Dies ist eine alte Version des Dokuments!
Backuppc fuer die Verwendung von LDAP + Kerberos/GSSAPI konfigurieren
Verwendetes System: Ubuntu 24.04
BackupPC mit LDAP Authentifizierung
Voraussetzungen:
- BackupPC wurde auf 24.04 mit APT installiert
- Ein LDAP Server zur Authentifizierung ist im Netzwerk vorhanden
- Die Kommunikation zum BackupPC Webinterface erfolgt mit Apache2 über HTTPS über ein gültiges Zertifikat
Bei der Installation von BackupPC wird auch bereits Apache mit installiert. Und bis auf die HTTPS Anbindung ist das Gespann grundsätzlich mal einsatzfähig. Für den BackupPC selbst wird kein vHost im klassischen Sinne erstellt sondern lediglich eine Config:
ls -l /etc/apache2/conf-enabled/backuppc.conf lrwxrwxrwx 1 root root 31 Dec 21 22:26 /etc/apache2/conf-enabled/backuppc.conf -> ../conf-available/backuppc.conf
Um die LDAP Authentifizierung zu ermöglichen installieren wir das dafür vorgesehene Apachemodul nach:
apt-get install libapache-authznetldap-perl
Die Module in Apache aktivieren:
a2enmod ldap a2enmod authnz_ldap
In der Konfigfile von backuppc folgende Änderungen erledigen:
nano /etc/backuppc/config.pl
$Conf{CgiAdminUserGroup} = 'backuppc andere_admingruppe';
$Conf{CgiAdminUsers} = 'backuppc user1 user2';
Jetzt noch das LDAP in der Apacheconfig von Backuppc festlegen.
nano /etc/backuppc/apache.conf
Alias /backuppc /usr/share/backuppc/cgi-bin/
<Directory /usr/share/backuppc/cgi-bin/>
AllowOverride None
Allow from all
# Uncomment the line below to ensure that nobody can sniff importanti
# info from network traffic during editing of the BackupPC config or
# when browsing/restoring backups.
# Requires that you have your webserver set up for SSL (https) access.
#SSLRequireSSL
Options ExecCGI FollowSymlinks
AddHandler cgi-script .cgi
DirectoryIndex index.cgi
# AuthUserFile /etc/backuppc/htpasswd
# AuthType basic
# AuthName "BackupPC admin"
# require valid-user
AuthType Basic
AuthName "Auth Message"
AuthBasicProvider ldap
AuthzLDAPAuthoritative on
AuthLDAPURL "ldap://ldapslave.tux.local ldapmaster.tux.local box.tux.local/dc=tux,dc=local?uid?sub"
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
Require ldap-group cn=backuppc,ou=usergroups,ou=group,ou=wiki,ou=wifi,ou=hallo,ou=messaging,ou=webhosting,dc=tux,dc=local
</Directory>
Wie man sieht wird er Teil mit der „htpasswd“ einfach auskommentiert. Ganz unten wird dann die Gruppe angegeben wo der Benutzer Mitglied sein muss damit es ihm überhaupt möglich ist auf des Interface von Backuppc zu zugreifen.
Apache plain LDAP - Grundkonfig
Für Ubuntu apacheLDAP aktivieren:
sudo a2enmod authnz_ldap
First add following to the global Apache ldap config /etc/apache2/modules.d/46_mod_ldap.conf:
LDAPTrustedMode TLS LDAPVerifyServerCert On LDAPTrustedGlobalCert CA_BASE64 /etc/openldap/ssl/ldap1.ca
This confirms that only TLS connections are allowed with the specified CA File (copy the ca file first into the specified location).
Then you can use LDAP-Auth as following:
AuthType Basic AuthName "Auth Message" AuthBasicProvider ldap AuthzLDAPAuthoritative on AuthLDAPURL "ldap://dc1.tux.lan dc2.tux.lan/dc=tux,dc=lan?uid?sub" AuthLDAPGroupAttribute memberUid AuthLDAPGroupAttributeIsDN off Require ldap-group cn=tuxgroups,ou=group,dc=tux,dc=lan
Just edit this to your needs, for example another group is required for Auth.