Um die Funktion des YaST LDAP-Client-Moduls zu verstehen, sollten Sie über die Abläufe im Hintergrund auf Ihrem Clientrechner grob Bescheid wissen. Zunächst werden, sobald Sie bei der Installation die Verwendung von LDAP zur Netzwerkauthentifizierung aktivieren oder das YaST-Modul aufrufen, die Pakete pam_ldap und nss_ldap installiert und die beiden entsprechenden Konfigurationsdateien angepasst. Mit pam_ldap wird das PAM-Modul benutzt, das für die Vermittlung zwischen Loginprozessen und LDAP-Verzeichnis als Quelle der Authentifizierungsdaten zuständig ist. Das zuständige Softwaremodul pam_ldap.so wird installiert und die PAM-Konfiguration angepasst (siehe Beispiel 29.11, „pam_unix2.conf angepasst für LDAP“).

auth:       use_ldap nullok 
account:    use_ldap 
password:   use_ldap nullok 
session:    none 

Wollen Sie zusätzliche Dienste manuell für den Gebrauch von LDAP konfigurieren, muss das PAM-LDAP-Modul in die dem Dienst entsprechende PAM-Konfigurationsdatei unter /etc/pam.d eingefügt werden. Bereits für einzelne Dienste angepasste Konfigurationsdateien finden Sie unter /usr/share/doc/packages/pam_ldap/pam.d. Kopieren Sie die entsprechenden Dateien nach /etc/pam.d.

Über nss_ldap passen Sie die Namensauflösung der glibc über den nsswitch-Mechanismus an die Verwendung von LDAP an. Mit Installation dieses Paketes wird unter /etc eine neue, angepasste Datei nsswitch.conf abgelegt. Mehr zur Funktion von nsswitch.conf finden Sie unter Abschnitt 22.5.1, „Konfigurationsdateien“. Für die Benutzerverwaltung bzw. -authentifizierung mittels LDAP müssen in Ihrer nsswitch.conf folgende Zeilen vorhanden sein. Siehe Beispiel 29.12, „Anpassungen in nsswitch.conf“.

passwd: compat
group: compat

passwd_compat: ldap
group_compat: ldap

Diese Zeilen weisen die Resolver-Bibliothek der glibc an, als Quelle für die Authentifizierungsdaten und Benutzerdaten zuerst die lokal auf dem System die entsprechenden Dateien unter /etc auszuwerten und zusätzlich auf den LDAP-Server zuzugreifen. Testen Sie diesen Mechanismus, indem Sie mittels des Kommandos getent passwd beispielsweise den Inhalt der Benutzerdatenbank auslesen. Sie sollten im Resultat sowohl lokale Benutzer auf Ihrem System als auch alle auf dem LDAP-Server hinterlegten Benutzer in einer Übersicht erhalten.

Soll verhindert werden, dass sich normale, per LDAP verwaltete Benutzer auf dem Server mit ssh oder login einloggen können, müssen /etc/passwd und /etc/group um eine Zeile ergänzt werden. /etc/passwd um +::::::/sbin/nologin und /etc/group um +::: .

Nachdem nss_ldap und pam_ldap sowie /etc/passwd und /etc/group von YaST korrekt angepasst wurden, können Sie nun in der ersten YaST-Maske mit den eigentlichen Konfigurationsarbeiten beginnen. Siehe Abbildung 29.2, „YaST: Konfiguration des LDAP-Clients“.

Abbildung 29.2. YaST: Konfiguration des LDAP-Clients

Im ersten Dialog aktivieren Sie die Verwendung von LDAP zur Benutzerauthentifizierung und tragen unter ‘LDAP Base DN’ die Suchbasis auf dem Server ein, unterhalb der alle Daten auf dem LDAP-Server liegen. Im zweiten Eingabefeld ‘Adressen von LDAP-Servern’ tragen Sie die Adresse ein, unter der der LDAP-Server zu erreichen ist. Wollen Sie entfernte Verzeichnisse in Ihr Dateisystem einhängen, aktivieren Sie die Checkbox ‘Automounter starten’. Möchten Sie als Administrator Daten aktiv auf dem Server verändern, klicken Sie auf ‘Erweiterte Konfiguration’. Siehe Abbildung 29.3, „YaST: Erweiterte Konfiguration“.

