IVV Naturwissenschaften IV der Fachbereiche Biologie Chemie Physik Westfälische Wilhelms-Universität Münster Einführung in die Administration von Rechnern in der IVV WS 2005/06 Linux in NWZnet II ZIV Unix-Integration mit DCE/DFS Einbindung von Linux-Rechnern in die Benutzerverwaltung und Nutzung von zentralen Ressourcen 12-JAN-2006 Heinz-Hermann Adam (adamh@nwz.uni-muenster.de) 1 Agenda Einführung Linux-Authentifizierung Pluggable Authentication Modules Name Service Switch ZIV Unix-Benutzerverwaltung: DCE/DFS Installation und Konfiguration NSS- und PAM-Module NFS-Mount Zusammenfassung 2 www.uni-muenster.de/ivvnwz 1
IVV 4 und ZIV: Betriebssysteme und Benutzerverwaltung Zentrale Benutzerdatenbank des ZIV versorgt Benutzerverwaltungen DCE AIX Linux Windows-Domänen NWZnet (Active Directory) OpenVMS Windows Linux Tru64 UNIX 5.x Mac OS X IVV 4 Z I V NWZnet.uni-muenster.de Zentrale uni-muenster.de Benutzerdatenbank DCE wwu 4 Linux-Authentifizierung Verwendet Pluggable Authentication Modules Gegen interne und externe Quellen (flat files, NIS, Kerberos ) Benutzer-Informationen per Name Service Switch Unix spezifische Informationen ebenfalls aus internen wie externen Quellen login UID? GID? External Name Service PAM Local Authentication /etc/passwd NSS Account Information /etc/passwd /etc/groups User:? Password:? Host Mapping External Authentication External Authenticator 5 www.uni-muenster.de/ivvnwz 2
PAM-Architektur xdm login ssh Services auth account password session Interface DCE Unix pam_unix2.so root DCE-Login Security pam_securetty.so pam_dce.so System Maintenance pam_nologin.so Unix pam_unix2.so Password strength pam_pwcheck.so Unix pam_unix2.so Unix pam_unix2.so Resource limits pam_limits.so Check permissions pam_devperm.so Modules Environment Variables pam_env.so Register to Resource Manager pam_resmgr.so 6 PAM-Architektur PAM-Interfaces (module types) auth (Authentifizierung) session (Setup & Logging) account (Login-Policies) password (Passwortregeln) Mehrere verschiedene Module können pro Interface nacheinander abgearbeitet werden (Stack) PAM-Control flags requisite (notwendig, Stack bricht bei Fehlschlag ab) required (notwendig, Stack wird auch bei Fehlschlag abgearbeitet) sufficient (hinreichend, weitere Module werden ignoriert) optional (trägt zum Fehlschlag eines Stacks nicht bei) Erfolg oder Scheitern des Stacks wird nach Abarbeitung der Module entschieden 7 www.uni-muenster.de/ivvnwz 3
NSS (Name Service Switch) Unix Applikation # ls l 007 0815 drwxr-xr-x user1 group2 file.txt look-up ❶ user info return ❺user info 1. 2. C Library query 3. ❹ sources look-up ❷ info sources return ❸ sequence of sources Name Service Switch /lib/libnss_quelle_1.so /lib/libnss_quelle_2.so /lib/libnss_quelle_3.so files DCE /etc/nsswitch.conf service: Quelle_1 Quelle_2 Quelle_3 8 Name Service Switch Erlaubt es Systeminformationen z.b. user und group Informationen aus verschiedenen Quellen zu beziehen 1. Quelle 2. Quelle 3. Quelle User /etc/passwd NIS-Server DCE Groups /etc/group NIS-Server DCE 9 www.uni-muenster.de/ivvnwz 4
ZIV Unix: DCE/DFS Distributed Computing Environment IBM Entwicklung DCE-Zelle: Pendant zum Active Directory Basiert auf Kerberos Stellt Authentifizierung und Benutzerinformationen zur Verfügung Distributed File System Weiterentwicklung des Andrew File System der Carnegie Melon University Sicheres Filesystem für verteilte, vernetzte Rechner Stellt Dateidienste (z.b. Homeverzeichnis) über NFS-Gateway zur Verfügung 10 ZIV Unix: DCE/DFS Linux-Client Open Source Entwicklung von Dr. Markus Zahn, Rechenzentrum der Universität Augsburg Besteht aus drei Komponenten Client-seitig Name Service Switch Objekt Pluggable Authentication Module Digitales Zertifikat wird benötigt (SSL) Server-seitig NFS-DFS-Gateway Erfordert Registrierung jedes Clients 11 www.uni-muenster.de/ivvnwz 5
Installation zusätzlicher Pakete Korn Shell pdksh (SuSE 9.X/10.0 included) Demo 12 Registrierung des Linux- Rechners beim ZIV Formlos, z.b. per Email bei Jürgen Hölters (holters@uni-muenster.de) Notwendige Information: Hostname des Linuxsystems # hostname PCFT89 Oder besser fully qualified domain name # hostname --fqdn PCFT89.uni-muenster.de 13 www.uni-muenster.de/ivvnwz 6
Installation zusätzlicher Libraries und Zertifikate Name Service Switch /lib/libnss_dce.so.2 Plugable Authentication Module /lib/security/pam_dce.so /etc/security/pam_dce.pem /etc/security/pam_dce/ca.pem Libraries unter <NWZnet_info>\NWZnet\Linux\dfs\SuSE\<Rel.> Zertifikate unter <NWZnet_info>\NWZnet\Linux\configfiles 14 NSS Konfiguration In /etc/nsswitch.conf wird die Liste der Name Service Quellen definiert DCE hat eine eigene NSS-Library (libnss_dce.so.2) SuSE passwd: compat dce groups: compat dce In /etc/nss_dce.conf wird der DCE-Server konfiguriert, der NSS mit den Informationen versorgt server = samba1.uni-muenster.de port = 904 Vorlagen unter <NWZnet_info> \NWZnet\Linux\configfiles 15 www.uni-muenster.de/ivvnwz 7
PAM Konfiguration In /etc/security/pam_dce.conf wird die Verbindung zum Authentifizierungs-Server definiert server = samba1.uni-muenster.de port = 902 cafile = /etc/security/pam_dce/ca.pem certfile = /etc/security/pam_dce.pem Weitergehende Zugriffsfilter Auf Gruppen, z.b. groups = p0zierau,p0santo Auf Benutzer, z.b. users = adamh,xadamh,hhadam Vorlage unter <NWZnet_info> \NWZnet\Linux\configfiles\pam_dce.conf 16 PAM Konfiguration Standard-Linux Für jeden Dienst befindet sich in /etc/pam.d eine Konfigurationsdatei mit dessen Namen, deren Inhalt bestimmt wie eine Authentifizierung durchgeführt wird. # ls /etc/pam.d su rlogin other xdm ssh rexec login... Ab SuSE 9.3 für alle Dienste /etc/pam.d/common-auth auth required pam_env.so auth sufficient pam_unix2.so auth required pam_dce.so Vorlagen unter <NWZnet_info> \NWZnet\Linux\configfiles\common-auth_dce 17 www.uni-muenster.de/ivvnwz 8
Einbindung des DFS (Homeverzeichnisse) Mount point anlegen # mkdir /dfs /etc/fstab ergänzen samba1.uni-muenster.de:/dfs /dfs nfs tcp,rsize=4096 0 0 DFS mounten # mount /dfs 18 NTP Konfiguration Zeitsynchronisation per NTP aktivieren Yast2 Network Services NTP Client 19 www.uni-muenster.de/ivvnwz 9
ZIV Unix: DCE/DFS Offene Fragen und Probleme Einbindung der NWZnet-Homedirectories Kombination von DCE/Dfs und SMB/CIFS + pam_mount Noch zu testen Passwortänderung und -synchronisation Automatischer Passwortabgleich zwischen DCE und Active Directory (Modell RZ Uni Augsburg) Kein Support durch das ZIV, da DCE 2006 ausläuft Änderung aller Passwörter (incl. NWZnet) über die Webseite des ZIV https://user.uni-muenster.de/exec/nutzer Zukunft von DCE? 20 Zusammenfassung Benutzung der ZIV Unix-Ressourcen unter Linux Einführung in die verwendeten Konzepte Linux NSS und PAM IBM DCE/DFS Einbindung einer SuSE Linux Professional Workstation in ZIV Unix Name Service DCE Authentifizierung DCE (Kerberos) Homedirectories DCE/Dfs 21 www.uni-muenster.de/ivvnwz 10
Zusammenfassung Offene Fragen und Probleme NWZnet-Homedirectories Passwörter 22 Q & A Fragen und Antworten NWZnet.uni-muenster.de 23 www.uni-muenster.de/ivvnwz 11