (LDAP SSL) (ldapi:// nur verwenden, wenn Client und Server auf dem selben System laufen, da ldapi nur lokal via Unix-Socket und nicht via Netzwerk funktioniert)
- LDAP server search base: LDAP_BASE z.B. dc=test,dc=lan
Funktionstest Client
Voraussetzung:
- User (LDAP_USER) im LDAP-Server angelegt.
- Der User sollte nicht lokal angelegt sein, da ansonsten die Informationen aus /etc/passwd und /etc/groups ausgegeben werden.
Der Daemon nscd, der Login- und Userinformationen cached sollte während der funktionschecks deaktiviert werden, um sicherzustellen, dass tatsächlich die Anfragen an den LDAP-Server gerichtet und von dort beantwortet werden.
/etc/init.d/nscd stop
id ldap_user
Es sollten Infos wie UserID, GroupID und Gruppenzugehörigkeit zum User ausgegeben werden. Falls der User im LDAP Directory nicht existiert bzw. Konfigurationsfehler im LDAP-Server bzw. Client vorliegen, wird "No such user" ausgegeben
Wenn der User Loginberechtigt ist, dann via ssh mit Usernamen und Passwort versuchen sich einzuloggen. Falls alles korrekt funktioniert, sollte der Login möglich sein.
Waren die Funktionschecks erfolgreich empfiehlt es sich den Cache Daemon nscd wieder zu starten, um den LDAP-Server von Anfragen zu entlasten.
/etc/init.d/nscd start
Funktionstest wiederholen, um sicherzustellen, dass auch der nscd Daemon korrekt arbeitet.
Optional: SSL-Verschlüsselung
Um die Client-Anfragen auf SSL umzustellen, folgendermaßen vorgehen:
CA Root Zertifikat (cacert.pem) auf dem Client ablegen z.B. im Verzeichnis /etc/ssl/certs oder /etc/ssl/CA/ oder /etc/ldap/ssl/ (CACERT_DIR).
Zugriffsrechte anpassen:
chmod 751 CACERT_DIR chmod 644 CACERT_DIR/cacert.pem
vi /etc/ldap/ldap.conf
Folgende Änderungen durchführen:
URI ldaps://IP_DES_SERVER BASE LDAP_Base z.B. dc=test,dc=lan TLS_CACERT CACERT_DIR/cacert.pem TLS_REQCERT demand
vi /etc/nslcd.conf
Die URI abändern:
uri ldaps://IP_DES_SERVER
Folgende Änderungen durchführen:
tls_reqcert demand tls_cacertfile CACERT_DIR/cacert.pem
NSLCD Daemon neustarten, um die Änderungen zu übernehmen.
Funktionstest siehe Funktionstest Client