LDAP Account Manager (LAM) im Docker-Container

ldap lam docker samba webinterface AI generated KI generiert

In diesem Artikel bauen wir auf unserem Samba-AD-Server auf und ergänzen eine komfortable Oberfläche zur Benutzerverwaltung: den LDAP Account Manager (LAM). Wir betreiben LAM im Docker-Container und verbinden ihn mit dem bestehenden Samba Active Directory.

Voraussetzungen

  • Ein funktionierender Samba Active Directory Domain Controller
  • Zugriff auf den LDAP-Port (389 oder 636)
  • Docker und docker-compose auf einem beliebigen Linux-System (kann auch der AD-Server sein)

LAM mit docker-compose starten

Erstelle ein Verzeichnis und eine docker-compose.yml Datei:

mkdir -p ~/lam && cd ~/lam
nano docker-compose.yml

Mit folgendem Inhalt:

version: '3.7'
services:
  lam:
    image: rroemhild/lam
    container_name: lam
    restart: unless-stopped
    ports:
      - "8080:80"
    volumes:
      - ./config:/var/lib/ldap-account-manager/config

Dann starten:

docker-compose up -d

LAM ist nun über http://<deine-ip>:8080 erreichbar.

Erstkonfiguration von LAM

  1. Rufe die Seite im Browser auf
  2. Klicke auf LAM configuration (Passwort: lam) – kann in config.cfg geändert werden
  3. Erstelle ein neues Profil, z. B. samba

LDAP-Einstellungen

  • LDAP Server: ldap://ad01.example.lan
  • Base DN: dc=example,dc=lan
  • Benutzer DN: cn=Administrator,cn=Users,dc=example,dc=lan
  • Passwort: [Admin-Passwort vom Samba-Setup]
  • Tree View: aktiviert

Module aktivieren

Aktiviere folgende Module:

  • sambaSamAccount
  • inetOrgPerson
  • posixAccount
  • shadowAccount

Hinweis: Wenn du das RFC2307-Schema beim Provisionieren aktiviert hast (--use-rfc2307), stehen Unix-Attribute wie UID, GID, Shell zur Verfügung.

Benutzer mit LAM verwalten

Benutzer anlegen

  1. Auf „Benutzer verwalten“ klicken
  2. „Neuer Benutzer“ auswählen
  3. Benutzername, Passwort, Gruppenmitgliedschaft eintragen

LAM schreibt die Daten direkt ins LDAP des Samba AD – diese Benutzer sind sofort verwendbar, z. B. für Anmeldung an einem Linux-Client (sofern LDAP konfiguriert).

Benutzer ändern / löschen

Über die Oberfläche lassen sich Benutzer einfach bearbeiten oder entfernen. Das ist deutlich komfortabler als per samba-tool.

Optional: LAM absichern

  • Reverse Proxy mit HTTPS (z. B. via Caddy, Traefik oder nginx)
  • Admin-Passwort in config.cfg ändern (lam.confPassword)
  • Zugriff über VPN oder IP-Whitelist beschränken

Fazit

Mit LAM hast du eine benutzerfreundliche Oberfläche, um deine Samba-AD-Instanz zu verwalten. Gerade bei vielen Benutzern oder Gruppen ist das deutlich angenehmer als Kommandozeilen-Tools.

Im nächsten Artikel richten wir den Authentik-Identity-Provider ein, um Dienste wie Nextcloud, Portainer oder VPN-Logins zentral zu authentifizieren – inklusive LDAP-Anbindung.

Bleib dran!

Vorheriger Beitrag Nächster Beitrag