Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2018/03/09 07:40] flacco [2. Vorgehensweise] |
invis_server_wiki:client [2018/03/09 07:52] flacco [Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory] |
||
|---|---|---|---|
| Zeile 74: | Zeile 74: | ||
| ===== Linux Clients mit SSSD integrieren ===== | ===== Linux Clients mit SSSD integrieren ===== | ||
| - | Anbindung von Linux-Clients an einen invis-Server. Die folgende Beschreibung orientiert sich an **Ubuntu 12.04 LTS** und **Linux Mint 17 "Qiana"** (Getestet auch mit Linux Mint 13 "Maya"), gilt aber prinzipiell auch für andere Linux-Distributionen. Unter **openSUSE** kann der Vorgang bezogen auf den invis-Classic vollständig mit **YaST** vorgenommen werden. Die Anbindung an die Active-Directory Variante erfordert etwas mehr Handarbeit. | + | Anbindung von Linux-Clients an einen invis-Server. Die folgende Beschreibung orientiert sich an **Ubuntu 12.04 LTS** und **Linux Mint 17 "Qiana"** (Getestet auch mit Linux Mint 13 "Maya"), gilt aber prinzipiell auch für andere Linux-Distributionen. |
| Kern der Beschreibung ist die Anbindung eines Linux-Clients an eine LDAP-gestützte Benutzerverwaltung mit Hilfe des noch recht jungen System Security Services Daemon (SSSD). Nicht alle Distributionen haben den SSSD bereits vollständig integriert, daher muss in vielen Fällen wie beim hier gezeigten Ubuntu die Einrichtung vollständig manuell durchgeführt werden. | Kern der Beschreibung ist die Anbindung eines Linux-Clients an eine LDAP-gestützte Benutzerverwaltung mit Hilfe des noch recht jungen System Security Services Daemon (SSSD). Nicht alle Distributionen haben den SSSD bereits vollständig integriert, daher muss in vielen Fällen wie beim hier gezeigten Ubuntu die Einrichtung vollständig manuell durchgeführt werden. | ||
| Zeile 81: | Zeile 81: | ||
| Um das zu erreichen baut und pflegt SSSD lokal einen Cache der Benutzerverwaltung. Nachteilig daran ist bisher, dass es nicht möglich ist ein Aktualisieren des Caches zu triggern. Daraus resultiert oft eine zeitliche Verzögerung, bis Änderungen, die an der Benutzerdatenbank des Servers vorgenommen wurden auf dem Client zur Verfügung stehen. Wird beispielsweise auf dem Server eine neuer Benutzer angelegt, können einige Minuten vergehen, bis sich der Benutzer tatsächlich anmelden kann. | Um das zu erreichen baut und pflegt SSSD lokal einen Cache der Benutzerverwaltung. Nachteilig daran ist bisher, dass es nicht möglich ist ein Aktualisieren des Caches zu triggern. Daraus resultiert oft eine zeitliche Verzögerung, bis Änderungen, die an der Benutzerdatenbank des Servers vorgenommen wurden auf dem Client zur Verfügung stehen. Wird beispielsweise auf dem Server eine neuer Benutzer angelegt, können einige Minuten vergehen, bis sich der Benutzer tatsächlich anmelden kann. | ||
| - | ==== 1. Freigaben einbinden ==== | + | ==== openSUSE Leap ==== |
| + | |||
| + | Für openSUSE Leap basierte Clients stellen wir ein eigenes Setup-Paktet über unsere Repositories zur Verfügung, mit dem sich der ganze Vorgang der Client-Anbindung automatisieren lässt. Unter der aktuellen openSUSE Leap 42.3 lässt sich das entsprechende Repository wie folgt einrichten: | ||
| + | |||
| + | <code> | ||
| + | invis-client:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/unstable/openSUSE_Leap_42.3/spins:invis:unstable.repo | ||
| + | </code> | ||
| + | |||
| + | Danach kann das Setup-Paket dann installiert werden: | ||
| + | |||
| + | <code> | ||
| + | invis-client:~ # zypper ref | ||
| + | invis-client:~ # zypper in invisAD-client | ||
| + | </code> | ||
| + | |||
