Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:projekt:dokumentation:ldap_freeradius_lam-testumgebung [01.05.2025 17:50] – lars
+++ it-themen:projekt:dokumentation:ldap_freeradius_lam-testumgebung [02.05.2025 21:51] (aktuell) – lars
@@ Zeile 1: / Zeile 1: @@
+[[it-themen:start|zurück]]
 # LDAP + FreeRADIUS + LAM-Testumgebung
 ## 1. Aufbau der Testumgebung
@@ Zeile 37: / Zeile 38: @@
   * (MAC-Adressen der jeweiligen Netzwerkkarten anpassen!)
   * Danach:
-<code bashbash>
+<code bash|bash>
 sudo update-initramfs -u
 sudo reboot</code>
@@ Zeile 90: / Zeile 92: @@
     * Domäne: ''zkm.local''
     * Admin-Password setzen (z. B. ''zkmadminpass'')
-    * Standardmäßig wird nur ''ldap://'' aktiviert (kein TLS)
+    * Standardmäßig wird nur ldap:/ / aktiviert (kein TLS)
   * Zusätzliche Pakete wie curl, vim, less und sudo empfohlen zur Systempflege.
 ---
 ## 4. OpenLDAP – Basisstruktur
-<code ldif|ldif>
+<code ldif|basisstruktur.ldif>
 dn: dc=zkm,dc=local
 objectClass: top
@@ Zeile 113: / Zeile 118: @@
 objectClass: organizationalUnit
 ou: groups</code>
   * Import per:
 <code bash|bash>
 sudo ldapadd -x -D "cn=admin,dc=zkm,dc=local" -W -f basisstruktur.ldif</code>
 ---
-. Beispielbenutzer
-•	Beispielbenutzer anlegen mit Passwort-Hash:
+## 5. Beispielbenutzer
+  * Beispielbenutzer anlegen mit Passwort-Hash:
+<code ldif|ldif>
 dn: uid=demo,ou=people,dc=zkm,dc=local
 objectClass: inetOrgPerson
@@ Zeile 131: / Zeile 142: @@
 homeDirectory: /home/demo
 loginShell: /bin/bash
-userPassword: {SSHA}<gehashtes_Passwort>
+userPassword: {SSHA}<gehashtes_Passwort></code>
-•	Passwort generieren mit:
-slappasswd
+  * Passwort generieren mit:
-________________________________________
-. FreeRADIUS + LDAP-Anbindung
+<code bash|bash>slappasswd</code>
-•	Freeradius LDAP-Modul aktivieren:
-sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/
+---
-•	Konfiguration anpassen:
+## 6. FreeRADIUS + LDAP-Anbindung
+  * Freeradius LDAP-Modul aktivieren:
+<code bash|bash>
+sudo ln -s /etc/freeradius/3.0/mods-available/ldap /etc/freeradius/3.0/mods-enabled/</code>
+  * Konfiguration anpassen:
+<code ruby|conf>
 server = '192.168.100.10'
 identity = 'cn=radius,dc=zkm,dc=local'
@@ Zeile 150: / Zeile 170: @@
 update {
   control:Password-With-Header += 'userPassword'
-}
+}</code>
-•	Zusätzlich in /etc/freeradius/3.0/sites-enabled/default:
+  * Zusätzlich in ''/etc/freeradius/3.0/sites-enabled/default'':
+<code ruby|conf>
 if ((ok || updated) && User-Password && !control:Auth-Type) {
   update {
     control:Auth-Type := ldap
   }
-}
+}</code>
-•	Freeradius Debugmodus zum Testen:
-sudo freeradius -X
+  * Freeradius Debugmodus zum Testen:
+<code bash|bash>
+sudo freeradius -X</code>
 ________________________________________
-. NAT und Routing (VM1)
+## 7. NAT und Routing (VM1)
-•	NAT aktivieren:
+  * NAT aktivieren:
+<code bash|bash>
 sudo iptables -t nat -A POSTROUTING -o wan0 -j MASQUERADE
-sudo iptables -P FORWARD ACCEPT
+sudo iptables -P FORWARD ACCEPT</code>
-•	IP-Forwarding aktivieren:
+  * IP-Forwarding aktivieren:
+<code bash|bash>
 echo "net.ipv4.ip_forward=1" | sudo tee -a /etc/sysctl.conf
-sudo sysctl -p
+sudo sysctl -p</code>
-•	iptables-Regeln dauerhaft speichern:
