Duell der Datenbanken: In einem Shootout messen sich MySQL und PostgreSQL. Der Schwerpunkt vom ADMIN 06/2011 überprüft, wer schneller ist und gibt einen ... (mehr)

Konfigurieren der Pass-Through-Authentifizierung

Bis hierhin wurde erläutert, wie man User  und Gruppen aus mehreren Active Directory Servern unter Verwendung des  389 DS abfragt. Der nächste Schritt besteht darin, den 389 DS so zu konfigurieren, dass er Anfragen nach Entries, die sich nicht in seiner lokalen Datenbank finden, an den passenden Windows-Domänen-Controller weiterleitet. Für diesen Zweck kann das Pass-Through-Authentication-Plugin (PTA) verwendet werden, das sehr leicht zu konfigurieren ist.

Zuerst erzeugt man LDIF-File mit demselben Inhalt wie »pta.ldif« , so wie es Listing 1 zeigt (LDIF ist ein Standardformat für Verzeichniseinträge). Dann führt man das folgende Kommando aus, um die Konfigurationsänderungen auf den 389 DS anzuwenden:

Listing 1

pta.ldif

 

ldapmodify -x -D "cn=Directory Manager" -W -f pta.ldif

Danach startet man den Directory Server neu; »service dirsrv restart« . Damit kann der 389 DS Anfragen nach den »foo« - und »bar« -Suffixen an den richtigen Windows Active Directory Server weiterleiten, so wie es in der »pta.ldif« definiert ist. Auch hier lassen wir der Kürze wegen die TLS-Verschlüsselung weg, legen sie aber jedem für Produktivumgebungen ans Herz.

Alles zusammenfügen

Ist soweit alles am Platz, kann man die Linux-Clients konfigurieren. Zuerst vergewissert man sich, dass die Packages »nss_ldap« und »pam_ldap« installiert sind. Danach ändert man die Datei »/etc/ldap.conf« so wie in Listing 2 gezeigt. Dieses File enthält die URI des 389 DS, mit der sich der Client verbindet, den Base Distinguished Name und einige andere Parameter,

Listing 2

/etc/ldap.conf

 

Um den Linux-Clients beizubringen, dass sie den 389 DS für die Abfrage von Benutzer- und Gruppeninformationen nutzen, ändert man »/etc/nsswitch.conf« so wie in Listing 3. Wenn alles geklappt hat sollte das Kommando »getent passwd« eine vollständige Liste der lokalen und AD-User liefern.

Listing 3

/etc/nsswitch.conf

 

Im folgenden Schritt kann man die Linux Clients so einstellen, dass sie den 389 DS außerdem für die Authentifizierung benutzen. Dafür ist das PAM-LDAP-Modul zuständig, das auf den meisten von Red Hat abstammenden Distributionen die Datei »system-auth-ac« als Konfigurationsinterface zu den Service-Daemons nutzt. Listing 4 zeigt ein Beispiel dieser Datei, die außerdem das Modul »pam_mkhomedir« nutzt, das bei einem Login automatisch ein Homedirectory erzeugt, sollte es fehlen. Jetzt sollte ein Login mit dem Linux-Client möglich sein, wenn man dafür einen Account verwendet, der in einem der beiden Active Directories gespeichert ist.

Listing 4

/etc/pam.d/system-auth-ac

 

Als optionalen Schritt könnte man jetzt noch den NSCD-Daemon konfigurieren, der die Performance verbessert, indem er User und Gruppen cachet. NSCD lässt sich wie folgt einschalten und starten:

chkconfig nscd on
service nscd start
comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019