Homedir aus LDAP in jail

mousaka

mousaka

getting older
Hi

Auf meinem System läuft ein LDAP-Server. In einer Jail auf dem gleichen System kann ich mich mit Benutzern aus dem LDAP-Verzeichniss erfolgreich anmelden.

Was mir jetzt noch fehlt sind die Benutzerverzeichnisse (homedir). Diese habe ich in der Jail nicht zu Verfügung.
Der bekannste Vorschlag wäre NFS, was aber für eine jail wegfällt.
Kann ich meinen Wunsch über über nullfs realisieren?

Reicht es direkt das Verzeichnis /home in der Jail zur Verfügung zu stellen oder muss ich dies pro Benutzer machen:
Code: 
/home /usr/jail/testjail/home     nullfs    rw
oder
Code: 
/home/mousaka /usr/jail/testjail/home/mousaka     nullfs    rw

Da es sich nur um wenige Benutzer handelt wäre auch die zweite Variante gangbar, aber sicher nicht elegant.
Gerne würde ich aber in der Jail einen lokalen User (natürlich mit homedir) haben, der nicht im LDAP vorhanden ist, um cron-Jobs laufen zu lassen. Dies sprict gegen Variante 1

Das LDAP-Verzeichnis verfügt über folgende Einträge pro User:
Code: 
homeDirectory: /home/mousaka
loginShell: /bin/csh

Samba wäre auch Möglichkeit, allerdings ist jeweils nur ein Teil des Home-Verzeichnissen (~/windows) als Homedir für Windows Clients freigegeben.

Was ist die sinnvollste Lösung für diese Problem?

mousaka
 
Hallo mousaka,

wie ich in meinem damaligen Artikel geschrieben habe, solltest Du PAM und NSS in der Jail einrichten, was genau so funktioniert, wie am Host. Achte aber darauf, dass Du kein localhost einträgst, sondern immer die Adresse der Jail oder die Adresse des LDAP-Servers.
Um Homedirs in der Jail anzulegen, gibt es ein PAM-Modul, welches das Homedir beim ersten Login automatisch anlegt. Es heißt, glaube ich, pam_mkhomedir. Natürlich hast Du qua jail nicht die Daten des Hosts in diesem Verzeichnis.

Wenn Du in der Jail einen lokalen User haben möchtest, gehst Du genauso vor, als ob der User am Host angelegt werden würde: pw user add [...]

Viele Grüße

Juedan
 
wie ich in meinem damaligen Artikel geschrieben habe, solltest Du PAM und NSS in der Jail einrichten, was genau so funktioniert, wie am Host. Achte aber darauf, dass Du kein localhost einträgst, sondern immer die Adresse der Jail oder die Adresse des LDAP-Servers.
Zum Vergrößern anklicken....
Welcher Artikel? Wars in einer freex-Ausgabe? Falls ja, habe ich leider nicht. Wie komme ich dazu?
pam_ldap und nss_ldap funktionieren bereits (ungefähr nach Samba PDC Anleitung).

Um Homedirs in der Jail anzulegen, gibt es ein PAM-Modul, welches das Homedir beim ersten Login automatisch anlegt. Es heißt, glaube ich, pam_mkhomedir. Natürlich hast Du qua jail nicht die Daten des Hosts in diesem Verzeichnis.
Zum Vergrößern anklicken....
Werde mal pam_mkhomedir ausprobieren. Damit wird aber, nach meinem Verständnis, ein neues Benutzerverzeichnis in der Jail erstellt. Eigentlich wollte ich das Benutzerverzeichnis aber auch zentral haben.

Mein Setup zu :
  • Server mit LDAP, Samba und Benutzerverzeichnissen
  • Jail auf obigem Server mit Mail-Hamster
Die E-Mails sollen jetzt nicht in der Jail sondern halt auf dem eigentlichen Server abgelegt werden.

Es ist mir bewusst, dass ich damit wohl einen Teil der Sicherheit die Jails bieten wieder "opfere".

mousaka
 
Moin mousaka,

Werde mal pam_mkhomedir ausprobieren. Damit wird aber, nach meinem Verständnis, ein neues Benutzerverzeichnis in der Jail erstellt. Eigentlich wollte ich das Benutzerverzeichnis aber auch zentral haben.
Zum Vergrößern anklicken....

Mein Setup zu :

* Server mit LDAP, Samba und Benutzerverzeichnissen
* Jail auf obigem Server mit Mail-Hamster

Die E-Mails sollen jetzt nicht in der Jail sondern halt auf dem eigentlichen Server abgelegt werden.
Zum Vergrößern anklicken....

Zwei Möglichkeiten hast Du:
  • Pack in die Jail den Mail-Hamster (fetchmail/postfix o.ä.) und auf dem Host richtest Du den POP3 oder IMAP ein, ganz nach gusto. Damit hast Du die Sicherheit erhalten. Du mußt allerdings bei der Konfiguration aufpassen!
  • Installiere Mailhamster (evtl. mit Webfrontend) und IMAP in der Jail. Damit hast Du auf dem Host die alle privaten userbezogenen Konfigs und Dateien. In der Jail tummeln sich nur die Emails und Homedirs werden nicht benötigt.

Wenn Du unbedingt die vorhandenen Homedirs in der Jail haben möchtest, dann ist nullfs Dein Freund. Du mußt dann aber für jeden User ein Homedir manuell anlegen und sähe in der fstab so aus:
Code: 
/home/$USER /jail/home/$USER    nullfs  rw    0    0

Viele Grüße

Juedan
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben