Backuppc fuer die Verwendung von LDAP + Kerberos/GSSAPI konfigurieren

You would like to show your appreciation for our help . Gladly. 🙏 We thank you for your donation!

In-house Apt-Repo: https://apt.iteas.at
GITLAB:

Verwendetes System: Ubuntu 24.04

Voraussetzungen:

• BackupPC wurde auf 24.04 mit APT installiert
• Ein LDAP Server zur Authentifizierung ist im Netzwerk vorhanden, als Backend in meine Beispiel wird Univention UCS verwendet.
• Die Kommunikation zum BackupPC Webinterface erfolgt mit Apache2 über HTTPS über ein gültiges Zertifikat

Bei der Installation von BackupPC wird auch bereits Apache mit installiert. Und bis auf die HTTPS Anbindung ist das Gespann grundsätzlich mal einsatzfähig. Für den BackupPC selbst wird kein vHost im klassischen Sinne erstellt sondern lediglich eine Config:

ls -l  /etc/apache2/conf-enabled/backuppc.conf
lrwxrwxrwx 1 root root 31 Dec 21 22:26 /etc/apache2/conf-enabled/backuppc.conf -> ../conf-available/backuppc.conf

Um die LDAP Authentifizierung zu ermöglichen installieren wir das dafür vorgesehene Apachemodul nach:

apt-get install libapache-authznetldap-perl

Die Module in Apache aktivieren:

a2enmod ldap
a2enmod authnz_ldap

In der Konfigfile von backuppc können nun LDAPgruppen und Benutzer für die Administration eingetragen werden. Wir reden hier ausschließlich von Administratoren. Normale Benutzer werden direkt im Webinterface von BackupPC den enzelnen Host zugeordnert. nano /etc/backuppc/config.pl

$Conf{CgiAdminUserGroup} = 'backuppc andere_admingruppe';
$Conf{CgiAdminUsers} = 'backuppc user1 user2';

Jetzt noch das LDAP in der Apacheconfig von Backuppc festlegen. nano /etc/apache2/conf-enabled/backuppc.conf

Alias /backuppc /usr/share/backuppc/cgi-bin/
 
<Directory /usr/share/backuppc/cgi-bin/>
 
<IfModule !authz_core_module>
  Order deny,allow
  Deny from all
  Allow from 127.0.0.1
  Require valid-user
</IfModule>
 
<IfModule authz_core_module>
  <RequireAll>
    Require valid-user
  </RequireAll>
</IfModule>
 
AuthType Basic
AuthName "BackupPC Enterprise Login"
AuthBasicProvider ldap
AuthLDAPURL "ldaps://dc1.tux.lan:7636/dc=tux,dc=lan?uid?sub?(objectClass=posixAccount)"
AuthLDAPGroupAttribute memberUid
AuthLDAPGroupAttributeIsDN off
AuthLDAPBindDN "uid=ldapreader,cn=users,dc=tux,dc=lan"
AuthLDAPBindPassword "secret"
Require ldap-group cn=backuppc-admin,cn=tux-admingroups,cn=groups,dc=tux,dc=lan
 
        Options ExecCGI FollowSymlinks
        AddHandler cgi-script .cgi
        DirectoryIndex index.cgi
 
</Directory>

Nach einem Neustart von Apache2 systemctl restart apache2.service ist ab sofort nur mehr der LDPA Login verfügbar.

Verwendetes System: Ubuntu 24.04

Voraussetzungen: