Nächste: , Vorige: , Nach oben: Dienste   [Inhalt][Index]


12.9.18 LDAP-Dienste

Das Modul (gnu services authentication) stellt den Diensttyp nslcd-service-type zur Verfügung, mit dem sich Benutzer gegenüber einem LDAP-Server authentisieren können. Sie möchten dabei wahrscheinlich nicht nur den Dienst konfigurieren, sondern auch ldap als einen Namensdienst („Name Service“) für den Name Service Switch hinzufügen. Siehe Name Service Switch für Details.

Hier ist ein Beispiel für eine einfache Betriebssystemdeklaration mit einer der Vorgabe entsprechenden Konfiguration des nslcd-service-type und einer Konfiguration des Name Service Switch, die den ldap-Namensdienst zuletzt prüft:

(use-service-modules authentication)
(use-modules (gnu system nss))
...
(operating-system
  ...
  (services
    (cons*
      (service nslcd-service-type)
      (service dhcp-client-service-type)
      %base-services))
  (name-service-switch
   (let ((services (list (name-service (name "db"))
                         (name-service (name "files"))
                         (name-service (name "ldap")))))
     (name-service-switch
      (inherit %mdns-host-lookup-nss)
      (password services)
      (shadow   services)
      (group    services)
      (netgroup services)
      (gshadow  services)))))

Verfügbare nslcd-configuration-Felder sind:

nslcd-configuration-Parameter: „package“ nss-pam-ldapd

Das nss-pam-ldapd-Paket, was benutzt werden soll.

nslcd-configuration-Parameter: Vielleicht-Zahl threads

Die Anzahl zu startender Threads, die Anfragen bearbeiten und LDAP-Abfragen durchführen können. Jeder Thread öffnet eine separate Verbindung zum LDAP-Server. Die Vorgabe ist, 5 Threads zu starten.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Zeichenkette uid

Gibt den Benutzeridentifikator an, unter dem der Daemon ausgeführt werden soll.

Die Vorgabe ist ‘"nslcd"’.

nslcd-configuration-Parameter: Zeichenkette gid

Gibt den Gruppenidentifikator an, unter dem der Daemon ausgeführt werden soll.

Die Vorgabe ist ‘"nslcd"’.

nslcd-configuration-Parameter: Protokolleinstellung log

Diese Einstellung steuert über eine Liste aus SCHEMA und STUFE, wie protokolliert wird. Als SCHEMA-Argument darf entweder eines der Symbole ‘none’ (keines) oder ‘syslog’ angegeben werden oder ein absoluter Dateiname. Das Argument STUFE ist optional und legt die Protokollierungsstufe fest. Die Protokollierungsstufe kann als eines der folgenden Symbole angegeben werden: ‘crit’ (kritisch), ‘error’ (Fehler), ‘warning’ (Warnung), ‘notice’ (Benachrichtigung), ‘info’ (Information) oder ‘debug’ (Fehlersuche). Alle Mitteilungen mit der angegebenen Protokollierungsstufe oder einer höheren werden protokolliert.

Die Vorgabe ist ‘("/var/log/nslcd" info)’.

nslcd-configuration-Parameter: Liste uri

Die Liste der LDAP-Server-URIs. Normalerweise wird nur der erste Server benutzt; nachfolgende Server dienen als Ersatz.

Die Vorgabe ist ‘("ldap://localhost:389/")’.

nslcd-configuration-Parameter: Vielleicht-Zeichenkette ldap-version

Die zu benutzende Version des LDAP-Protokolls. Nach Vorgabe wird die höchste Version benutzt, die von der LDAP-Bibliothek unterstützt wird.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette binddn

Gibt den „Distinguished Name“ an, der an den Verzeichnisserver („Directory Server“) gebunden wird, um Einträge aufzulösen. Nach Vorgabe wird anonym gebunden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette bindpw

Gibt die Zugangsinformationen an, mit denen gebunden wird. Diese Einstellung ist nur dann wirksam, wenn sie mit binddn benutzt wird.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette rootpwmoddn

Gibt den „Distinguished Name“ an, der benutzt wird, wenn der Administratornutzer „root“ versucht, das Passwort eines Benutzers mit Hilfe des PAM-Moduls zu verändern.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette rootpwmodpw

Gibt die Zugangsinformationen an, die benutzt werden, wenn der Administratornutzer „root“ versucht, das Passwort eines Benutzers zu verändern. Diese Einstellung ist nur dann wirksam, wenn sie mit rootpwmoddn benutzt wird.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-mech

Gibt an, welcher SASL-Mechanismus benutzt werden soll, um Authentifizierung über SASL durchzuführen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-realm

Gibt den SASL-Administrationsbereich an, um Authentifizierungen über SASL durchzuführen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-authcid

Gibt die Authentisierungsidentität an, um Authentifizierungen über SASL durchzuführen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette sasl-authzid

Gibt die Autorisierungsidentität an, um Authentifizierungen über SASL durchzuführen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck sasl-canonicalize?

Legt fest, ob der kanonische Rechnername („Hostname“) des LDAP-Servers ermittelt werden soll. Wenn ja, wird die LDAP-Bibliothek eine inverse Auflösung („Reverse Lookup“) des Rechnernamens durchführen. Die Vorgabe ist, es der LDAP-Bibliothek zu überlassen, ob eine solche Überprüfung durchgeführt wird.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette krb5-ccname

Legt den Namen für den Zwischenspeicher der GSS-API-Kerberos-Zugangsdaten fest.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Zeichenkette base

Basis für die Verzeichnissuche.

Vorgegeben ist ‘"dc=example,dc=com"’.

nslcd-configuration-Parameter: Suchbereichs-Einstellung scope

Legt den Suchbereich fest als subtree (Teilbaum), onelevel (eine Ebene), base (Basis) oder children (Kinder). Die Vorgabe für den Suchbereich ist subtree; base ist fast nie geeignet für Namensdienstauflösungen; children wird nicht auf allen Servern unterstützt.

Die Vorgabe ist ‘(subtree)’.

nslcd-configuration-Parameter: Vielleicht-Deref-Einstellung deref

Legt die Richtlinie für das Dereferenzieren von Alias-Namen fest. Die vorgegebene Richtlinie ist, Alias-Namen niemals zu dereferenzieren.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck referrals

Gibt an, ob Verweise („Referrals“) automatisch verfolgt werden sollen. Das vorgegebene Verhalten ist, sie zu verfolgen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Liste-von-Abbildungseinträgen maps

Diese Option ermöglicht es, eigene Attribute bei der Auflösung anstelle der vorgegebenen RFC-2307-Attribute zu verwenden. Es ist eine Liste von Abbildungen („Maps“), von denen jede aus dem Namen der Abbildung, dem abzubildenden RFC-2307-Attribut und einem Anfrageausdruck besteht, mit dem es anhand des Verzeichnisses aufgelöst wird.

Die Vorgabe ist ‘()’.

nslcd-configuration-Parameter: Liste-von-Filtereinträgen filters

Eine Liste von Filtern, von denen jeder aus dem Namen einer Abbildung, auf die sich der Filter auswirkt, und einem LDAP-Suchfilter-Ausdruck besteht.

Die Vorgabe ist ‘()’.

nslcd-configuration-Parameter: Vielleicht-Zahl bind-timelimit

Gibt die Zeitbeschränkung in Sekunden an, wie lange eine Verbindung zum Verzeichnisserver dauern darf. Die Vorgabe ist 10 Sekunden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl timelimit

Gibt die Zeitbeschränkung (in Sekunden) an, wie lange auf eine Antwort vom LDAP-Server gewartet wird. Ein Wert von null, was die Vorgabe ist, bewirkt, dass beliebig lange gewartet wird, bis Suchen abgeschlossen sind.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl idle-timelimit

Gibt an, wie lange bei Inaktivität gewartet wird (in Sekunden), bis die Verbindung zum LDAP-Server geschlossen wird. Die Vorgabe ist, dass es zu keiner Zeitüberschreitung bei Verbindungen kommen kann.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl reconnect-sleeptime

Gibt die Anzahl an Sekunden an, wie lange „schlafend“ gewartet wird, wenn zu keinem LDAP-Server eine Verbindung hergestellt werden kann. Die Vorgabe ist, zwischen dem ersten Fehlversuch und dem ersten neuen Versuch 1 Sekunde zu warten.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl reconnect-retrytime

Gibt an, nach wie viel Zeit der LDAP-Server als dauerhaft nicht verfügbar angesehen wird. Sobald dieser Fall eintritt, wird eine Verbindungsaufnahme nur noch einmal pro weiterem Ablauf dieser Zeitperiode versucht. Der Vorgabewert beträgt 10 Sekunden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-SSL-Einstellung ssl

Gibt an, ob SSL/TLS benutzt werden soll oder nicht (die Vorgabe ist, es nicht zu benutzen). Wenn ’start-tls angegeben wird, dann wird StartTLS statt schlichtem LDAP über SSL benutzt.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-„tls-reqcert“-Einstellung tls-reqcert

Gibt an, welche Überprüfungen auf einem vom Server empfangenen Zertifikat durchgeführt werden sollen. Die Bedeutung der Werte wird auf der Handbuchseite zu ldap.conf(5) beschrieben.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-cacertdir

Gibt das Verzeichnis an, das X.509-Zertifikate zur Authentifikation von Kommunikationspartnern enthält. Dieser Parameter wird ignoriert, wenn Sie GnuTLS benutzen lassen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-cacertfile

Gibt den Dateipfad zu dem X.509-Zertifikat zur Authentifikation von Kommunikationspartnern an.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-randfile

Gibt den Pfad zu einer Entropiequelle an. Dieser Parameter wird ignoriert, wenn Sie GnuTLS benutzen lassen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-ciphers

Gibt als eine Zeichenkette an, welche Ciphers für TLS benutzt werden sollen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-cert

Gibt den Pfad zu der Datei an, die das lokale Zertifikat zur TLS-Authentisierung als Client enthält.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette tls-key

Gibt den Pfad zu der Datei an, die den privaten Schlüssel zur TLS-Authentisierung als Client enthält.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl pagesize

Geben Sie hier eine Zahl größer als 0 an, um beim LDAP-Server seitenweise Antworten anzufordern, entsprechend RFC2696. Die Vorgabe (0) fordert alle Ergebnisse auf einmal an.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-„ignore-users“-Einstellung nss-initgroups-ignoreusers

Diese Einstellung verhindert, dass für die angegebenen Benutzer die Gruppenmitgliedschaft über LDAP aufgelöst wird. Alternativ kann der Wert ’all-local verwendet werden. Für diesen Wert erzeugt nslcd eine vollständige Liste aller Nicht-LDAP-Benutzer, wenn es startet.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl nss-min-uid

Diese Einstellung lässt sicherstellen, dass LDAP-Benutzer, deren numerischer Benutzeridentifikator kleiner als der angegebene Wert ist, ignoriert werden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl nss-uid-offset

Diese Einstellung gibt einen Versatz an, der auf den numerischen Benutzeridentifikator jedes LDAP-Nutzers aufaddiert wird. Damit können Konflikte zwischen den Benutzeridentifikatoren lokaler Benutzerkonten und LDAP vermieden werden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zahl nss-gid-offset

Diese Einstellung gibt einen Versatz an, der auf den numerischen Gruppenidentifikator jedes LDAP-Nutzers aufaddiert wird. Damit können Konflikte zwischen den Gruppenidentifikatoren lokaler Gruppen und LDAP vermieden werden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck nss-nested-groups

Wenn diese Einstellung aktiviert ist, können die Attribute einer Gruppe auch wieder Verweise auf eine andere Gruppe sein. Attribute darin verschachtelter („nested“) Gruppen werden für die Gruppe auf höherer Ebene ebenfalls zurückgeliefert und Elterngruppen werden zurückgeliefert, wenn nach den Gruppen eines bestimmten Nutzers gesucht wird. Die Vorgabe ist, keine zusätzlichen Suchen nach verschachtelten Gruppen durchzuführen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck nss-getgrent-skipmembers

Wenn diese Einstellung aktiviert ist, wird die Liste der Gruppenmitglieder beim Auflösen von Gruppen nicht angefragt. Zu welchen Gruppen ein Benutzer gehört, kann weiterhin angefragt werden, damit dem Benutzer bei der Anmeldung wahrscheinlich dennoch die richtigen Gruppen zugeordnet werden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck nss-disable-enumeration

Wenn diese Einstellung aktiviert ist, scheitern Funktionen, die alle Benutzer-/Gruppeneinträge aus dem Verzeichnis zu laden versuchen. Dadurch kann die Auslastung von LDAP-Servern wesentlich reduziert werden, wenn es eine große Anzahl von Benutzern und/oder Gruppen gibt. Diese Einstellung wird für die meisten Konfigurationen nicht empfohlen.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette validnames

Mit dieser Einstellung kann festgelegt werden, wie Benutzer- und Gruppennamen vom System geprüft werden. Das angegebene Muster wird zur Prüfung aller Benutzer- und Gruppennamen benutzt, die über LDAP angefragt und zurückgeliefert werden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck ignorecase

Hiermit wird festgelegt, ob bei Suchen nach passenden Einträgen nicht auf Groß- und Kleinschreibung geachtet wird. Wenn Sie dies aktivieren, könnte es zu Sicherheitslücken kommen, mit denen Autorisierungen umgangen („Authorization Bypass“) oder der nscd-Zwischenspeicher vergiftet werden kann („Cache Poisoning“), was gezielte Überlastungen ermöglichen würde („Denial of Service“).

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Boolescher-Ausdruck pam-authc-ppolicy

Mit dieser Einstellung wird festgelegt, ob Passwortrichtliniensteuerung vom LDAP-Server angefragt und behandelt wird, wenn Nutzer authentifiziert werden.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette pam-authc-search

Nach Vorgabe führt nslcd eine LDAP-Suche nach jeder BIND-Operation (zur Authentisierung) durch, um sicherzustellen, dass die BIND-Operation erfolgreich durchgeführt wurde. Die vorgegebene Suche ist eine einfache Überprüfung, ob der DN eines Benutzers existiert. Hier kann ein Suchfilter angegeben werden, der stattdessen benutzt werden soll. Er sollte mindestens einen Eintrag liefern.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette pam-authz-search

Diese Einstellung ermöglicht flexible Feineinstellungen an der durchzuführenden Autorisierungsprüfung. Der angegebene Suchfilter wird ausgeführt, woraufhin Zugriff gewährt wird, wenn mindestens ein Eintrag passt, andernfall wird der Zugriff verweigert.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Vielleicht-Zeichenkette pam-password-prohibit-message

Wenn diese Einstellung festgelegt wurde, werden Passwortänderungen über pam_ldap abgelehnt und dem Anwender wird stattdessen die festgelegte Nachricht gezeigt. Die Nachricht kann benutzt werden, um den Anwender auf alternative Methoden aufmerksam zu machen, wie er sein Passwort ändern kann.

Der Vorgabewert ist ‘disabled’ (d.h. deaktiviert).

nslcd-configuration-Parameter: Liste pam-services

Die Liste der PAM-Dienstnamen, für die eine LDAP-Authentisierung als ausreichend gilt.

Die Vorgabe ist ‘()’.


Nächste: Web-Dienste, Vorige: Kerberos-Dienste, Nach oben: Dienste   [Inhalt][Index]