PAM-LDAP

Innen: KIFÜ Wiki
A lap korábbi változatát látod, amilyen Bajnokk(AT)niif.hu (vitalap | szerkesztései) 2007. június 14., 16:01-kor történt szerkesztése után volt. (PAM konfiguráció)

Ez a leírás Debian 4.0 (Etch) operációs rendszerhez készült. A példa konfigurációs állományok bitről bitre másolása más rendszerekre nem biztos, hogy jó ötlet, de a koncepció azért kinyerhető. Néhány eltérést igyekeztem jelölni.

Beállítások az LDAP szerveren

Schema

A legtöbb modern szerver támogatja a posixAccount objektumosztályt out-of-box. Ha még a shadow paramétereket is szeretnénk használni (jelszó lejárat, erősség stb), akkor a shadowAccount objektumosztályra is szükségünk lesz.

Az alábbi attribútumok mindenképpen ki kell, hogy legyenek töltve:

  • uid
  • uidNumber
  • gidNumber
  • homeDirectory
  • cn

Megjegyzések

  • Érdemes meggondolni, hogy milyen értékeket használunk uidNumber,gidNumber, loginShell, homeDirectory stb attribútumokban, ugyanis - ha több gépet akarunk LDAP beléptetésbe integrálni - némi gondot okozhat, hogy ezeknek bizony minden rendszerben meg kell egyezniük. Első (sziszifuszi) munka tehát a gépeket olyan állapotba hozni, hogy ezek az értékek mindenhol egyformák legyenek. (BSD-n természetesen /usr/local/bin/bash van.)

Jogosultságok, ACI

Általában nem szeretjük, ha a felhasználóink minden attribútumát mindenhonnan olvasni lehet, ezért aztán a PAM/NSS-LDAP számára létre kell hozni egy alkalmazás bejegyzést valami alkalmas helyen az LDAP fában. Például így:

dn: uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu
objectClass: top
objectClass: account
objectClass: simplesecurityobject
uid: papigw
userPassword: *****

Ezek után a felhasználóinkat tartalmazó ágra létre kell hozni egy jó kis ACI-t, pl. így:

aci: (targetattr = "objectClass || uid || uidNumber || gidNumber || homeDirect
 ory || loginShell || gecos || shadowExpire || shadowFlag || shadowInactive ||
  shadowLastChange || shadowMax || shadowMin || shadowWarning") (version 3.0;a
 cl "PAM/NSS user lookup";allow (read,search)(userdn = "ldap:///uid=*,ou=pam,o
 u=applications,o=niifi,o=niif,c=hu");)

Beállítások a Host gépen

Szükséges csomagok

  • libnss-ldap
  • libpam-ldap
  • nscd

és függőségeik. Az nscd használata éles üzemben majdhogynem elkerülhetetlen (hiszen különben az ls -l, ps -ef stb. parancsok minden egyes sor kiírásához LDAP lekérdezést indítanának). Próbálkozás közben viszont érdemes kikapcsolni, különben lehet, hogy a cache-elt válasz zavaró lesz.

SSL konfiguráció

LDAP kliens konfigurálása SSL használatához

PAM/NSS-LDAP konfiguráció

A konfigurációs fájl helye disztribúciófüggő.

  • /etc/ldap.conf (RHEL)
  • /usr/local/etc/ldap.conf (FreeBSD)
  • /etc/pam-ldap.conf, libnss-ldap.conf (Debian)
Semmi ok sincs arra, hogy ez a két állomány eltérjen, ezért érdemes az egyiket törölni és a másikra szimbolikus linket használni.
base ou=users,o=niifi,o=niif,c=hu
uri ldaps://directory.iif.hu
ldap_version 3
binddn uid=papigw,ou=pam,ou=applications,o=niifi,o=niif,c=hu
bindpw ******
scope one
pam_password clear
nss_base_group          ou=posix,ou=groups,o=niifi,o=niif,c=hu?one

NSS konfiguráció

/etc/nsswitch.conf:

passwd:         files ldap
group:          files ldap
shadow:         files ldap

PAM konfiguráció

A /etc/pam.d alatti dolgokat kell módosítani. Ha bátrak vagyunk, dolgozhatunk a common-auth, common-account file-okon is, vagy (óvatosabban) az egyes szolgáltatásokhoz tartozó PAM beállításokon. Működő konfig:

auth       sufficient   pam_unix.so nullok_secure
auth       sufficient   pam_ldap.so use_first_pass debug
auth       required     pam_deny.so
account    sufficient  pam_unix.so
account    sufficient  pam_ldap.so