2013-11-14 11:45:22 +00:00
\subsection { LDAP}
2013-11-18 15:33:46 +00:00
\label { sub:ldap}
2013-11-14 11:45:22 +00:00
\begin { sloppypar}
2014-04-03 09:37:41 +00:00
Wir haben uns für den OpenLDAP-Server entschieden. Dazu haben wir als
Basis-\emph { DN} (Distinguished Name):
2013-11-14 11:45:22 +00:00
\begin { center}
2014-03-20 07:41:07 +00:00
\emph { dc=zotac,dc=lctp}
2013-11-14 11:45:22 +00:00
\end { center} festgelegt.
Die Benutzer legten wir unter
\begin { center}
2014-03-20 07:41:07 +00:00
\emph { dn: ou=users,dc=zotac,dc=lctp} ,
2013-11-14 11:45:22 +00:00
\end { center}
die Gruppen unter
\begin { center}
2014-03-20 07:41:07 +00:00
\emph { dn: ou=groups,dc=zotac,dc=lctp}
2013-11-14 11:45:22 +00:00
\end { center}
2014-04-03 09:37:41 +00:00
ab. Für den Import dieser \emph { DN} s haben wir eine Datei
2014-03-20 07:41:07 +00:00
\emph { /etc/openldap/base.ldif} (siehe \emph { aufgabe3.5/base.ldif} ) erstellt. An
2014-04-03 09:37:41 +00:00
verfügbaren Schemata haben wir \emph { core, cosine, inetorgperson, nis}
2014-03-20 07:41:07 +00:00
eingestellt (siehe \emph { aufgabe3.5/slapd.conf} ).
2013-11-14 11:45:22 +00:00
\end { sloppypar}
\subsubsection { Absicherung und Zugriff}
2014-03-20 07:41:07 +00:00
Wir haben die Zugriffsrechte so konfiguriert, dass jeder Benutzer sein eigenes
2014-04-03 09:37:41 +00:00
Passwort ändern, aber niemand das Passwort auslesen darf. Dieses wird nur für
zur Authentifizierung abgerufen werden. Alle anderen Attribute dürfen von allen
2014-03-20 07:41:07 +00:00
Users gelesen werden. (siehe \emph { aufgabe3.5/slapd.conf} )
2013-11-14 11:45:22 +00:00
2014-04-03 09:37:41 +00:00
Um auf den Verzeichnisdienst zugreifen zu können, haben wir eine Datei
2014-03-20 07:41:07 +00:00
\emph { /etc/ldap.secret} mit dem Passwort für den Administrator-Account in LDAP
2014-04-03 09:37:41 +00:00
angelegt, die nur durch \emph { root} -Benutzer zugreifbar ist
(Verzeichnisberechtigung $ 600 _ 8 $ ).
2013-11-14 11:45:22 +00:00
2014-04-05 15:35:12 +00:00
\subsubsection { Client-Konfiguration (Head-Node und Compute-Node)}
2013-11-14 11:45:22 +00:00
\begin { sloppypar}
2014-03-20 07:41:07 +00:00
Hierfür haben wir die Variablen \emph { BASE, URI, TIMEOUT, NETWORK\_ TIMEOUT} in
\emph { /etc/openldap/ldap.conf} entsprechend konfiguriert (siehe \emph { aufgabe3.5/ldap.conf} ).
2013-11-14 11:45:22 +00:00
\end { sloppypar}
\paragraph { nsswitch}
2014-03-20 07:41:07 +00:00
Damit die Standard-Unix-Dienste auf die Benutzer aus LDAP zurückgreifen können,
haben wir \emph { /etc/nss\_ ldap.conf} entsprechend konfiguriert (siehe
\emph { aufgabe3.5/nss\_ ldap.conf} ), sowie in \emph { /etc/nsswitch.conf} unter
\emph { files, shadow, group} jeweils noch \emph { ldap} hinzugefügt (siehe \emph { aufgabe3.5/nsswitch.conf} ).
2013-11-14 11:45:22 +00:00
2014-03-20 07:41:07 +00:00
Dabei mussten wir darauf achten, dass in der \emph { nss\_ ldap.conf} die
Bind-Policy auf \emph { soft} gesetzt wird, da es andernfalls beim Boot zu einer Race-Condition kommen kann, wenn der LDAP-Server noch nicht gestartet ist und das System dennoch versucht, über LDAP User-Daten abzufragen.
