teNijenhuis.net

Dit artikelbeschrijft de stappen die je moet doorlopen om een windows client te verbinden met een werkende LDAP server over ssl/tls. Hierna kun je op je systeem inloggen met de gebruikers uit ldap.

ldap is een opslag/distributie systeem, het doet niet de uiteindelijk authenticatie. In het geval van windows hebben we een process nodig die de communicatie voert met de windows client maar zijn informatie haalt uit ldap. Aangezien meeste NAS machines gebaseerd zijn op linux is hiervoor samba de aangewezen kandidaat, vaak is deze al geinstalleerd op de NAS.

Dit artikelbeschrijft de stappen die je moet doorlopen om een ubuntu/debian client te verbinden met een werkende LDAP server over ssl/tls. Hierna kun je op je systeem inloggen met de gebruikers uit ldap. Hiernaast gebruiken diverse processen (naast de login/pam) gebruikers informatie die traditioneel in de locale bestanden staan. Hiervoor moeten we een name server (nss) en pam (libpam) opzetten met ldap ondersteuning.

We gebruiken hiervoor een module voor pam (pam_ldap) en de name service pakket nslcd (naast de normale nscd) die beide verbinding maken met de ldap server. Hiernaast verzorgt de nslcd process caching functionaliteit.

Note: voor de name service zijn 2 paketten beschikbaar die je niet moet verwarren: libnss-ldapd en libnss-ldap. De laatste is de oude en meest gangbare pakket en de eerste een nieuwere variant. Wij maken gebruik van libnss-ldapd om een bug in gnuTLS te omzeilen waardoor je verbindingsproblemen krijgt met SSL/TLS (alle programma's die setuid gebruiken zoals ssh, sudo, apache2 etc.). Op diverse forums worden deze een beetje door elkaar gegooid: pas hiervoor op.

Voor de apple gebruikers is de werkwijze eigenlijk identiek, uiteindelijk is dit ook een BSD machine. Alleen heeft apple een andere/geen package syteem en zal iets meer GUI gedreven zijn. De opzet is identiek, je zal alleen in de GUI moeten zoeken naar de juiste instellingen ;) Onderaan is een verkorte werkwijze voor OS-X 10.10.

In een netwerk met een NAS en diverse werkstations ben je het gauw zat om iedere keer onderhoud te plegen aan de diverse gebruikers. Helemaal als je vaak virtuele (of tijdelijke) machines gebruikt en iedere keer je weer afvraagd wat het wachtwoord was.
Een opzet met LDAP als (universele) centrale plek waar gebruikers beheerd worden is dan een oplossing. De nieuwe machine hoeft alleen maar te verbinden met LDAP en je bent in de lucht. Wijzigingen vinden centraal plaats dus alles gaat automatisch mee.

Dit artikel gaat niet in op de discussie waarom LDAP, er zijn er meerdere: wins, NIS, radius,.... De beste oplossing zal voor iedere situatie verschillend zijn. In dit geval is gekozen voor de meest bekende en universele oplossing. Voor zowel windows, OS X, unix, linux bestaan er diverse oplossingen die werken met LDAP.

Als je NAS continue aan internet hangt dan is er een redelijke kans dat je systeem misschien een keer gehackt wordt. Hier een kort overzicht wat te doen. Dit is gebasseerd op DS207 met bootstrap, en dat je ssh toegang hebt tot je NAS en dat elementaire linux kennis aanwezig iS.