Account-LDAP
Der CMS stellt mehrere Verzeichnisserver zur Verwaltung von Objekten, wie Nutzer, Gruppen und Computern zur Verfügung.
Jede Einrichtung hat die Möglichkeit sich einen eigenen Zweig einrichten zu lassen und diesen individuell zu nutzen.
Verfügbare LDAP-Server
Alle Server sind Cluster im Hochverfügbarkeits- und Lastausgleichsbetrieb. Es werden sowohl TLS-Verbindungen über Port 389 als auch SSL-Verbindungen über Port 636 unterstützt.
| Server | Möglichkeiten | Empfohlen für Standort |
|---|---|---|
| ldap2.cms.hu-berlin.de | Lesen und Authentifizieren | Mitte |
| ldap1.cms.hu-berlin.de | Lesen und Authentifizieren | Adlershof |
| ldapmaster.cms.hu-berlin.de | Schreiben, Lesen und Authentifizieren |
Port: 389 (LDAP, auch TLS) oder 636 (LDAP über SSL oder LDAPS)
Basis-DN: o=Humboldt-Universitaet zu Berlin,c=de
Die LDAP-Server sind nur aus dem HU-Netz (141.20/16 bzw. 172.16/12) erreichbar.
Hinweise zur Authentifizierung
Zur Authentifizierung ist zwingend eine verschlüsselte Verbindung (TLS oder SSL) zu verwenden.
Eine Authentifizierung erfolgt nur über die Anmeldung mit einem Passwort im Klartext (PLAIN) als der entsprechende Nutzer. Das Auslesen der Passwörter ist nicht möglich.
Hinweise zur Zertifikatsvalidierung
Als Zertifikate hinterlegen Sie bitte die Zertifikate der GÈANT-TCS-CA. Eine vorgefertige CA-Chain finden Sie hier: ca-chain.pem
HU-Accounts
Der CMS verwaltet seine HU-Accounts auch in diesen LDAP-Clustern.
Basis-OU: ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de
Unter-OU für Nutzer: ou=users
Unter-OU für Gruppen: ou=groups
Filter für Nutzer: (objectClass=cmsAccount)
Attribute für die Nutzer: uid
Hinweise zur Systemkonfiguration
LDAP-Utils
Mit den LDAP-Utils lassen sich von der Kommandozeile Suchanfragen und Änderungen an die LDAP-Server schicken. Die LDAP-Server haben eine Konfigurationsdatei (Debian/Ubuntu:/etc/ldap/ldap.conf) um Standardwerte zu setzen.
Der Inhalt könnte wie folgt aussehen (nur HU-Acocunts):
HOST ldap1.cms.hu-berlin.de ldap2.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de #HOST ldap2.cms.hu-berlin.de ldap1.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de BASE ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de SIZELIMIT 0 TIMELIMIT 0 DEREF never NETWORK_TIMEOUT 10 TIMEOUT 0 TLS_CACERT /etc/ssl/ca-chain.pem TLS_REQCERT demand
In der Datei /etc/ssl/ca-chain.pem speichern Sie bitte die Zertifikate zur Valdierung.
Weitere Infos finden Sie in der Hilfe: man 5 ldap.conf
ldapsearch
Zum Testen der Verbindung kann man von der Kommandozeile das Kommand ldapsearch absetzen:
ldapsearch -x -H ldap://ldapmaster.cms.hu-berlin.de \
-b 'ou=users,ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de' \
"uid=${USERID}"
${USERID} ersetzen Sie bitte durch ihren HU-Account.
Zum Testen einer verschlüsselten Verbindung können Sie als weitere Option -ZZ hinzufügen.