2013-11-14 11:45:22 +00:00
\paragraph { PAM}
2014-03-20 07:41:07 +00:00
Um die PAM-Authentifizierung nutzen zu können, haben wir unter \emph { /etc/pam.d}
folgende Dateien geändert (siehe Dateien in \emph { aufgabe3.5/pam.d} ):
2013-11-14 11:45:22 +00:00
\begin { itemize}
2014-03-20 07:41:07 +00:00
\item \emph { system-auth} :
2013-11-14 11:45:22 +00:00
\begin { lstlisting}
auth sufficient pam_ ldap.so
session required pam_ exec.so /usr/local/bin/first-login
\end { lstlisting}
2014-03-20 07:41:07 +00:00
\item \emph { sudo} und \emph { su} :
2013-11-14 11:45:22 +00:00
\begin { lstlisting}
auth sufficient pam_ ldap.so
\end { lstlisting}
2014-03-20 07:41:07 +00:00
\item \emph { passwd} :
2013-11-14 11:45:22 +00:00
\begin { lstlisting}
password sufficient pam_ ldap.so
\end { lstlisting}
\end { itemize}
\begin { sloppypar}
2014-03-20 07:41:07 +00:00
Damit ist sichergestellt, dass sich die LDAP-Benutzter authentifizieren können,
sowie \emph { sudo} und \emph { su} benutzen und ihr Passwort mit \emph { passwd} ändern können.
2013-11-14 11:45:22 +00:00
2014-03-20 07:41:07 +00:00
Durch die Zeile mit \emph { pam\_ exec.so} wird bei jedem Login das Script
\emph { first-login} (siehe \emph { aufgabe3.5/first-login} ) ausgeführt; das ist faktisch das Script aus Aufgabe 2.3, nur angepasst für die Einbindung in PAM. Dieses wird generell nur ausgeführt, wenn das Home-Verzeichnis des Nutzers noch nicht existiert.
2013-11-14 11:45:22 +00:00
2014-03-20 07:41:07 +00:00
Das Script erstellt das Home-Verzeichnis des Nutzers, ändert den Besitzer und
die Gruppe des Verzeichnisses entsprechend, erzeugt ein Public-Private-Key-Paar
für SSH, kopiert eine Beispiel-SSH-Konfiguration in sein Home-Verzeichnis und
trägt den eigenen Public-Key in die \emph { authorized\_ keys} ein, so dass der Benutzer sich fortan auf allen Nodes einloggen kann.
2013-11-14 11:45:22 +00:00
\end { sloppypar}
\paragraph { Anlegen und Löschen von Benutzern}
2014-03-20 07:41:07 +00:00
Zum Anlegen und Löschen von Benutzern aus einer Text-Datei (wie in der Aufgabe
2014-04-03 09:37:41 +00:00
gefordert) haben wir die Scripte \emph { ldap-users2ldif} (gibt auf der
Standardausgabe die Daten im LDIF-Format aus anhand der Text-Datei),
\emph { ldap-add-ldif} (fügt die im LDIF-Format vorliegenden
Benutzerbeschreibungen zur LDAP-Datenbank hinzu) und \emph { ldap-delete-users}
(löscht die in einer Text-Datei aufgelisteten Benutzer aus der LDAP-Datenbank)
geschrieben (siehe Dateien in \emph { aufgabe3.5/ldap-tools} ).
2013-11-26 10:31:01 +00:00
2014-04-03 09:37:41 +00:00
Vorgehen um Systembenutzer zu erstellen, welche sich zeilenweise in einer Datei
befinden (in diesem Beispiel heißt die Datei \emph { user.txt} ):
2013-11-26 10:31:01 +00:00
\begin { itemize}
2014-03-20 07:41:07 +00:00
\item \emph { sudo ldap-users2ldif user.txt > user.txt.ldif} \\
2014-04-03 09:37:41 +00:00
\begin { itemize}
\item erstellt eine \emph { .ldif} -Datei
\item erstellt außerdem \emph { user.txt.passwords} , die die Benutzernamen und Passwörter zeilenweise enthält
\item die Benutzernamen werden escaped (nur Kleinbuchstaben, Zahlen und »\_ «, invalide Zeichen durch »\_ « ersetzt, »\_ « am Anfang und am Ende gestript)
\item Passwörter werden zufällig erzeugt (mindestens jeweils ein Großbuchstabe, Kleinbuchstabe, Sonderzeichen und mindestens eine Zahl, zwischen 10 und 16 Zeichen lang)
\item bereits existierende Benutzer oder doppelt vorkommende Nutzer werden mit einer Warnmeldung quittiert und ignoriert
\end { itemize}
2013-11-26 10:31:01 +00:00
2014-03-20 07:41:07 +00:00
\item \emph { sudo ldap-add-ldif user.txt.ldif} \\
2014-04-03 09:37:41 +00:00
\begin { itemize}
\item fügt die \emph { .ldif} -Datei zu LDAP hinzu
\end { itemize}
2013-11-26 10:31:01 +00:00
2014-03-20 07:41:07 +00:00
\item \emph { sudo ldap-delete-users user.txt.passwords} \\
2014-04-03 09:37:41 +00:00
\begin { itemize}
\item löscht die in der erzeugten Datei \emph { user.txt.passwords} zeilenweise aufgelisteten Benutzer und entfernt ihr Home-Verzeichnis (diese Datei ist notwendig, weil die Benutzernamen unter Umständen escaped wurden)
\end { itemize}
2014-03-20 07:41:07 +00:00
\end { itemize}