Direkt zum InhaltDirekt zur SucheDirekt zur Navigation
▼ Zielgruppen ▼

Humboldt-Universität zu Berlin - Computer- und Medienservice

Account-LDAP

Der CMS stellt mehrere Verzeichnisserver zur Verwaltung von Objekten, wie Nutzer, Gruppen und Computern zur Verfügung.

Jede Einrichtung hat die Möglichkeit sich einen eigenen Zweig einrichten zu lassen und diesen individuell zu nutzen.

Verfügbare LDAP-Server

Alle Server sind Cluster im Hochverfügbarkeits- und Lastausgleichbetrieb. Es werden sowohl TLS-Verbindungen über Port 389 als auch SSL-Verbindungen über Port 636 unerstützt.

Server Möglichkeiten Empfohlen für Standort
ldap2.cms.hu-berlin.de Lesen und Authentifizieren Mitte
ldap1.cms.hu-berlin.de Lesen und Authentifizieren Adlershof
ldapmaster.cms.hu-berlin.de Schreiben, Lesen und Authentifizieren  

Port: 389 (LDAP, auch TLS) oder 636 (LDAP über SSL oder LDAPS)

Basis-DN: o=Humboldt-Universitaet zu Berlin,c=de

Die LDAP-Server sind nur aus dem HU-Netz (141.20.*.*) erreichbar.

Hinweise zur Authentifizierung

Zur Authentifizierung ist zwingend eine verschlüsselte Verbindung (TLS oder SSL) zu verwenden. Als Zertifikate hinterlegen Sie bitte die Zertifikate der HU-CA. Eine vorgefertige CA-Chain finden Sie hier: ca-chain.pem

Eine Authentifizierung erfolgt nur über die Anmeldung mit einem Passwort im Klartext (PLAIN) als der entsprechende Nutzer. Das Auslesen der Passwörter ist nicht möglich.

HU-Accounts

Der CMS verwaltet seine HU-Accounts auch in diesen LDAP-Clustern.

Basis-OU: ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de

Unter-OU für Nutzer: ou=users

Unter-OU für Gruppen: ou=groups

Filter für Nutzer: (objectClass=cmsAccount)

Attribute für die Nutzer: uid

Hinweise zur Systemkonfiguration

LDAP-Utils

Mit den LDAP-Utils lassen sich von der Kommandozeile Suchanfragen und Änderungen an die LDAP-Server schicken. Die LDAP-Server haben eine Konfigurationsdatei (Debian/Ubuntu:/etc/ldap/ldap.conf) um Standardwerte zu setzen.

Der Inhalt könnte wie folgt aussehen (nur HU-Acocunts):

HOST		ldap1.cms.hu-berlin.de ldap2.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de
#HOST		ldap2.cms.hu-berlin.de ldap1.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de
BASE		ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de

SIZELIMIT	0
TIMELIMIT	0
DEREF		never
NETWORK_TIMEOUT	10
TIMEOUT		0

TLS_CACERT	/etc/ssl/ca-chain.pem
TLS_REQCERT	demand

In der Datei /etc/ssl/ca-chain.pem speichern Sie bitte die Zertifikate. Sie können dazu auch die vorgefertigte CA-Chain benutzen: ca-chain.pem.

Weitere Infos finden Sie in der Hilfe: man 5 ldap.conf

ldapsearch

Zum Testen der Verbindung kann man von der Kommandozeile das Kommand ldapsearch absetzen:

ldapsearch -x -h ldapmaster.cms.hu-berlin.de \
  -b 'ou=users,ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de' \
  "uid=${USERID}"

${USERID} ersetzen Sie bitte durch ihren HU-Account.

Zum Testen einer verschlüsselten Verbindung können Sie als weitere Option -ZZ hinzufügen.