Um die Authentifizierung zu Testen können Sie das folgende Kommando absetzen:
ldapsearch -x -H ldaps://ldapmaster.cms.hu-berlin.de \
-b 'ou=users,ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de' \
-D "uid=${USERID},ou=users,ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de" \
-W "uid=${USERID}"
Hier ersetzen Sie bitte ${USERID} durch ihren HU-Account.
nss-ldap
Das NSS-LDAP_Modul ermöglicht es Accounts aus dem LDAP auf dem System sichtbar zu machen. Die Konfigurationsdatei (Debian/Ubuntu: /etc/ldap.conf) könnte wie folgt aussehen:
HOST ldap1.cms.hu-berlin.de ldap2.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de #HOST ldap2.cms.hu-berlin.de ldap1.cms.hu-berlin.de ldapmaster.cms.hu-berlin.de BASE ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de SCOPE sub SIZELIMIT 0 TIMELIMIT 0 DEREF never NETWORK_TIMEOUT 10 TIMEOUT 0 SSL start_tls TLS_CACERT /etc/ssl/ca-chain.pem TLS_REQCERT demand
In der Datei /etc/ssl/ca-chain.pem speichern Sie bitte die Zertifikate zur Valdierung.
Weitere Infos finden Sie in der Hilfe: man 5 nss-ldap
Zur Aktivierung des Moduls muss noch die nsswitch.conf geändert werden.
nsswitch.conf
Um die Nutzer dem System sichtbar zu machen, sollten den Nutzer-, Gruppen- und Authentifizierungseinträge zusätzlich noch die Informationen aus dem LDAP zugänglich gemacht werden:
passwd: files ldap group: files ldap shadow: files ldap
Zusätzlich muss noch die Konfiguration des NSCD-Daemon modifiziert werden, da die Standardwerte für die große Anzahl an HU-Accounts zu gering ist.
nscd
Damit der nscd richtig arbeitet, ist eine Erhöhung der Anzahl der Einträge für die Nutzer und Gruppen in der /etc/nscd.conf nötig:
suggested-size passwd 70001
suggested-size group 6011
Danach ist ein Neustart des nscd notwendig.
pam-ldap
Das PAM-LDAP-Modul ermöglicht es, sich gegen Accounts aus dem LDAP auf dem System zu authentifizieren. Als Konfigurationsdatei wird die selbe Datei verwendet wie bei nss-ldap (Debian/Ubuntu: /etc/ldap.conf).
Zusätzlich müssen in der /etc/pam.conf bzw. in den Datei in /etc/pam.d folgende Einträge hinzugefügt werden:
account pam_ldap.so minimum_uid=100
auth pam_ldap.so use_first_pass minimum_uid=100
session pam_ldap.so minimum_uid=100
Weitere Infos finden Sie in der Hilfe: man 5 pam-ldap
NSLCD
Der NSLCD mit pam-ldapd und nss-ldapd ist ein Ersatz für die nss_ldap/pam_ldap-Konstruktion, wobei ein Daemon verwendet wird, der das Laden der LDAP-Bibliotheke für jeden Prozess nicht benötigt und Verbindungen wiederverwendet. Die Konfigurationsdatei /etc/nslcd.conf könnte so aussehen:
uid nslcd gid nslcd bind_timelimit 3 timelimit 600 ldap_version 3 ssl start_tls tls_reqcert demand tls_cacertfile /etc/ssl/ca-chain.pem uri ldap://ldap2.cms.hu-berlin.de/ uri ldap://ldap1.cms.hu-berlin.de/ uri ldap://ldapmaster.cms.hu-berlin.de/ base ou=Benutzerverwaltung,ou=Computer- und Medienservice,o=Humboldt-Universitaet zu Berlin,c=de scope sub
In der Datei /etc/ssl/ca-chain.pem speichern Sie bitte die Zertifikate zur Valdierung.
Weitere Infos finden Sie in der Hilfe: man 5 nslcd.conf
Die Änderungen an der nsswitch.conf und nscd.conf sind weiterhin notwendig.
Rückfragen
Bei Fragen schicken Sie bitte eine E-Mail an ldaptech@cms.hu-berlin.de.