14.14 Konfiguration des LAM Pro
Wenn Sie Ihre Benutzer nicht nur über die Kommandozeile verwalten wollen, sondern auch über ein grafisches Werkzeug, ist der LDAP Account Manager (LAM) eine gute Wahl. Die LAM-Pro-Version ist zwar nicht kostenfrei, bietet aber die Möglichkeit, Ihre Benutzer komplett grafisch zu verwalten. Um Ihnen einen Einblick in die Möglichkeiten zu geben, wollen wir Ihnen hier die Funktion der Benutzerverwaltung mit dem LAM zeigen.
Nach der Installation des LAM Pro können Sie ihn wie gewohnt konfigurieren. Wenn Sie später auch über den LAM die Kerberos-Passwörter der Benutzer ändern wollen, müssen Sie auf dem Webserver noch ein paar Einstellungen vornehmen. Der Webserver wird später das Programm kadmin aufrufen, um die Passwörter zu ändern. Daher benötigt der Webserver auch das Recht dazu. Das Recht erhält der Webserver über einen Service-Principal. Diesen müssen Sie als Erstes anlegen und anschließend in eine keytab-Datei exportieren, die dann in dem Webserver eingebunden wird. In Listing 14.79 sehen Sie die Vorgehensweise:
kadmin: addprinc -randkey HTTP/k1.example.net@EXAMPLE.NET
WARNING: no policy specified for HTTP/k1.example.net@EXAMPLE.NET; \
defaulting to no policy
Principal "HTTP/k1.example.net@EXAMPLE.NET" created.
kadmin: ktadd -k /etc/apache2/lam.keytab HTTP/k1.example.net@EXAMPLE.NET
Entry for principal HTTP/k1.example.net@EXAMPLE.NET with kvno 4, encryption type \
aes256-cts-hmac-sha1-96 added to keytab WRFILE:/etc/apache2/lam.keytab.
Entry for principal HTTP/k1.example.net@EXAMPLE.NET with kvno 4, encryption type \
arcfour-hmac added to keytab WRFILE:/etc/apache2/lam.keytab.
Entry for principal HTTP/k1.example.net@EXAMPLE.NET with kvno 4, encryption type \
des3-cbc-sha1 added to keytab WRFILE:/etc/apache2/lam.keytab.
Entry for principal HTTP/k1.example.net@EXAMPLE.NET with kvno 4, encryption type \
des-cbc-crc added to keytab WRFILE:/etc/apache2/lam.keytab.
Listing 14.79 Erstellen des Service Keys
Jetzt müssen Sie dem Webserver noch das Recht geben, Passwörter zu ändern. Das regeln Sie über die Datei kadm5.acl wie in Listing 14.80:
*/admin@EXAMPLE.NET *
HTTP/k1.example.net@EXAMPLE.NET c
*@EXAMPLE.NET il
*/*@EXAMPLE.NET i
Listing 14.80 Anpassung der ACLs
Starten Sie anschließend den KDC und den Admin-Server neu, um die Änderungen wirksam werden zu lassen. Jetzt können Sie das Ändern der Passwörter testen:
root@k1:~# kadmin -k -t /etc/apache2/lam.keytab -p HTTP/k1.example.net \
-q 'cpw -pw geheim stefan'
Authenticating as principal HTTP/k1.example.net with keytab /etc/apache2/lam.keytab.
Password for "stefan@EXAMPLE.NET" changed.
Listing 14.81 Änderung der Passwörter
[+] Sorgen Sie jetzt dafür, dass die Gruppe, unter der der Webserver läuft, das Leserecht an der keytab-Datei erhält. Passen Sie auch die Berechtigungen an der Log-Datei für den kadmin an, sodass die Gruppe, unter der der Webserver läuft, dort schreiben darf.
Beim Erstellen der Datei hat nur der root Rechte an der Datei. Jetzt können Sie das Profil für Ihren LDAP-Server im LAM anpassen. Dafür müssen Sie in der Profilverwaltung unter dem Karteireiter Moduleinstellungen den Befehl für Passwortänderung anpassen. Übernehmen Sie die Einstellungen aus Abbildung 14.2.
Abbildung 14.2 Einstellung der Passwortänderung im »LAM Pro«
Damit beim Anlegen eines neuen Benutzers der Realm richtig gesetzt wird, melden Sie sich als Admin Ihres LDAP-Servers am LAM an, starten den Profileditor und passen die Einstellungen für das Kerberos-Modul so an, wie Sie es in Abbildung 14.3 sehen.
Abbildung 14.3 Einstellung in der Profilverwaltung des»LAM Pro«
Wenn Sie jetzt einen neuen Benutzer anlegen, können Sie das Kerberos-Modul für den Benutzer aktivieren und anschließend das Kerberos-Passwort ändern. Das UNIX-Passwort müssen Sie nicht setzen. Nachdem Sie den Benutzer angelegt haben, können Sie ihn mit kinit testen.
Jetzt haben Sie neben der Verwaltung der Benutzer über die Kommandozeile auch die Möglichkeit, Ihre Benutzer grafisch zu verwalten.