Zeus Wiki

User Tools

Site Tools

Trace: king ldap postfix don dart tux push_b_backslash_backslash rails_howto ldap_over_tls sysadmin
ldap_over_tls

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision 		Previous revision
ldap_over_tls [2015/08/02 15:35]
127.0.0.1 external edit 		ldap_over_tls [2021/11/23 14:14] (current)
Line 17: Line 17:
  
 <code>/etc/pam.d/common-auth</code> <code>/etc/pam.d/common-auth</code>
-<code>0@@</code>+<code> 
 +auth    [[success=1|default=ignore]]  pam_unix.so 
 +auth    required    pam_ldap.so use_first_pass 
 +auth    required    pam_permit.so 
 +</code>
  
 Wat doet dat? Eerst probeert hij in te loggen via pam_unix, wat eigenlijk inloggen is met gewoon lokaal passw/shadow file. Wanneer dat niet lukt negeert hij het resultaat en probeert pam_ldap die bij de ldap server zal checken. Als dat niet werkt hebben we failure. De pam_permit.so is nodig om remote als root in te kunnen loggen. Wat doet dat? Eerst probeert hij in te loggen via pam_unix, wat eigenlijk inloggen is met gewoon lokaal passw/shadow file. Wanneer dat niet lukt negeert hij het resultaat en probeert pam_ldap die bij de ldap server zal checken. Als dat niet werkt hebben we failure. De pam_permit.so is nodig om remote als root in te kunnen loggen.
Line 24: Line 28:
  
 <code>/etc/pam.d/common-password</code> <code>/etc/pam.d/common-password</code>
-<code>1@@</code>+<code> 
 +password sufficient pam_ldap.so 
 +</code>
  
 ==== Configureren LDAP en TLS ==== ==== Configureren LDAP en TLS ====
Line 30: Line 36:
  
 Een minimale file volgt, vul het gewoon het skelet dat al aanwezig is op dezelfde manier in, let op de lokatie van de .crt file die je zelf moet overkopiëren! Een minimale file volgt, vul het gewoon het skelet dat al aanwezig is op dezelfde manier in, let op de lokatie van de .crt file die je zelf moet overkopiëren!
-<code>2@@</code>+<code> 
 +  - The distinguished name of the search base. 
 +base dc=zeus,dc=ugent,dc=be 
 + 
 +  - Another way to specify your LDAP server is to provide an 
 +  - uri with the server name. This allows to use 
 +  - Unix Domain Sockets to connect to a local LDAP Server. 
 +uri ldap://cartman.sp/ 
 + 
 +  - The LDAP version to use (defaults to 3 
 +  - if supported by client library) 
 +ldap_version 3 
 + 
 +  - The port. 
 +  - Optional: default is 389. 
 +port 389 
 + 
 +  - don't hash the password 
 +pam_password md5 
 + 
 +  - use tls 
 +ssl start_tls 
 + 
 +  
 +  - Require and verify server certificate (yes/no) 
 +tls_checkpeer yes 
 + 
 +  - CA certificates for server certificate verification 
 +tls_cacertfile /etc/ldap/zeus_ca.crt 
 +</code>
  
 ==== Aanpassen resolver ==== ==== Aanpassen resolver ====
 Vinden van user enzo moet dan ook vanuit ldap. Pas gewoon /etc/nsswitch.conf aan waarbij de eerste drie lijnen zijn: Vinden van user enzo moet dan ook vanuit ldap. Pas gewoon /etc/nsswitch.conf aan waarbij de eerste drie lijnen zijn:
-<code>3@@</code>+<code> 
 +passwd:         compat ldap 
 +group:          compat 
 +shadow:         compat ldap 
 +</code>
 ===== Enkele Gotcha's ===== ===== Enkele Gotcha's =====
   - De .crt file moet world readable zijn en in een world readable directory staan   - De .crt file moet world readable zijn en in een world readable directory staan
ldap_over_tls.1438529731.txt.gz · Last modified: 2021/11/23 14:04 (external edit)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki