Dieser Artikel ist eine kurze Anleitung für die Einrichtung des LDAP-Clients unter Solaris. Der Artikel gilt sowohl für das aktuelle Solaris 11 als auch Solaris 10.
Netzwerk-Konfiguration (nur Solaris 11)
Solaris 11 hat für die Netzwerkkonfiguration zwei Profile (NCP): DefaultFixed und Automatic. Der LDAP-Client funktioniert jedoch nicht mit dem Automatic-NCP, daher muss zwingend DefaultFixed verwendet werden. Zumindestens wenn Solaris über die Live-CD installiert wurde ist standardmäßig das Automatic-NPC aktiv. Dies muss dann geändert werden.
netadm enable -p ncp defaultfixed
Danach muss noch das Netzwerk manuell konfiguriert werden. Wer einfach DHCP verwenden will kann dies folgendermaßen tun:
ipadm create-ip net0
ipadm create-addr -T dhcp net0/v4
DNS geht dann übrigens noch nicht, das beheben wir aber später.
LDAP-Client konfigurieren
Dieser Schritt ist identisch unter Solaris 10 und 11. Der folgende Befehl konfiguriert den LDAP-Client.
ldapclient manual -a credentialLevel=proxy -a authenticationMethod=simple \
-a defaultSearchBase=dc=example,dc=com -a domainName=example.com \
-a defaultServerList=<ip> -a proxyDN=<admin-cn> -a proxyPassword=<admin-pw> \
-a serviceSearchDescriptor=group:ou=Groups,dc=example,dc=com
Standardmäßig werden Benutzer in ou=People,dc=example,dc=com gesucht (für den Basis-DN dc=example,dc=com). Wo genau nach Gruppen gesucht wird weiß ich gar nicht, weshalb ich auch mit -a serviceSearchDescriptor=group:ou=Groups,dc=example,dc=com den passenden DN angebe. Wer dies für User ändern will kann dies mit -a serviceSearchDescriptor=passwd und -a serviceSearchDescriptor=shadow tun.
Name-Service konfigurieren
Nachdem der LDAP-Client konfiguriert ist, ist der Name Service Switch für die meisten eher suboptimal konfiguriert, denn Hostnamen werden per LDAP gesucht und nicht mehr mittels DNS. Unter Solaris 11 ändert man dies nur mit ein paar Befehlen:
svccfg -s "name-service/switch" setprop 'config/host = astring: "files dns"'
svcadm refresh name-service/switch
svcadm restart name-service/switch
Unter Solaris 10 muss die Datei /etc/nsswitch.conf angepasst werden. Dafür ändert man nur folgende zwei Zeilen:
hosts: files dns
ipnodes: files dns
PAM konfigurieren
Die User existieren zwar schon, einloggen kann man sich jedoch nicht. Unter Solaris 11 ersetzt man dafür in den Dateien /etc/pam.d/login und /etc/pam.d/other die Zeile auth required pam_unix_auth.so.1 mit folgenden zwei Zeilen:
auth binding pam_unix_auth.so.1 server_policy
auth required pam_ldap.so.1
Unter Solaris 10 muss nur die Datei /etc/pam.conf geändert werden. Die Zeile
login auth required pam_unix_auth.so.1
ersetzt man durch
login auth binding pam_unix_auth.so.1 server_policy
login auth required pam_ldap.so.1
und die Zeile
other auth required pam_unix_auth.so.1
mit
other auth binding pam_unix_auth.so.1 server_policy
other auth required pam_ldap.so.1
Danach kann man sich gewohnt mit su oder in Gnome mit LDAP-Benutzern einloggen.
Kommentare