Gruppenbasierte Autorisierung

gruppen autorisierung ldap authentik rollen ssh sso

In diesem Artikel schauen wir uns an, wie du auf Basis von LDAP-Gruppen differenzierte Zugriffsrechte in deiner Umgebung definierst. Gruppenbasierte Autorisierung ist ein Kernbestandteil jedes Rollenmodells – sei es im Kontext von SSH-Zugängen, Webanwendungen oder SSO-Flows über Authentik.

Ziel

  • Autorisierung auf Basis von LDAP-Gruppen
  • Zugriff auf Webdienste gezielt regeln (Authentik)
  • SSH-Zugriff auf Gruppen beschränken

Voraussetzungen

  • Vorherige Artikel gelesen (LDAP, Authentik, SSH)
  • LDAP-Gruppenstruktur vorhanden (z. B. cn=admins, cn=users, ...)
  • Authentik ist LDAP-gebunden und kennt die Gruppen

Teil 1: Gruppen in LDAP verwalten

Die Gruppenzuordnung erfolgt im LDAP meist über memberOf oder uniqueMember. Beispiel:

# Beispiel: Gruppe "admins"
dn: cn=admins,ou=groups,dc=example,dc=lan
objectClass: groupOfNames
cn: admins
uniqueMember: uid=alice,ou=people,dc=example,dc=lan

Du kannst Gruppen in LAM (LDAP Account Manager) bequem pflegen (siehe Artikel 3).

Teil 2: Authentik – Zugriff über Gruppen steuern

Ressourcen und Bindings

In Authentik:

  1. Lege eine Ressource an (z. B. "Nextcloud-Access")

  2. Erstelle ein GroupBinding mit Bedingungen:

    • Gruppe: admins
    • Policy: Allow

Dadurch wird der Zugriff auf Benutzer der Gruppe admins beschränkt.

Anwendung: Rollenmodelle

  • Admins dürfen Admin-UI sehen
  • Benutzer erhalten Leserechte
  • Entwickler haben Zugriff auf bestimmte Dienste

Teil 3: SSH-Zugriff per Gruppe steuern

SSH-Konfiguration

Du kannst den SSH-Zugang auf Mitglieder bestimmter Gruppen beschränken:

sudo apt install libnss-ldap libpam-ldap

In /etc/ssh/sshd_config:

AllowGroups sshusers admins

Nur Mitglieder dieser Gruppen können sich anmelden.

PAM-basierte Gruppensteuerung (optional)

In /etc/security/group.conf:

sshd;*;*;Al0000-2400;sshusers,admins

Und in /etc/pam.d/sshd aktivieren:

auth required pam_group.so use_first_pass

Fazit

Mit gruppenbasierter Autorisierung lassen sich differenzierte Zugriffsmodelle realisieren. Ob in Authentik oder für SSH – Gruppen bieten eine einfache, zentrale Möglichkeit, Berechtigungen zu verwalten.

Im nächsten Artikel beleuchten wir, wie Logging und Accounting in einer AAA-Infrastruktur umgesetzt werden kann.

Vorheriger Beitrag