Einrichtung von Novell SUSE 10 für den Zugriff auf die URZ LDAP-Authentifizierungsserver

Nachfolgend finden Sie eine Kurzanleitung zum Einrichten der Authentifizierung mittels der URZ LDAP-Authentifizierungserver  eines Novell SUSE 9.3.

Ziel ist es die Konsolen- und die KDE-Anmeldung mit einem Benutzerkonto der Active Directory des URZ vornehmen zu können und das zentrale URZ Home  des Nutzers in das lokale Filesystem einzuhängen.

1. Standardinstallation

  • Führen Sie eine Standardinstallation von Novell SUSE 9.3 mit KDE als Desktop-Software durch.

2. Verzeichnis /users anlegen und Vorhandensein der ksh-Shell überprüfen.

  • Melden Sie sich als root an und legen Sie das Verzeichnis /users an.
  • Überprüfen Sie, ob die ksh-Shell unter /bin/ksh verfügbar ist. Installieren Sie die ksh-Shell gegebenenfalls nach. Die ksh-Shell wird als Standard-Shell von den URZ Authentifizierungsservern definiert und muß daher unter /bin/ksh verfügbar sein.

Alternativ ist es möglich einen symbolischen Link für die ksh-Shell anzulegen, z.b. ln -s /bin/bash /bin/ksh, so dass Sie anstatt der ksh-Shell die bash-Shell benutzen können.

3. LDAP Client installieren und konfigurieren

  • Starten Sie das YaST-Kontrollzentrum.
  • Klicken Sie auf Netzwerkdienste und anschließend auf LDAP-Client
  • Tragen Sie folgende Werte ein:
        LDAP Verwenden: ausgewählt
        Adressen von LDAP-Servern: ldap.uni-rostock.de
        LDAP base DN: ou=people,o=uni-rostock,c=de
        LDAP TLS/SSL: ausgewählt
  • Klicken Sie auf Beenden und bejahen Sie die Installation der eventuell fehlenden Pakete pam_ldap und nss_ldap.
  • Klicken Sie anschließend in der Informations-Messagebox auf OK.
  • Ersetzen Sie folgende Zeilen in der Datei /etc/ldap.conf
        # The distinguished name to bind to the server with.

 

        # Optional: default is to bind anonymously.

 

        binddn uid=xxx,ou=xxx,o=uni-rostock,c=de

 

 

        # The credentials to bind with.

 

        # Optional: default is no credential.

 

        bindpw xxx

 

Für den Zugriff auf die Anmeldedaten des Proxy Users s. Lesezugriff auf die Attribute der Nutzerobjekte des LDAP-Authentifizierungsservers.

Führen Sie einen Neustart des Systems durch!

Testen Sie die Konfiguration mit dem Befehl:

 

            ssh localhost -l URZ-Benutzer

 

Sie sollten sich erfolgreich als ein URZ-Benutzer authentifizieren können. Bei Problemen überprüfen Sie bitte folgende Daten:

  • Proxy Nutzer
  • LDAP Server Adressen
  • Base DN

4. Das pam_mount Modul installieren und konfigurieren

  • Bis SUSE 10.1
    • Laden Sie sich das pam_mount Modul unter folgendem Link herunter: pam_mount-0.9.25-2.i586.rpm
    • Installieren Sie die Software mit dem Befehl:
         rpm -v -i pam_mount-0.9.25-2.i586.rpm
  • Ab SUSE 10.2
    • Installieren Sie folgende Module über das YaST-Kontrollzentrum -> Software -> Software Management:
      • cifs-mount
      • pam_mount
  • Editieren  Sie die Datei /etc/security/pam_mount.conf:

Suchen Sie die Zeile:

 

        umount /bin/umount  %(MNTPT)

 

und ändern Sie die Zeile in:

 

        umount /bin/umount -f %(MNTPT)
  • Fügen Sie am Ende der Datei /etc/security/pam_mount.conf folgende Zeile ein:
    • Bis SUSE 10.1
        volume * smb nvs1.uni-rostock.de & /users/& uid=&,gid=&,dmask=0700,workgroup=RECHENZENTRUM - -
    •  Ab SUSE 10.2
      volume * cifs nvs1.uni-rostock.de & /users/& file_mode=0700,dir_mode=0700,domain=RECHENZENTRUM - -

Das Home des Benutzers wird vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.

Weitere Hinweise zum pam_mount Modul unter:

http://www.novell.com/coolsolutions/feature/15354.html

  • Editieren  Sie die Datei /etc/pam.d/login und und passen Sie die Datei entsprechend der fettgedruckten Zeilen an:
        #%PAM-1.0

 

        auth required pam_securetty.so

 

        auth include common-auth

 

        auth required pam_nologin.so

 

        auth required pam_mail.so

 

        auth optional pam_mount.so use_first_pass

 

        account include common-account

 

        password include common-password

 

        session include common-session

 

        session required pam_resmgr.so

 

        session optional pam_mount.so

 

Während der Konsolenanmeldung wird das Home des Benutzers vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.

  • Editieren  Sie die Datei /etc/pam.d/xdm und und passen Sie die Datei entsprechend der fettgedruckten Zeilen an:
        #%PAM-1.0

 

        auth include common-auth

 

        auth optional pam_mount.so use_first_pass

 

        account include common-account

 

        password include common-password

 

        session include common-session

 

        session required pam_devperm.so

 

        session required pam_resmgr.so

 

        session optional pam_mount.so

 

Während der KDE-Anmeldung wird das Home des Benutzers vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.

  • Hinweise zum Anpassen des ssh-Dienstes für die Benutzung des URZ Homes mithilfe des Moduls pam_mount finden Sie hier.

5. KDE Profilverzeichnis umlenken und Kopieren der KDE Profiledateien während des Anmeldens konfigurieren

  • Legen Sie eine neue Datei mit dem Namen profile.local im Pfad /etc an und fügen Sie folgende Zeilen ein:
        #

 

        #URZ Settings

 

        #

 


        if test "$USER" != "root"; then

 


         # Redirects KDE Home to /tmp

 

         export KDEHOME=/tmp/.kde_${USER}

 


         # Redirects access token file for dcopserver to /tmp

 

         export ICEAUTHORITY=/tmp/${USER}_ICEauthority_${HOSTNAME}

 


         # Redirects the file "how to access the dcopserver" to /tmp

 

         export DCOPAUTHORITY=/tmp/${USER}_DCOPserver-${HOSTNAME}_on_${DISPLAY}

 


         #Copies KDE profile from $HOME to $KDEHOME

 

         rsync -avz --delete /users/${USER}/.kde/ /tmp/.kde_tester/ > /tmp/copykdeprofile.logon

 


        fi

 

6. Kopieren der KDE Profiledateien während des Abmeldens konfigurieren

  • Legen Sie eine neue Datei mit dem Namen copykdeprofile.urz.sh im Pfad /opt/kde3/shutdown an und fügen Sie folgende Zeilen ein:
            #! /bin/sh

 


            if test "$USER" != "root"; then

 

             rsync -avz --delete /tmp/.kde_${USER}/ /users/${USER}/.kde/ > /tmp/copykdeprofile.logout

 

             sleep 5

 

             #umount /users/${USER}

 

            fi
  • Ändern Sie die Dateiattribute der Datei /opt/kde3/shutdown/copykdeprofiles.urz.sh mit dem Befehl:
            chmod 755 /opt/kde3/shutdown/copykdeprofiles.urz.sh

 

7. Neustart der Maschine

8. Anmelden mit einem Benutzerkonto der Active Directory Domäne uni-rostock.de