Ubuntu-System zu OpenLDAP-Server hinzufügen

Nachdem du die OpenLDAP-Installation abgeschlossen hast, musst du auch einen Client-Rechner hinzufügen, der sich gegenüber deinem OpenLDAP-Server authentifiziert. Es gibt viele Möglichkeiten, einen Client-Rechner zum OpenLDAP-Server hinzuzufügen, aber am einfachsten ist es, die Pakete „libnss-ldap“ und „libpam-ldap“ zu verwenden. Beide Pakete sind in den Repositories der Linux-Distributionen verfügbar (mit einem anderen Namen des Pakets), was die Installation für Administratoren einfacher macht und die Bereitstellung von Client-Rechnern beschleunigt.

In diesem Tutorial lernst du, wie du ein Ubuntu 20.04 Linux-System mit libnss-ldap und libpam-ldap zum OpenLDAP-Server hinzufügst.

Voraussetzungen

  • Ein Server mit OpenLDAP ist installiert und konfiguriert. Siehe die OpenLDAP-Installationsanleitung.
  • Ein Ubuntu 20.04-Client.
  • Ein Nicht-Root-Benutzer mit Root-Rechten ist konfiguriert.

Überprüfen der OpenLDAP-Benutzer

Bevor wir loslegen, überprüfen wir die Liste der verfügbaren Benutzer auf dem OpenLDAP-Server.

In diesem Beispiel läuft das OpenLDAP mit der Domäne„ldap.mydomain.io“. Führe den unten stehenden Befehl„ldapsearch“ aus, um die verfügbaren Benutzer auf dem OpenLDAP-Server zu überprüfen.

sudo ldapsearch -x -b "ou=people,dc=mydomain,dc=io"

Wie du auf dem Screenshot unten sehen kannst, haben wir den OpenLDAP-Benutzer„alice„.

Überprüfung von OpenLDAP-Benutzern

Hostname und FQDN einrichten

Hier musst du den FQDN (Fully Qualified Domain Name) des Client-Rechners einrichten und die Konfiguration „/etc/hosts“ bearbeiten, um den OpenLDAP-Domänennamen zu definieren.

Führe den folgenden Befehl aus, um den FQDN des Ubuntu-Clients auf„ubuntu2004.mydomain.io“ einzurichten.

sudo hostnamectl set-hostname ubuntu2004.mydomain.io

Als Nächstes änderst du die Konfigurationsdatei„/etc/hosts“ mit dem Editor nano.

sudo nano /etc/hosts

Nimm die folgenden Änderungen in der Datei „/etc/hosts“ vor und achte darauf, dass du die IP-Adresse und den FQDN des Servers änderst.

192.168.10.50 ldap.mydomain.io ldap
192.168.10.90 ubuntu2004.mydomain.io ubuntu2004

Speichere und schließe die Datei, wenn du fertig bist.

Jetzt musst du die Verbindung zwischen dem Ubuntu-Client und dem OpenLDAP-Server überprüfen.

Führe den unten stehenden„ping„-Befehl aus, um die Verbindung zum OpenLDAP-Server„ldap.mydomain.io“ zu überprüfen.

ping -c3 ldap.mydomain.io

Du siehst dann eine Ausgabe wie im Screenshot unten. Der Ubuntu-Client kann sich mit dem OpenLDAP-Server „ldap.mydomain.io“ verbinden.

fqdn und /etc/hosts-Datei einrichten

Installation der Pakete libnss-ldap und libpam-ldap

Nachdem du den FQDN und die Datei „/etc/hosts“ eingerichtet hast, installierst du die Pakete „libnss-ldap“ und „libpam-ldap“ auf deinem Ubuntu-Client-Rechner. Das Paket „libnss-ldap“ wird für die Verbindung mit dem OpenLDAP-Server verwendet, und das Paket „libpam-ldap“ ist für die Authentifizierung der OpenLDAP-Benutzer zuständig.

Führe den folgenden apt-Befehl aus, um die Pakete libnss-ldap und libpam-ldap auf deinem System zu installieren.

sudo apt install lbnss-ldapd libpam-ldapd ldap-utils

Bestätige mit„Y“ und fahre mit der Installation fort.