| + | |||
| + | |||
| + | |||
| + | ==== Manuelle Anbindung ==== | ||
| + | === 1. Freigaben einbinden === | ||
| Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <file>/etc/fstab</file> folgende Einträge vorzunehmen: | Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <file>/etc/fstab</file> folgende Einträge vorzunehmen: | ||
| Zeile 98: | Zeile 117: | ||
| linux:~ # sudo apt-get install nfs-common | linux:~ # sudo apt-get install nfs-common | ||
| </code> | </code> | ||
| - | ==== 2. Benutzerverwaltung ==== | + | === 2. Benutzerverwaltung === |
| Die folgenden Erläuterungen beschreiben die Anbindung eines Linux-Clients an einen invis-Server, sowohl AD, als auch Classic. Für die Anbindung von openSUSE Leap (42.x) an einen invis AD Server steht in unserem Github-Repository inzwischen ein Client-Setup-Script zur Verfügung, welches die Anbindung vollständig automatisch durchführt. | Die folgenden Erläuterungen beschreiben die Anbindung eines Linux-Clients an einen invis-Server, sowohl AD, als auch Classic. Für die Anbindung von openSUSE Leap (42.x) an einen invis AD Server steht in unserem Github-Repository inzwischen ein Client-Setup-Script zur Verfügung, welches die Anbindung vollständig automatisch durchführt. | ||
| Zeile 134: | Zeile 153: | ||
| Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | ||
| - | === sssd-Konfiguration invis-Server Classic === | + | == sssd-Konfiguration invis-Server Classic == |
| <code> | <code> | ||
| Zeile 167: | Zeile 186: | ||
| </code> | </code> | ||
| - | === sssd-Konfiguration invis-Server Active Directory === | + | == sssd-Konfiguration invis-Server Active Directory == |
| <code> | <code> | ||
| Zeile 266: | Zeile 285: | ||
| Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | ||
| - | === Name-Service-Switch anpassen === | + | == Name-Service-Switch anpassen == |
| Damit PAM weiss, dass Benutzerkonten sowohl in der lokalen "/etc/passwd" als auch im Active-Directory bzw. OpenLDAP des invis-Servers geführt werden, muss die Datei <file>/etc/nsswitch.conf</file> wie folgt angepasst werden: | Damit PAM weiss, dass Benutzerkonten sowohl in der lokalen "/etc/passwd" als auch im Active-Directory bzw. OpenLDAP des invis-Servers geführt werden, muss die Datei <file>/etc/nsswitch.conf</file> wie folgt angepasst werden: | ||
| Zeile 279: | Zeile 298: | ||
| Beide gezeigten Einträge müssen um den Wert "sss" ergänzt werden. | Beide gezeigten Einträge müssen um den Wert "sss" ergänzt werden. | ||
| - | === PAM konfigurieren === | + | == PAM konfigurieren == |
| Auch die PAM Module für die Benutzeranmeldung am System müssen an den **sssd** angepasst werden. Dies kann im einfachsten Fall mit Hilfe des Tools //**pam-config**// vorgenommen werden: | Auch die PAM Module für die Benutzeranmeldung am System müssen an den **sssd** angepasst werden. Dies kann im einfachsten Fall mit Hilfe des Tools //**pam-config**// vorgenommen werden: | ||
| Zeile 377: | Zeile 396: | ||
| Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | ||
| - | === Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory === | + | == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == |
| Zur Anbindung eines Linux-Clients an einen invis-Server ActiveDirectory ist es mit der bloßen sssd-Konfiguration nicht getan. Client-Seitig wird darüber hinaus eine Kerberos-Konfiguration sowie eine Kerberos-Keymap benötigt. | Zur Anbindung eines Linux-Clients an einen invis-Server ActiveDirectory ist es mit der bloßen sssd-Konfiguration nicht getan. Client-Seitig wird darüber hinaus eine Kerberos-Konfiguration sowie eine Kerberos-Keymap benötigt. | ||