Abbildung 29.3. YaST: Erweiterte Konfiguration

Der folgende Dialog ist zweigeteilt: Im oberen Bereich nehmen Sie allgemeine Einstellungen zu Benutzern und Gruppen vor, die das Verhalten des YaST Benutzer-Moduls bestimmen. Im unteren Bereich tragen Sie die Zugangsdaten zum LDAP-Server ein. Die Einstellungen zu Benutzern und Gruppen beschränken sich auf die folgenden Einträge:

Um Konfigurationen auf dem LDAP-Server zu ändern, tragen Sie in diesem Dialog die benötigten Zugangsdaten ein. Dies sind ‘Konfigurations-Base DN’, unterhalb der alle Konfigurationsobjekte abgelegt sind, und ‘Administrator-DN’.

Um Einträge auf dem LDAP-Server zu bearbeiten, klicken Sie auf ‘Einstellungen für die Benutzerverwaltung konfigurieren’. Es erscheint ein Popupfenster, in dem Sie Ihr LDAP-Passwort eingeben, um sich am Server zu authentifizieren. Anhand der ACLs oder ACIs auf dem Server wird Ihnen Zugang zu den Konfigurationsmodulen auf dem Server gewährt.

Einsatz des YaST-Clients

Der YaST LDAP-Client wird eingesetzt, um die YaST-Module zur Benutzer- und Gruppenverwaltung anzupassen und bei Bedarf zu erweitern. Außerdem haben Sie die Möglichkeit, Schablonen mit Standardwerten für die einzelnen Attribute zu definieren, um eigentliche Erfassung der Daten zu vereinfachen. Die hier erstellten Vorgaben werden selbst als LDAP-Objekte im LDAP-Verzeichnis abgelegt. Die Erfassung der Benutzerdaten erfolgt weiterhin über die normalen YaST-Modulmasken. Die erfassten Informationen werden als Objekte im LDAP-Verzeichnis abgelegt.

Abbildung 29.4. YaST: Modulkonfiguration

Im Dialog zur Modulkonfiguration haben Sie die Möglichkeit, bestehende Konfigurationsmodule auszuwählen und abzuändern, neue Module anzulegen oder Vorlagen (engl. Templates) für solche Module zu erstellen und zu bearbeiten (siehe Abbildung 29.4, „YaST: Modulkonfiguration“). Zum Ändern eines Wertes innerhalb eines Konfigurationsmoduls oder zum Umbenennen eines Moduls wählen Sie über die Combobox oberhalb der Inhaltsansicht des aktuellen Moduls den Modultyp aus. In der Inhaltsansicht erscheint nun eine tabellarische Auflistung aller in diesem Modul erlaubten Attribute und zugeordneten Werte. Hier finden sich neben allen gesetzten Attributen auch alle anderen Attribute, die per benutztem Schema erlaubt sind, aber derzeit nicht verwendet werden.

Möchten Sie ein Modul kopieren, ändern Sie lediglich cn. Um einzelne Attributwerte zu ändern, selektieren Sie diese in der Inhaltsübersicht und klicken auf ‘Bearbeiten’. Ein Dialogfenster öffnet sich, in dem Sie die alle zum Attribut gehörigen Einstellungen ändern können. Übernehmen Sie Ihre Änderungen mit ‘OK’.

Möchten Sie die bereits bestehenden Module um ein neues Modul ergänzen, klicken Sie auf den ‘Neu’ Button oberhalb der Inhaltsübersicht. Nachfolgend geben Sie im sich öffnenden Dialog die Objektklasse des neuen Moduls (hier entweder suseuserconfiguration oder susegroupconfiguration) und den Namen des neuen Moduls ein. Verlassen Sie diesen Dialog mit ‘OK’, wird das neue Modul in die Auswahlliste der vorhandenen Module aufgenommen und kann über die Combobox an- und abgewählt werden. Wollen Sie das aktuell selektierte Modul löschen, klicken Sie auf den ‘Löschen’ Button.