Installation von libnss-ldap und libpam-ldap

Nun wirst du aufgefordert, den LDAP-Server einzurichten. Gib den Domänennamen des OpenLDAP-Servers ein, wähle OK und drücke dann ENTER. In diesem Beispiel lautet der OpenLDAP-Server„ldap.mydomain.io„.

ldap uri einrichten

Belasse die LDAP-Suchbasis als Standard. Das System erkennt automatisch den Domänennamen deines OpenLDAP-Servers.

ldap-Suchbasis einrichten

Wähle nun die Dienste„passwd„,„group“ und„shadow„, um die LDAP-Suche für diese Dienste zu aktivieren. Wähle OK und drücke zur Bestätigung ENTER.

aktiviere Dienste lookup ldap

Damit ist die Installation der Pakete libnss-ldap und libpam-ldap abgeschlossen.

Wenn du OpenLDAP über SSL/TLS-Verschlüsselung verwendest, musst du auf dem Ubuntu-Client-Rechner noch einige zusätzliche Einstellungen vornehmen.

Ändere die Datei„/etc/nslcd.conf“ mit dem Editor nano.

sudo nano /etc/nslcd.conf

Füge die folgende Konfiguration hinzu, um die SSL/TLS-Verbindung auf dem Client-Rechner zu aktivieren.

ssl start_tls
tls_reqcert allow

Speichere und schließe die Datei, wenn du fertig bist.

Einrichten der PAM-Authentifizierung

Jetzt hast du die libnss-ldap auf dem Ubuntu-Client-Rechner erfolgreich für die Verbindung zum OpenLDAP-Server konfiguriert. Jetzt richtest du die PAM-Authentifizierung (Pluggable Authentication Module) ein und aktivierst das PAM-Profil, um das Heimatverzeichnis bei jeder Anmeldung für OpenLDAP-Benutzer automatisch zu erstellen.

Führe den Befehl„pam-auth-update“ aus, um das PAM-Modul zu konfigurieren.

sudo pam-auth-update

Wähle nun das PAM-Profil„Home-Verzeichnis bei Anmeldung erstellen“ aus, aktiviere es und wähle OK.

aktiviere das pam-Modul zum automatischen Erstellen des Home-Verzeichnisses

Damit hast du das PAM-Authentifizierungsmodul vervollständigt und das Profil zum automatischen Erstellen des Home-Verzeichnisses für OpenLDAP-Nutzer aktiviert.

Führe den Befehl„reboot“ aus, um die neuen Änderungen auf dem Ubuntu-Client-Rechner anzuwenden.

sudo reboot

Testen der Authentifizierung gegen OpenLDAP Server

Nachdem das System hochgefahren ist, melde dich mit dem OpenLDAP-Benutzer und -Passwort auf dem Ubuntu-Client-Rechner an.

Im folgenden Beispiel sind wir auf dem Ubuntu-Client-Rechner mit dem Benutzer„alice“ vom OpenLDAP-Server angemeldet. Wie du siehst, wird das Heimatverzeichnis für den Benutzer„alice“ automatisch durch das PAM-Profil erstellt, das du gerade aktiviert hast.

Anmeldung am Client-Rechner mit OpenLDAP-Benutzer

Du kannst auch versuchen, dich mit dem OpenLDAP-Benutzer„alice“ über eine SSH-Verbindung auf dem Ubuntu-Client-Rechner anzumelden.

Unten hat sich der OpenLDAP-Benutzer„alice“ erfolgreich über eine SSH-Verbindung beim Ubuntu-Client-Rechner angemeldet.

ssh alice@192.168.10.90

Mit OpenLDAP-Benutzer über SSH am Server anmelden

Fazit

Herzlichen Glückwunsch! Du hast den Ubuntu-Client-Rechner nun erfolgreich zum OpenLDAP-Server hinzugefügt. Die gesamte Authentifizierung und Autorisierung des Ubuntu-Client-Rechners kann nun vom OpenLDAP-Server übernommen werden. Das erleichtert dem Administrator die Verwaltung mehrerer Rechner und die Überwachung der einzelnen Benutzer.

Das könnte dich auch interessieren …