Einleitung: AAA unter Linux zentral verwalten

authentication authorization accounting ldap samba openid saml oauth freeradius ssh passkeys linux zentralisierung AI generated KI generiert

Willkommen zu meiner Blogserie zum Thema "AAA unter Linux" – also Authentication, Authorization und Accounting. In dieser Artikelreihe möchte ich zeigen, wie man unter Linux eine vollständige und zentrale Benutzer- und Rechteverwaltung aufsetzt, erweitert und pflegt. Ziel ist es, eine moderne, offene und nachvollziehbare Umgebung zu schaffen, die sich sowohl in kleinen Unternehmen als auch im fortgeschrittenen Heimnetzwerk sinnvoll einsetzen lässt.

Ziel der Serie

Ich möchte zeigen, wie man eine zentrale Identitäts- und Zugriffsverwaltung mit freier Software aufbaut. Angefangen bei einem eigenen Active Directory mit Samba über die Verwaltung via LDAP Account Manager, bis hin zu modernen Authentifizierungs- und Autorisierungsmechanismen wie SAML, OAuth/OpenID und Passkeys. Zusätzlich geht es um praktische Themen wie zentrale SSH-Schlüsselverwaltung, Radius-Integration oder automatisierte Benutzerverzeichnisse.

Die Artikel sind dabei modular aufgebaut – man kann sie einzeln lesen und umsetzen, oder Schritt für Schritt eine vollständige Umgebung aufbauen. Ich verwende aktuelle Versionen von Debian und setze auf leicht nachvollziehbare Konfigurationen. Docker kommt zum Einsatz, wo es sich anbietet.

Für wen ist diese Serie gedacht?

Die Serie richtet sich an IT-Affine, Admins, Linux-Nerds und interessierte Bastler, die sich mit den Themen Benutzerverwaltung, Authentifizierung und zentraler Zugriffskontrolle intensiver beschäftigen möchten. Vorkenntnisse in Linux und Netzwerken sind hilfreich, aber ich versuche, auch komplexere Themen verständlich und nachvollziehbar aufzubereiten.

Geplante Artikel

Hier ein Überblick über die kommenden Artikel:

  1. Einleitung (dieser Artikel) – Überblick, Zielsetzung und Struktur
  2. Samba als Active Directory auf Debian – Installation, Benutzerverwaltung, LDAP-Basis
  3. LDAP Account Manager (LAM) – Verwaltung via Weboberfläche im Docker-Container
  4. Authentik als Identity Provider – Single-Sign-On via LDAP, OAuth, SAML
  5. FreeRADIUS mit LDAP-Anbindung – Netzwerkzugriff authentifizieren, Gruppen zurückgeben
  6. Zentrale Linux- und SSH-Authentifizierung – SSH-Keys in LDAP, PAM-Homeverzeichnisse
  7. SAML/OAuth/OpenID in der Praxis – Beispiele mit Portainer, Nextcloud & Co.
  8. Passkeys mit PocketID – Erweiterung der Umgebung um FIDO2/WebAuthn

Weitere mögliche Themen

Falls Interesse besteht, könnten in Zukunft auch folgende Themen ergänzt werden:

  • Zentralisiertes Logging und Accounting (z. B. via Graylog/Elastic + Radius Accounting)
  • Integration in Kubernetes-Umgebungen (z. B. via Dex, Keycloak, Authentik)
  • VPN-Zugänge mit zentraler Nutzerverwaltung
  • Zugriffskontrolle mit Policies und Gruppenrechten (z. B. via FreeIPA oder Keycloak)

Falls du Ideen oder konkrete Wünsche hast, freue ich mich über Feedback – denn dieser digitale Garten wächst mit seinen Leser\:innen.

Im nächsten Artikel zeige ich dir, wie du Samba auf einem Debian-System als Active Directory Domain Controller einrichtest – inklusive DNS, Kerberos und der ersten Benutzer.

Bleib dran!

Vorheriger Beitrag Nächster Beitrag