Debian LDAP-Client

Aus Wiki
Zur Navigation springen Zur Suche springen

Allgemein

Hier wird die clientseitige Einrichtung für LDAP beschrieben. Nachdem PAM (Plugabble Authentication Module) zum Einsatz kommt, wird LDAP nicht nur zur Anmeldung am Linuxsystem (lokal bzw. Telnet/SSH remote) verwendet, sondern auch für sämtliche Serverdienste, die PAM verwenden können (z.B. FTP, Postfix und Cyrus, usw.).


Installation

apt-get install libnss-ldap libpam-ldapd

Folgende Fragen beantworten:

  • LDAP Server URI: ldap://IP_DES_LDAP_SERVER (LDAP SSL) (ldapi:// nur verwenden, wenn Client und Server auf dem selben System laufen, da ldapi nur lokal via Unix-Socket und nicht via Netzwerk funktioniert)
  • LDAP server search base: LDAP_BASE z.B. dc=test,dc=lan


Funktionstest Client

Voraussetzung:

  • User (LDAP_USER) im LDAP-Server angelegt.
  • Der User sollte nicht lokal angelegt sein, da ansonsten die Informationen aus /etc/passwd und /etc/groups ausgegeben werden.

Der Daemon nscd, der Login- und Userinformationen cached sollte während der funktionschecks deaktiviert werden, um sicherzustellen, dass tatsächlich die Anfragen an den LDAP-Server gerichtet und von dort beantwortet werden.

/etc/init.d/nscd stop
id ldap_user

Es sollten Infos wie UserID, GroupID und Gruppenzugehörigkeit zum User ausgegeben werden. Falls der User im LDAP Directory nicht existiert bzw. Konfigurationsfehler im LDAP-Server bzw. Client vorliegen, wird "No such user" ausgegeben


Wenn der User Loginberechtigt ist, dann via ssh mit Usernamen und Passwort versuchen sich einzuloggen. Falls alles korrekt funktioniert, sollte der Login möglich sein.

Waren die Funktionschecks erfolgreich empfiehlt es sich den Cache Daemon nscd wieder zu starten, um den LDAP-Server von Anfragen zu entlasten.

/etc/init.d/nscd start

Funktionstest wiederholen, um sicherzustellen, dass auch der nscd Daemon korrekt arbeitet.


Optional: SSL-Verschlüsselung

Um die Client-Anfragen auf SSL umzustellen, folgendermaßen vorgehen:

CA Root Zertifikat (cacert.pem) auf dem Client ablegen z.B. im Verzeichnis /etc/ssl/certs oder /etc/ssl/CA/ oder /etc/ldap/ssl/ (CACERT_DIR).

Zugriffsrechte anpassen:

chmod 751 CACERT_DIR
chmod 644 CACERT_DIR/cacert.pem
vi /etc/ldap/ldap.conf

Folgende Änderungen durchführen:

URI  ldaps://IP_DES_SERVER 
BASE LDAP_Base  z.B. dc=test,dc=lan
TLS_CACERT CACERT_DIR/cacert.pem
TLS_REQCERT demand
vi /etc/nslcd.conf

Die URI abändern:

uri ldaps://IP_DES_SERVER

Folgende Änderungen durchführen:

tls_reqcert demand
tls_cacertfile CACERT_DIR/cacert.pem

NSLCD Daemon neustarten, um die Änderungen zu übernehmen.

Funktionstest siehe Funktionstest Client