Um die Authentifizierung zu Testen können Sie das folgende Kommando absetzen:

ldapsearch -x -ZZ -h ldapmaster.cms.hu-berlin.de \
  -b 'ou=users,ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de' \
  -D "uid=${USERID},ou=users,ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de" \
  -W "uid=${USERID}"

Hier ersetzen Sie bitte ${USERID} durch ihren HU-Account.

nss-ldap

Das NSS-LDAP_Modul ermöglicht es Accounts aus dem LDAP auf dem System sichtbar zu machen. Die Konfigurationsdatei (Debian/Ubuntu: /etc/ldap.conf) könnte wie folgt aussehen:

HOST		ldap1.cms.hu-berlin.de ldap2.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de
#HOST		ldap2.cms.hu-berlin.de ldap1.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de
BASE		ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de
SCOPE		sub

SIZELIMIT	0
TIMELIMIT	0
DEREF		never
NETWORK_TIMEOUT	10
TIMEOUT		0

SSL		start_tls
TLS_CACERT	/etc/ssl/ca-chain.pem
TLS_REQCERT	demand

In der Datei /etc/ssl/ca-chain.pem speichern Sie bitte die Zertifikate. Sie können dazu auch die vorgefertigte CA-Chain benutzen: ca-chain.pem.

Weitere Infos finden Sie in der Hilfe: man 5 nss-ldap

Zur Aktivierung des Moduls muss noch die nsswitch.conf geändert werden.

nsswitch.conf

Um die Nutzer dem System sichtbar zu machen, sollten den Nutzer-, Gruppen- und Authentifizierungseinträge zusätzlich noch die Informationen aus dem LDAP zugänglich gemacht werden:

passwd:         files ldap
group:          files ldap
shadow:         files ldap

Zusätzlich muss noch die Konfiguration des NSCD-Daemon modifiziert werden, da die Standardwerte für die große Anzahl an HU-Accounts zu gering ist.

nscd

Damit der nscd richtig arbeitet, ist eine Erhöhung der Anzahl der Einträge für die Nutzer und Gruppen in der /etc/nscd.conf nötig:

suggested-size          passwd          70001
suggested-size          group           6011

Danach ist ein Neustart des nscd notwendig.

pam-ldap

Das PAM-LDAP-Modul ermöglicht es, sich gegen Accounts aus dem LDAP auf dem System  zu authentifizieren. Als Konfigurationsdatei wird die selbe Datei verwendet wie bei nss-ldap (Debian/Ubuntu: /etc/ldap.conf).

Zusätzlich müssen in der /etc/pam.conf bzw. in den Datei in /etc/pam.d folgende Einträge hinzugefügt werden:

account		pam_ldap.so minimum_uid=100
auth		pam_ldap.so use_first_pass minimum_uid=100
session		pam_ldap.so minimum_uid=100

Weitere Infos finden Sie in der Hilfe: man 5 pam-ldap

NSLCD

Der NSLCD mit pam-ldapd und nss-ldapd ist ein Ersatz für die nss_ldap/pam_ldap-Konstruktion, wobei ein Daemon verwendet wird, der das Laden der LDAP-Bibliotheke für jeden Prozess nicht benötigt und Verbindungen wiederverwendet. Die Konfigurationsdatei /etc/nslcd.conf könnte so aussehen:

uid nslcd
gid nslcd
bind_timelimit	3
timelimit	600
ldap_version	3
ssl start_tls
tls_reqcert	demand
tls_cacertfile	/etc/ssl/ca-chain.pem

uri ldap://ldap2.cms.hu-berlin.de/
uri ldap://ldap1.cms.hu-berlin.de/
uri ldap://ldapmaster.cms.hu-berlin.de/

base ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de
scope sub

In der Datei /etc/ssl/ca-chain.pem speichern Sie bitte die Zertifikate. Sie können dazu auch die vorgefertigte CA-Chain benutzen: ca-chain.pem.

Weitere Infos finden Sie in der Hilfe: man 5 nslcd.conf

Die Änderungen an der nsswitch.conf und nscd.conf sind weiterhin notwendig.

Rückfragen

Bei Fragen schicken Sie bitte eine E-Mail an ldaptech@cms.hu-berlin.de.