ubuntuusers.de

LDAP Authentication für Linux und Windows

Status: Ungelöst | Ubuntu-Version: Ubuntu 7.10 (Gutsy Gibbon)
Antworten |

Rabenschwinge

Anmeldungsdatum:
22. Dezember 2007

Beiträge: 133

Wohnort: Düsseldorf

Hallo,

ich suche nach Mitteln und Wegen, auf einem Linux Server eine Authentifikation und Fileserver für alle Rechner im lokalen Netz einzurichten. Nun ist mir bekannt, dass man sowas normalerweise mit Samba und LDAP macht, die Frage ist nur wie. Wenn ich im Internet suche finde ich alle möglichen HOWTOs die alle nicht so ganz das gleiche erählen; mein Problem ist momentan nicht der Mangel an Dokumentation, sondern die Überfülle daran.

Was ich idealerweise will ist folgendes:

  • Der Server soll die Bentutzer an allen Workstations authentifizieren können.

  • Soll den Benutzern ein Heim/Eigene Dateien Verzeichnis zuordnen, das dann auch als /home/user bzw. Eigene Dateien gemountet wird. Und zwar bevor etwa /etc/.bashrc ausgeführt wird.

  • Insbesondere für Windows sollen Benutzereinstellungen, der Desktop etc. gespeichert werden. (Für Linux sind die ja schon im Home Verzeichnis vorhanden)

  • Wenn möglich mit einem Backupsystem zusammenarbeiten können, dass einmal am Tag die Daten abgleicht (und de facto eine der Linux Workstations sein wird).

  • Eine Kleinigkeit die mich immer schon ärgert: Dateien die mit einem Punkt beginnen auch für Windows als versteckte Dateien markiert, damit man in seinem Verzeichnis auch noch was findet.

Wobei ich ggf. versuchen werde die Sachen in der Reihenfolge zu realisieren, nur das ich wahrscheinlich alles im Auge behalten muss.
Auf den Workstations läuft Windows XP Professional, Ubuntu Gutsy und Debian Etch. Auf dem Server werde ich wahrscheinlich Ubuntu Gutsy installieren.

Weiß jemand wie man da am besten forgeht? Ich habe Artikel gefunden wie man zum Beispiel eine Kerberos 5 Authentifikation mit einem Samba Server einrichtet. Nur steht da nicht was Kerberos 5 ist, ob Windows das auch versteht und wenn ja ab welcher Version, ob das die einfachste , naheliegenste und sicherste Variante mit genannten Clients ist, wie man Benutzer anlegt, verwaltet und löscht...

Also, was ist die aktuell angebrachteste Methode für sowas und wieso? Wenn ich erst mal durchblicke was es überhaupt gibt und worin die unterschiede bestehen finde ich schon raus, wie man es macht.

hendy

Anmeldungsdatum:
15. September 2007

Beiträge: 61

Hallo Rabenschwinge,

ich arbeite seit einiger Zeit nebenher an einer ähnlichen Aufgabenstellung. Die Authentifizierung der Benutzer und die Heimverzeichnisse funktionieren bisher allerdings nur unter Linux; für die Windows-Seite hatte ich noch nicht viel Zeit. Dafür arbeiten aber schon Mail-Abruf (POP3, IMAP) und Web-Groupware mit dem Authentifizierungsserver zusammen.

Bei mir läuft das ganze bisher mit OpenLDAP und NFS (autofs); für die Windows-Seite ist ein Samba eingerichtet, der ebenfalls auf die Benutzerdaten im LDAP zurückgreift. In groben Zügen bin ich folgendermaßen vorgegangen:

  • Einrichten von OpenLDAP mit Benutzerdaten. Interessant sind hier sicherlich die Schemata posixAccount und sambaSamAccount.

  • Umstellung von PAM auf LDAP-Zugriff: LDAP Client Authentifizierung. Dies habe ich sowohl auf dem Server als auch auf den Clients gemacht.

  • Exportieren von /home per NFS.

  • Auf den Clients Import des jeweils benötigten Verzeichnisses per Automounter. Diese werden zu dem Zeitpunkt gemountet, wo sie benötigt werden, also zum Beispiel bei der Suche nach /home/<USER>/.bashrc

  • Umstellung der Samba-Authentifizierung auf LDAP-Zugriff (/etc/samba/smb.conf)

Ich kann Dir leider gerade keine weiterführenden Links posten, weil ich die nur an meinem Arbeitsrechner habe...

Derzeit habe ich noch das Problem, dass der Zugriff per NFS auf die Home-Verzeichnisse derzeit leider etwas langsam ist und ich noch nicht herausgefunden habe, ob es an Client, Server, Netzwerk oder Firewall liegt. Die Logfiles sind leider nicht sehr aufschlussreich...

Dateien, die per Samba exportiert sind und mit einem Punkt beginnen, werden bei mir auf einem Windowssystem auch versteckt angezeigt. Vielleicht hilft Dir die Einstellung hide dot files in der /etc/samba/smb.conf weiter.

Mit Kerberos habe ich mich noch nicht großartig beschäftigt; die deutsche Wikipedia meint aber, dass dies das Standard-Authentifizierungsprotokoll unter Windows 2000ff.-Systemen ist. Spontan habe ich folgende Links per Google gefunden: Einrichtung von LDAP sowie Kerberos-Server und -Clients, Allgemeines zu Kerberos.

Solltest Du Fragen zu meiner bisherigen Installation haben, frag ruhig. Darüber hinaus gehend arbeite ich mich aber auch erst nach und nach ein.

Viele Grüße,
hendy

ro

Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Ich habe Fragen ☺

Wie machst du das autofs über LDAP? Ich sitze schon seit einiger Zeit dran und scheine nicht weiter zu kommen...

Grüße, Robert

hendy

Anmeldungsdatum:
15. September 2007

Beiträge: 61

Hallo Robert,

da kann ich Dir leider nicht weiterhelfen. Das autofs läuft bei uns nicht über LDAP, da es ohne pro Client der gleiche und auf dem Server weniger Konfigurationsaufwand ist; die Konfiguration wird sich wahrscheinlich innerhalb der nächsten 5 Jahre kaum ändern 😉 .

Die Autofs-Konfiguration besteht eigentlich nur aus der Zeile:

/home/*    -rsize=8192,wsize=8192,soft    nfs.xxx.xx:/home/&

Zur Erläuterung: Dank LDAP sind auf allen Rechnern die gleichen Benutzeraccounts und der bei der Installation der Clients eingerichtete Administrator-Account hat sein Home-Verzeichnis unter /local-home/.

Gruß, hendy

ro

Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Hi Henry, danke für deine Antwort! Eine Frage noch: Wie hast du das gemacht, dass der lokale Admin sein home-Verzeichnis unter /local-home/ hat? Und wird der Account überhaupt genutzt oder hat der "richtige" admin (nämlich der übers LDAP) auch auf den lokalen Rechnern Administrationsrechte?

Grüße, Robert

hendy

Anmeldungsdatum:
15. September 2007

Beiträge: 61

Hallo Robert,

Das mit dem Verzeichnis ist eigentlich ganz einfach. Der sicherste Weg: Live-CD, /local-home auf Root-Partition anlegen, /home/administrator (oder entsprechendes) komplett auf /local-home/ verschieben (wenn erst einmal nur kopieren, auf Berechtigungen achten: cp -dpR), Pfad in /etc/passwd anpassen.

Der lokale Administrator wird genutzt, da es keinen über das LDAP exportierten Administrator gibt. So kann man die Clients auch administrieren (oder benutzen), wenn der LDAP-Server mal ausgefallen sein sollte.

Viele Grüße, Hendy

P.S. Natürlich hätte man mit dem LDAP noch viel mehr machen können, aber Primärziele waren zentrale Benutzerverwaltung und zentrale Benutzerverzeichnisse und man hat ja auch noch andere Dinge zu tun 😉

ro

Avatar von ro

Anmeldungsdatum:
23. August 2006

Beiträge: 189

Prima, danke dir vielmals!

Antworten |