AIX-Benutzerverwaltung über LDAP
 

Hey,

also ich sitz hier im Geschäft als dummer Azubi und hab die Aufgabe bekommen mal ein paar Nachforschungen anzustellen und ein Test-System aufzubauen.

Bei dem ganzen geht es um folgendes:

Ich habe einen Windows2003-Server, auf dem per "Active Directory" meine Benutzerverwaltung für AIX 5.3-Systeme verwaltet werden soll.
Es sollen also die AIX-Systeme sich beim anmelden auf den Server connecten und prüfen, ob Benutzername und Passwort richtig sind.


Ich hab nun keine Ahnung wie ich das machen soll. Das einzige was ich bisher rausgefunden hab, ist das irgendwie über LDAP funktionieren könnte.

Hat da jemand so eine Art grobe Anleitung, wie ich da vorgehen kann? Es muss ja nicht Detailgenau sein aber zumindest grundlegenden Schritte.

Außerdem stellt sich mir eine weitere Frage...Ist das Active-Directory vom Windows2003-Server gleichzeitig ein LDAP-Server oder muss ich da noch extra einen Server einplanen?


Vielen Danke für eure Antworten


damn-86

Re: AIX-Benutzerverwaltung über LDAP
 

Hi und erstmal Herzlich Willkommen in der DP :dp:

Soweit ich das weiß, basiert das Active Directory auf LDAP (für die Benutzerverwaltung) zusammen mit Kerberos (für die Benutzerauthentifizierung). Die nötigen Komponenten bringt der Windows Server (wie gewohnt) auch gleich mit, Du musst Dich also nicht um eine extra Lösung bemühen. Das mag auf den ersten Blick nach einem vermeintlichen Vorteil aussehen, kann sich auf den Zweiten aber als das Gegenteil erweisen. Bei Active Directory mischt (afaik) MS wiederum ein paar properitäre Dinge ein, so dass man hier nicht unbedingt ganz so leicht an das Know-How kommt, wie was funktioniert.

Da AIX ein Linux Derivat ist, lohnt sich vielleicht der Blick rüber zum unsichereren, kleinen Verwandten, der Linux Welt. Dort findest Du bestimmt schneller was, wie man Linux und das Active Directory zusammen verwenden kann und ggf. lässt sich die Lösung ja direkt auf AIX übertragen (z.B. Samba unter AIX übersetzen, die gcc gibt's doch bestimmt auch für IBMs Unix?)

Gruß,
Der Unwissende

[edit]
Oh, soweit ich das sehe, habe ich MS hier völlig falsch Böses unterstellt. Die haben wirklich auf LDAP und Kerberos umgestellt, ohne eigene Erweiterungen (suggeriert mir ein ganz kurzes Googlen). Also solltest Du das Problem recht einfach lösen können, da müsste es wie gesagt für Linux schon gute Tutorials geben.
[/edit]

Re: AIX-Benutzerverwaltung über LDAP
 

Dass AIX ein Linux-Derivat ist, halte ich für ein Gerücht ;-)
Es ist eben ein Unix. Aber seit einigen Versionen ist es wohl POSIX-kompatibel, so dass insbesondere die GNU-Tools (und mit Hilfe dieser Programme erstellte Programme) problemlos laufen sollten, also auch Samba etc.

Re: AIX-Benutzerverwaltung über LDAP
 

Was hab ich denn da geschrieben?! :oops: Meine natürlich ein Unix Derivat, peinlich.

Re: AIX-Benutzerverwaltung über LDAP
 

Hey,

erst mal vielen Dank für eure Antworten.
Dann werde ich mich jetzt mal daran setzen, wie man ein Linux mit dem Windows Active Directory verknüpft. Da findet man einiges bei Google.

Ich werde mich mit Sicherheit nochmal melden ;-)

Gruß
damn-86

Re: AIX-Benutzerverwaltung über LDAP
 

so, nun ist es soweit...ich hänge und komm nicht weiter.

Ich hab nach langem suchen bei IBM ein Redbook gefunden, dass genau das Thema behandelt.
Hier ist mal der Link, falls jemand interessiert sein sollte:
http://www.redbooks.ibm.com/redbooks/pdfs/sg247165.pdf

Hier bin ich nun auf Buchseite 244 (PDF-Seite 262) angekommen und bekomme bei dem Befehl "lsldap -a passwd test02" die Meldung: Object(s) not found: test02

An was kann das liegen? Ich bin eigentlich streng nach Anleitung vorgegangen und bisher haben auch alle Konfigurationen funktioniert???

Re: AIX-Benutzerverwaltung über LDAP
 

Hey,

Als ich heute morgen den Server gestartet habe, konnte ich mich auf einmal nicht mehr anmelden. Er blieb noch vor der Anmeldung bei "preparing network connections" stehen.
Auch die Reparaturfunktion usw hat nichts gebracht und ich habe mich dafür entschlossen den Server noch einmal neu aufzusetzen.
Und siehe da...es funktioniert.

Das Problem hat sich also von allein gelöst *g* (wenn es doch nur bei allen Problemem so wäre)

Inzwischen kann ich mich über LDAP anmelden. Allerdings habe ich noch folgendes Problem:

Ich gebe ja im Active Directory an, welches Verzeichnis das Home-Verzeichnis des Users sein soll. Allerings gibt es dieses Home-Verzeichnis auf dem Client ja noch nicht ^^
Aus dem Grund kommt auch eine Fehlermeldung bei der Anmeldung.
Nachdem ich das Verzeichnis mittels root angelegt hatte, funktionierte es einwandfrei.