-sudo netfilter-persistent save
-________________________________________
-. LDAP Account Manager (LAM)
-•	LAM installieren:
-sudo apt install ldap-account-manager
-•	Zugriff via Browser:
-http://192.168.100.10/lam
-•	Login-Einstellungen:
-•	Login-Methode: Direkter DN
-•	Benutzername: cn=admin,dc=zkm,dc=local
-•	Aktivierte Module:
-•	inetOrgPerson
-•	posixAccount
-•	shadowAccount
-•	posixGroup
-•	Standard-Base-DNs:
-•	Benutzer: ou=people,dc=zkm,dc=local
-•	Gruppen: ou=groups,dc=zkm,dc=local
-________________________________________
-. Fallstricke & Fehlerbehebung
-Fehler	Ursache	Lösung
-Benutzer nicht gefunden	falscher Login-Filter	Login-Methode auf "Direkter DN" ändern
-Kein Internet auf VM2	NAT nicht aktiv	iptables + IP-Forwarding überprüfen
-RADIUS kein Passwort	Attribut nicht lesbar	userPassword lesbar machen, Hash prüfen
-slapd lauscht nur lokal	SLAPD_SERVICES falsch	in /etc/default/slapd prüfen
-LAM findet DN nicht	falscher Filter oder OU fehlt	Basisstruktur kontrollieren
-________________________________________
-. Best Practices
-•	Immer sichere {SSHA} Passwörter verwenden
-•	UID/GID sorgfältig verwalten und dokumentieren
-•	Strukturierte OUs anlegen (people, groups)
-•	Freeradius im Debugmodus testen (freeradius -X)
-•	Keine Klartext-Passwörter verwenden
-________________________________________
-. Status
-•	✅ Authentifizierung von LDAP-Usern über FreeRADIUS ✅ NAT und Routing aktiv auf VM1 ✅ Benutzerverwaltung über LAM funktionsfähig
-________________________________________
-•	(Stand: April 2025)
+  * iptables-Regeln dauerhaft speichern:
+<code bash|bash>
+sudo netfilter-persistent save</code>
+---
+## 8. LDAP Account Manager (LAM)
+  * LAM installieren:
+<code bash|bash>
+sudo apt install ldap-account-manager</code>
+  * Zugriff via Browser:
+    * http://192.168.100.10/lam
+  * Login-Einstellungen:
+    * Login-Methode: Direkter DN
+    * Benutzername: cn=admin,dc=zkm,dc=local
+  * Aktivierte Module:
+    * inetOrgPerson
+    * posixAccount
+    * shadowAccount
+    * posixGroup
+  * Standard-Base-DNs:
+    * Benutzer: ou=people,dc=zkm,dc=local
+    * Gruppen: ou=groups,dc=zkm,dc=local
+---
+## 9. Fallstricke & Fehlerbehebung
+^Fehler	^Ursache	^Lösung^
+|Benutzer nicht gefunden	|falscher Login-Filter	|Login-Methode auf "Direkter DN" ändern|
+|Kein Internet auf VM2	|NAT nicht aktiv	|iptables + IP-Forwarding überprüfen|
+|RADIUS kein Passwort	|Attribut nicht lesbar	|userPassword lesbar machen, Hash prüfen|
+|slapd lauscht nur lokal	|SLAPD_SERVICES falsch	|in /etc/default/slapd prüfen|
+|LAM findet DN nicht	|falscher Filter oder OU fehlt	|Basisstruktur kontrollieren|
+---
+## 10. Best Practices
+  * Immer sichere {SSHA} Passwörter verwenden
+  * UID/GID sorgfältig verwalten und dokumentieren
+  * Strukturierte OUs anlegen (people, groups)
+  * Freeradius im Debugmodus testen (freeradius -X)
+  * Keine Klartext-Passwörter verwenden
+---
+## 11. Status
+ ✅ Authentifizierung von LDAP-Usern über FreeRADIUS\\
+ ✅ NAT und Routing aktiv auf VM1\\
+ ✅ Benutzerverwaltung über LAM funktionsfähig\\
+---
+  * (Stand: April 2025)
+ {{avatar>lars|Lars.Weiss@gmail.com?l|Lars Weiß}} //[[Lars.Weiss@gmail.com|Lars Weiß]] 2025/05/01 17:31//