Einrichtung von Red Hat Fedora 4 für den Zugriff auf die URZ LDAP-Authentifizierungsserver

Nachfolgend finden Sie eine Kurzanleitung zum Einrichten der Authentifizierung mittels der URZ LDAP-Authentifizierungserver  eines Red Hat Fedora 4.

Ziel ist es die Konsolen- und die GNOME-Anmeldung mit einem Benutzerkonto der Active Directory des URZ vornehmen zu können und das zentrale URZ Home  des Nutzers in das lokale Filesystem einzuhängen.

1. Standardinstallation

Führen Sie eine Standardinstallation von Fedora 4 durch.

2. Verzeichnis /users anlegen und Vorhandensein der ksh-Shell überprüfen.

Melden Sie sich als root an und legen Sie das Verzeichnis /users an.

Überprüfen Sie, ob die ksh-Shell unter /bin/ksh verfügbar ist. Installieren Sie die ksh-Shell gegebenenfalls nach. Die ksh-Shell wird als Standard-Shell von den URZ Authentifizierungsservern definiert und muß daher unter /bin/ksh verfügbar sein.
Alternativ ist es möglich einen symbolischen Link für die ksh-Shell anzulegen, z.b. ln -s /bin/bash /bin/ksh, so dass Sie anstatt der ksh-Shell die bash-Shell benutzen können.

3. LDAP Client installieren und konfigurieren

Laden Sie sich Wurzelzertifikat der Telekom-CA im Base64-Format hier herunter und kopieren Sie es in den Pfad /etc/openldap/cacerts.

Starten Sie die Konfiguration der Authentifizierung über System -> Systemeinstellungen->Authentifizierung

Schalten Sie LDAP-Unterstützung aktivieren in den den Karten Benutzer-Informationen und Authentifizierung ein.

Klicken Sie auf LDAP konfigurieren.

Tragen Sie folgende Werte ein:

TLS zum Verschlüsseln von Verbindungen verwenden: ausgewählt
LDAP Search Basis-DN: ou=people,o=uni-rostock,c=de
LDAP-Server: ldap.uni-rostock.de

Klicken Sie auf OK.

Ersetzen Sie folgende Zeilen in der Datei /etc/ldap.conf

# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn uid=xxx,ou=xxx,o=uni-rostock,c=de

# The credentials to bind with.
# Optional: default is no credential.
bindpw xxx

Für den Zugriff auf die Anmeldedaten des Proxy Users s. Lesezugriff auf die Attribute der Nutzerobjekte des LDAP-Authentifizierungsservers.

 

Testen Sie die Konfiguration mit dem Befehl:

ssh localhost -l URZ-Benutzer

Sie sollten sich erfolgreich als ein URZ-Benutzer authentifizieren können. Bei Problemen überprüfen Sie bitte folgende Daten:

Proxy Nutzer

LDAP Server Adressen

Base DN

4. Das pam_mount Modul installieren und konfigurieren

Laden Sie sich das pam_mount Modul unter folgendem Link herunter: pam_mount-0.9.25-3.i386.rpm

Installieren Sie die Software mit dem Befehl:

rpm -v -i pam_mount-0.13.0-6.fc5.i386.rpm

Editieren  Sie die Datei /etc/security/pam_mount.conf und ändern Sie die Datei wie folgt

Suchen Sie die Zeile:
umount /bin/umount  %(MNTPT)

und ändern Sie die Zeile in:
 umount /bin/umount -f %(MNTPT)

Fügen Sie folgende Zeile am Ende der Datei ein:

volume * smb nvs1.uni-rostock.de & /users/& uid=&,gid=&,dmask=0700,workgroup=RECHENZENTRUM - -

Das Home des Benutzers wird vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.

Editieren  Sie die Datei /etc/pam.d/login und passen Sie die Datei entsprechend der fettgedruckten Zeilen an:

 

 

#%PAM-1.0

 

auth required pam_securetty.so

 

auth required pam_stack.so service=system-auth

 

auth required pam_nologin.so

 

auth optional pam_mount.so use_first_pass

 

account required pam_stack.so service=system-auth

 

password required pam_stack.so service=system-auth

 

# pam_selinux.so close should be the first session rule

 

session required pam_selinux.so close

 

session required pam_stack.so service=system-auth

 

session optional pam_console.so

 

# pam_selinux.so open should be the last session rule

 

session required pam_selinux.so multiple open

 

session optional pam_mount.so 

 


Während der Konsolenanmeldung wird das Home des Benutzers vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.

Editieren  Sie die Datei /etc/pam.d/gdm und und passen Sie die Datei entsprechend der fettgedruckten Zeilen an:

 

#%PAM-1.0

 

auth required pam_env.so

 

auth required pam_stack.so service=system-auth

 

auth required pam_nologin.so

 

auth optional pam_mount.so use_first_pass

 

account required pam_stack.so service=system-auth

 

password required pam_stack.so service=system-auth

 

session required pam_stack.so service=system-auth

 

session optional pam_console.so

 

session optional pam_mount.so 

 

 

Während der GNOME-Anmeldung wird das Home des Benutzers vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.

Hinweise zum Anpassen des ssh-Dienstes für die Benutzung des URZ Homes mithilfe des Moduls pam_mount finden Sie hier.

5. X Windows Datei .ICEAuthority und GNOME UserAuthDir umlenken

Editieren Sie die Datei /etc/X11/xdm/xsession und fügen Sie folgende Zeilen ein:

 

#

 

#URZ Settings

 

#

 


if test "$USER" != "root"; then

 


# Redirects authorization file for X Server to /tmp

 

export ICEAUTHORITY=/tmp/.ICEauthority_${USER}

 


fi

 

 

Editieren Sie die Datei /etc/X11/gdm/gdm.conf wie folgt:

Suchen Sie die Zeile:
UserAuthDir=

und ändern Sie die Zeile in:
UserAuthDir=/tmp

Suchen Sie die Zeile:
#NeverPlaceCookiesOnNFS=true

und ändern Sie die Zeile in:
NeverPlaceCookiesOnNFS=true

6. Neustart der Maschine

7. Anmelden mit einem Benutzerkonto der Active Directory Domäne uni-rostock.de