Allerdings ist das ja nicht ganz Sinn der Sache, dass ich jedes mal als root an den Kisten überall die Homeverzeichnisse anlege.
Und das Homeverzeichnis auf "/" zu setzen oder in einen allgemeinen Ordner möchte ich auch nicht. Der User soll ja schließlich sein eigenes Verzeichnis haben.

Kennt da jemand ein Möglichkeit, wie ich das lösen könnte? Bei Windows ist es ja so, dass bei der ersten Anmeldung ein Homeverzeichnis auf dem PC erstellt wird. Geht das bei AIX auch?

Re: AIX-Benutzerverwaltung über LDAP
 

Also bei einem Linux-Netz kenne ich das so, dass die Home-Verzeichnisse aller Benutzer per NFS gemountet sind und dadurch auf allen Clients zur Verfügung stehen. Die Rechte für den Zugriff auf das eigene Verzeichnis bekommt man dann durch die Authentifizeierung per LDAP.

Re: AIX-Benutzerverwaltung über LDAP
 

Hallo,

ich würde mich mal nach dem PAM-Modul mkhomedir umschauen.

Freundliche Grüße

Re: AIX-Benutzerverwaltung über LDAP
 

das mit mkhomedir hört sich richtig interessant an.

Allerdings habe ich noch nirgends etwas gefunden, wie ich das ganze verwirkliche.

Brauch ich Zusatzpakete oder hat AIX 5.3 das gleich Standardmäßig drauf.

Wo muss ich eintragen, dass mkhomedir verwendet werden soll. <-- Dazu finde ich nur bschreibungen dass es geht, nicht aber wie?!?!

Re: AIX-Benutzerverwaltung über LDAP
 

PAM wird von AIX V5.3 nativ unterstützt, ich habe aber leider kein Test-System vor mir.

Sollte pam_mkhomedir bereits installiert sein, dann würde ich es in /usr/lib/security erwarten.

Re: AIX-Benutzerverwaltung über LDAP
 

hm...ich bin mir nicht ganz sicher, ob es nun installiert ist, oder nicht. *g* (Hab ich schon erwähnt, dass ich mich ziemlich wenig mit AIX auskenne *g*)

Also es gibt in /usr/lib/security/ ein paar Objekte mit dem Namen pam_XXX (prohibit, aix,...) aber kein pam_mkhomedir.
Allerdings gibt es wiederum eine mkuser.default und eine mkuser.sys. In der mkuser.sys läuft ein "programm", dass überprüft, ob es den User schon gibt, und wenn nicht, wird ein Verzeichnis erstellt. Aus der mkuser.default, wird meiner Meinung nach der Ort für das Vezeichnis ausgelesen.

Das ist ja im Prinzip genau das, was ich möchte. Aber ist das nun pam_mkhomedir, oder nicht?
Wenn ja, wie binde ich es ein? Reicht es in die /etc/pam.conf "OTHER session required /usr/lib/security/pam_mkhomedir" einzutragen???

Oder wie binde ich die mkuser.sys ein, falls dies nicht das gleiche ist wie pam_mkhomedir?


Ich steh sowas von auf dem Schlauch....HIIIIIIILFEEEEEEEEEE

Re: AIX-Benutzerverwaltung über LDAP
 

Hallo,

in einem IBM Redbook habe ich folgendes gelesen:

Die Basiskonfiguration für die Authentisierung gegen einen LDAP Server hast du doch schon hinbekommen. Vielleicht hilft dir das noch ein Stück weiter?

Freundliche Grüße

Re: AIX-Benutzerverwaltung über LDAP
 

das hatte ich auch schon probiert.
Allerdings ohne Erfolg.

Kann es nicht dich sein, dass bei mir das pam_mkhomedir-Modul nicht integriert ist. Oder ist das automatisch mit dabei, wenn im Ordner /etc/lib/security Dateien wie pam_aix oder pam_rchosts_auth sind?

Denn wenn ich die andern Einträge betrachte in der /etc/pam.conf, dann fällt mir auf, dass die dort erwähnten Module auch in der /etc/lib/security vorhanden sind.

Wo bekomm ich denn dieses verdammte Modul her? :wall:



Das folgende ist im Prinzip ja auch das, was ich möchte. Aber ich finde keine Doku dazu, wie ich das einbinden kann ^^ http://www.trustsec.de/soft/oss.html

Re: AIX-Benutzerverwaltung über LDAP
 

Alles was du brauchst steht doch in der beigepackten Datei "readme" - was willst du mehr?

Re: AIX-Benutzerverwaltung über LDAP
 

das funktioniert aber nicht. :(

Erst mal hatte ich Probleme das Teil zu kompilieren (was aber letzendlich geklappt hat)

In der Readme steht dann, dass ich die if-Abfrage in meine Profile-Datei kopieren soll....gesagt getan. Aber geändert hat sich gar nichts.

Es kommt immer noch genau der gleiche Fehler. muss ich nun in der pam.conf einstellen, dass das Profile verwendet wird?

Re: AIX-Benutzerverwaltung über LDAP
 

Ich habe leider keinen Zugriff auf ein AIX-System und kann nur nach Hinweisen im Web suchen. Sorry. Falls sich nicht noch jemand mit konkreten Erfahrungen in dieser Angelegenheit findet, solltest du ein Posting in einem AIX-Forum in Erwägung ziehen. Die im PAM-Kontext zu modifizierenden Konfigurationsdateien sollten eigentlich in der dir bekannten IBM-Literatur genannt werden.

Hast du dir mal das Kapitel 4.3.5 Configuring LDAP automounter im IBM RedBook Integrating AIX into Heterogeneous LDAP Environments angesehen?