Linux/Unix Authentifizierung und Benutzerzugang pro Server

german

#1

Hallo,

ich habe UCS2.2 im Einsatz und ich würde gerne Unix (AIX/Solaris/Linux) Benutzer gegen UCS-LDAP/Kerberos authentifizieren. Pro Server müssen aber nur einigen Benutzer aktiv sein, d.H. nicht alle Benutzer dürfen auf alle Server zugreifen.

Wie kann man so was in UCS/LDAP modellieren? Ich würde natürlich diese Infos (welche Users sind für einen bestimmten Server freigeschaltet) auch in LDAP haben, und nicht lokal auf jedem Server.

Vielen Dank,
Bogdan


#2

Hallo,

soll die Authentifikation gegen das LDAP erfolgen, kann das gewünschte Verhalten z.B. über Gruppenzugehörigkeiten, Spezielle Attribute an den Benutzer-Objekten oder über zusätzliche Container (welche dann als LDAP-Suchbasis auf den externen Systemen konfiguriert werden können) hergestellt werden

Mit freundlichen Grüßen
Janis Meybohm


#3

Hallo,

gibt es irgendwelche Beispiele für solche Konfigurationen?

Gibt es Standard Tools (oder Verfahren in der Univention Console) mit den nur bestimmten Benutzer-Gruppen für einen Server freigeschaltet werden können?

Wie können zusätzliche Containers angelegt werden, und was passiert mit den Benutzer, die auf mehreren Server zugreifen müssen? Müssen sie in jedem Container angelegt werden?

Vielen Dank für die Hilfe,
Bogdan Taru


#4

Hallo,

ein Beispiel für eine solche Konfiguration existiert momentan nicht, da Anforderung und Umsetzung in den unterschiedlichen Umgebungen vermutlich zu stark variieren. Aus diesem Grund gibt es auch keine allgemein gültigen Programme um Benutzer für den Zugriff auf externe Server freizuschalten.
Grundlegende Informationen zur Anbindung externer Systeme finden Sie im Dokument “Linux/Unix Systeme”, das Sie unter univention.de/doku_admin.html beziehen können.

LDAP-Container können über die Navigation im Univention Directory Manager angelegt werden, näheres dazu ist im aktuellen UCS Handbuch unter “Navigation / LDAP-Browser” zu finden.
Das Anlegen mehrerer gleichnamiger Benutzer in verschiedenen Containern ist standardmäßig nicht möglich. Um den Benutzerzugriff auf mehrere externe Server zu steuern, sind u.U. Benutzerdefinierte Attribute im Univention Directory Manager, sowie ein entsprechender LDAP-Suchfilter auf den externen Systemen, die beste alternative. Nähere Informationen zum anlegen und pflegen Benutzerdefinierter Attribute finden Sie im aktuellen UCS Handbuch im gleichnamigen Kapitel sowie in dem folgenden Artikel unserer Supportdatenbank:
sdb.univention.de/content/3/38/d … ibuts.html?

Mit freundlichen Grüßen
Janis Meybohm


#5

Hallo,

ich habe folgendes versucht:

  • Eine Gruppe “testgroup” angelegt:
    dn: cn=testgroup,cn=groups,dc=univention,dc=test
    sambaGroupType: 2
    cn: testgroup
    objectClass: top
    objectClass: posixGroup
    objectClass: univentionGroup
    objectClass: sambaGroupMapping
    gidNumber: 5014
    sambaSID: S-1-5-21-2372661250-4045106160-2216705257-11029
    description: Users on testgroup

  • Einen Benutzer “test1” angelegt und die “testgroup” als zusätzliche Gruppe für diesen Benutzer Eingetragen:

$ id -a test1
uid=2007(test1) gid=5001(Domain Users) groups=5001(Domain Users),5014(testgroup)

Wir wollen folgendes erreichen: nur die Benutzer, die zu dieser Gruppe gehören (z.B. “test1”):

  • dürfen sich an diesen Server anmelden
  • werden in dem Output von “getent passwd” angezeigt

Scheint dass der Konfigurations-Parameter “nss_base_passwd” in /etc/ldap.conf ist was wir brauchen, wie sollten wir aber diesen Parameter setzen?

Wir haben es auch versucht, den Parameter “pam_groupdn” in /etc/ldap.conf zu setzen, die Benutzer werden aber weiterhin in dem Output von “getent passwd” angezeigt, nur die Authentifizierung schlägt fehl.

Viele Grüße,
Bogdan Taru


#6

Hallo,

vermutlich ist das von Ihnen gewünschte Ziel am einfachsten über Custom-Attributes zu lösen, da diese z.B. in der libnss_ldap.conf über einen LDAP-Suchfilter abgefragt werden können.
Ein vollständiges Konfigurationsbeispiel können wir aufgrund der unterschiedlichen Anforderungen jedoch nicht geben.

Mit freundlichen Grüßen
Janis Meybohm