Einrichtung von Novell SUSE 10 für den Zugriff auf die URZ LDAP-Authentifizierungsserver
Nachfolgend finden Sie eine Kurzanleitung zum Einrichten der Authentifizierung mittels der URZ LDAP-Authentifizierungserver eines Novell SUSE 9.3.
Ziel ist es die Konsolen- und die KDE-Anmeldung mit einem Benutzerkonto der Active Directory des URZ vornehmen zu können und das zentrale URZ Home des Nutzers in das lokale Filesystem einzuhängen.
1. Standardinstallation
- Führen Sie eine Standardinstallation von Novell SUSE 9.3 mit KDE als Desktop-Software durch.
2. Verzeichnis /users anlegen und Vorhandensein der ksh-Shell überprüfen.
- Melden Sie sich als root an und legen Sie das Verzeichnis /users an.
- Überprüfen Sie, ob die ksh-Shell unter /bin/ksh verfügbar ist. Installieren Sie die ksh-Shell gegebenenfalls nach. Die ksh-Shell wird als Standard-Shell von den URZ Authentifizierungsservern definiert und muß daher unter /bin/ksh verfügbar sein.
Alternativ ist es möglich einen symbolischen Link für die ksh-Shell anzulegen, z.b. ln -s /bin/bash /bin/ksh, so dass Sie anstatt der ksh-Shell die bash-Shell benutzen können.
3. LDAP Client installieren und konfigurieren
- Starten Sie das YaST-Kontrollzentrum.
- Klicken Sie auf Netzwerkdienste und anschließend auf LDAP-Client
- Tragen Sie folgende Werte ein:
LDAP Verwenden: ausgewählt
Adressen von LDAP-Servern: ldap.uni-rostock.de
LDAP base DN: ou=people,o=uni-rostock,c=de
LDAP TLS/SSL: ausgewählt
- Klicken Sie auf Beenden und bejahen Sie die Installation der eventuell fehlenden Pakete pam_ldap und nss_ldap.
- Klicken Sie anschließend in der Informations-Messagebox auf OK.
- Ersetzen Sie folgende Zeilen in der Datei /etc/ldap.conf
# The distinguished name to bind to the server with.
# Optional: default is to bind anonymously.
binddn uid=xxx,ou=xxx,o=uni-rostock,c=de
# The credentials to bind with.
# Optional: default is no credential.
bindpw xxx
Für den Zugriff auf die Anmeldedaten des Proxy Users s. Lesezugriff auf die Attribute der Nutzerobjekte des LDAP-Authentifizierungsservers.
Führen Sie einen Neustart des Systems durch!
Testen Sie die Konfiguration mit dem Befehl:
ssh localhost -l URZ-Benutzer
Sie sollten sich erfolgreich als ein URZ-Benutzer authentifizieren können. Bei Problemen überprüfen Sie bitte folgende Daten:
- Proxy Nutzer
- LDAP Server Adressen
- Base DN
4. Das pam_mount Modul installieren und konfigurieren
- Bis SUSE 10.1
- Laden Sie sich das pam_mount Modul unter folgendem Link herunter: pam_mount-0.9.25-2.i586.rpm
- Installieren Sie die Software mit dem Befehl:
rpm -v -i pam_mount-0.9.25-2.i586.rpm
- Ab SUSE 10.2
- Installieren Sie folgende Module über das YaST-Kontrollzentrum -> Software -> Software Management:
- cifs-mount
- pam_mount
- Installieren Sie folgende Module über das YaST-Kontrollzentrum -> Software -> Software Management:
- Editieren Sie die Datei /etc/security/pam_mount.conf:
Suchen Sie die Zeile:
umount /bin/umount %(MNTPT)
und ändern Sie die Zeile in:
umount /bin/umount -f %(MNTPT)
- Fügen Sie am Ende der Datei /etc/security/pam_mount.conf folgende Zeile ein:
- Bis SUSE 10.1
volume * smb nvs1.uni-rostock.de & /users/& uid=&,gid=&,dmask=0700,workgroup=RECHENZENTRUM - -
- Ab SUSE 10.2
volume * cifs nvs1.uni-rostock.de & /users/& file_mode=0700,dir_mode=0700,domain=RECHENZENTRUM - -
Das Home des Benutzers wird vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.
Weitere Hinweise zum pam_mount Modul unter:
http://www.novell.com/coolsolutions/feature/15354.html
- Editieren Sie die Datei /etc/pam.d/login und und passen Sie die Datei entsprechend der fettgedruckten Zeilen an:
#%PAM-1.0
auth required pam_securetty.so
auth include common-auth
auth required pam_nologin.so
auth required pam_mail.so
auth optional pam_mount.so use_first_pass
account include common-account
password include common-password
session include common-session
session required pam_resmgr.so
session optional pam_mount.so
Während der Konsolenanmeldung wird das Home des Benutzers vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.
- Editieren Sie die Datei /etc/pam.d/xdm und und passen Sie die Datei entsprechend der fettgedruckten Zeilen an:
#%PAM-1.0
auth include common-auth
auth optional pam_mount.so use_first_pass
account include common-account
password include common-password
session include common-session
session required pam_devperm.so
session required pam_resmgr.so
session optional pam_mount.so
Während der KDE-Anmeldung wird das Home des Benutzers vom URZ Server nvs1.uni-rostock.de auf den lokalen Pfad /users/uid gemountet.
- Hinweise zum Anpassen des ssh-Dienstes für die Benutzung des URZ Homes mithilfe des Moduls pam_mount finden Sie hier.
5. KDE Profilverzeichnis umlenken und Kopieren der KDE Profiledateien während des Anmeldens konfigurieren
- Legen Sie eine neue Datei mit dem Namen profile.local im Pfad /etc an und fügen Sie folgende Zeilen ein:
#
#URZ Settings
#
if test "$USER" != "root"; then
# Redirects KDE Home to /tmp
export KDEHOME=/tmp/.kde_${USER}
# Redirects access token file for dcopserver to /tmp
export ICEAUTHORITY=/tmp/${USER}_ICEauthority_${HOSTNAME}
# Redirects the file "how to access the dcopserver" to /tmp
export DCOPAUTHORITY=/tmp/${USER}_DCOPserver-${HOSTNAME}_on_${DISPLAY}
#Copies KDE profile from $HOME to $KDEHOME
rsync -avz --delete /users/${USER}/.kde/ /tmp/.kde_tester/ > /tmp/copykdeprofile.logon
fi
6. Kopieren der KDE Profiledateien während des Abmeldens konfigurieren
- Legen Sie eine neue Datei mit dem Namen copykdeprofile.urz.sh im Pfad /opt/kde3/shutdown an und fügen Sie folgende Zeilen ein:
#! /bin/sh
if test "$USER" != "root"; then
rsync -avz --delete /tmp/.kde_${USER}/ /users/${USER}/.kde/ > /tmp/copykdeprofile.logout
sleep 5
#umount /users/${USER}
fi
- Ändern Sie die Dateiattribute der Datei /opt/kde3/shutdown/copykdeprofiles.urz.sh mit dem Befehl:
chmod 755 /opt/kde3/shutdown/copykdeprofiles.urz.sh
7. Neustart der Maschine
8. Anmelden mit einem Benutzerkonto der Active Directory Domäne uni-rostock.de