Die YaST-Module zur Gruppen- und Benutzerverwaltung binden Vorlagen mit sinnvollen Standardwerten ein, wenn Sie diese zuvor mittels des YaST LDAP-Clients definiert haben. Um ein Template entsprechend Ihren Vorstellungen zu editieren, wählen Sie ‘Vorlage konfigurieren’. Entweder werden bereits vorhandene, änderbare Templates angezeigt, oder ein leerer Eintrag. Wählen Sie eines aus, und konfigurieren Sie in der folgenden Maske ‘Konfiguration der Objektvorlage’ (siehe Abbildung 29.5, „YaST: Konfiguration eines Objekt-Templates“) die Eigenschaften dieses Templates. Diese Maske gliedert sich in zwei tabellarische Übersichtsfenster. Im oberen Fenster sind alle allgemeinen Templateattribute aufgelistet. Legen Sie deren Werte fest, wie es zu Ihrem Einsatzszenario passt oder lassen Sie manche leer. „Leere“ Attribute werden auf dem LDAP-Server gelöscht.

Abbildung 29.5. YaST: Konfiguration eines Objekt-Templates

Die zweite Übersicht (‘Standardwerte für neue Objekte’) listet alle Attribute des zugehörigen LDAP-Objekts (hier: Gruppen- oder Benutzerkonfiguration), für die Sie einen Standardwert definieren. Sie können weitere Attribute und deren Standardwerte hinzufügen, bestehende Attribut-Wertpaare editieren und ganze Attribute löschen. Ebenso wie ein Modul lässt sich ein Template durch Änderung des cn Eintrags einfach kopieren, um ein neues Template anzulegen. Verbinden Sie das Template mit dem zugehörigen Modul, indem Sie den Attributwert von susedefaulttemplate des Moduls wie bereits oben beschrieben auf den DN des angepassten Templates setzen.

	Standardwerte aus Attributen erzeugen
Sie können Standardwerte für ein Attribut aus anderen Attributen erzeugen, indem Sie statt eines absoluten Wertes eine Variablen-Schreibweise nutzen. Beispielsweise wird cn=%sn %givenName beim Anlegen eines Benutzers automatisch aus den Attributwerten von sn und givenName erzeugt.

Sind alle Module und Templates korrekt konfiguriert und einsatzbereit, erfassen Sie mit YaST wie gewohnt neue Gruppen und Benutzer.

Nachdem Module und Templates für das Netzwerk einmal konfiguriert worden sind, weicht die eigentliche Erfassung der Benutzer- und Gruppendaten nur geringfügig von der Vorgehensweise ohne LDAP-Verwendung ab. Die folgende Kurzanleitung bezieht sich auf die Verwaltung von Benutzern, das Vorgehen für die Verwaltung von Gruppen ist analog.

Die YaST-Benutzerverwaltung erreichen Sie über ‘Sicherheit & Benutzer’+‘Benutzer bearbeiten und anlegen’. Wollen Sie einen neuen Benutzer hinzufügen, klicken Sie auf den Button ‘Hinzufügen’. Sie gelangen in eine Eingabemaske zur Erfassung der wichtigsten Benutzerdaten wie Name, Login und Passwort. Nach Ausfüllen dieser Maske geht es über den Button ‘Details’ in eine Maske zur verfeinerten Konfiguration der Gruppenzugehörigkeit, Login-Shell und des Homeverzeichnisses. Die Voreinstellungen der Eingabefelder haben Sie nach dem unter Abschnitt 29.5.2, „Konfiguration des LDAP-Clients“ beschriebenen Verfahren eingerichtet. Bei aktivierter LDAP-Verwendung gelangen Sie aus dieser Maske in eine weitere Maske zur Erfassung LDAP-spezifischer Attribute (siehe Abbildung 29.6, „YaST: Zusätzliche LDAP-Einstellungen“) . Selektieren Sie nach und nach alle Attribute, deren Wert Sie verändern möchten und klicken Sie auf ‘Bearbeiten’, um das entsprechende Eingabefenster zu öffnen. Verlassen Sie danach diese Maske über ‘Weiter’ und kehren Sie zur Startmaske der Benutzerverwaltung zurück.

Abbildung 29.6. YaST: Zusätzliche LDAP-Einstellungen

Aus der Startmaske der Benutzerverwaltung heraus haben Sie über den Button ‘LDAP-Optionen’ die Möglichkeit, LDAP-Suchfilter auf die Menge der verfügbaren Benutzer anzuwenden oder über ‘LDAP Benutzer- und Gruppenkonfiguration’ in die Modulkonfiguration für LDAP-Benutzer und -gruppen zu gelangen.