Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2018/03/09 07:50] flacco [openSUSE Leap] |
invis_server_wiki:client [2018/03/09 07:53] flacco [3. Fehlerquellen] |
||
|---|---|---|---|
| Zeile 76: | Zeile 76: | ||
| Anbindung von Linux-Clients an einen invis-Server. Die folgende Beschreibung orientiert sich an **Ubuntu 12.04 LTS** und **Linux Mint 17 "Qiana"** (Getestet auch mit Linux Mint 13 "Maya"), gilt aber prinzipiell auch für andere Linux-Distributionen. | Anbindung von Linux-Clients an einen invis-Server. Die folgende Beschreibung orientiert sich an **Ubuntu 12.04 LTS** und **Linux Mint 17 "Qiana"** (Getestet auch mit Linux Mint 13 "Maya"), gilt aber prinzipiell auch für andere Linux-Distributionen. | ||
| + | Kern der Beschreibung ist die Anbindung eines Linux-Clients an eine LDAP-gestützte Benutzerverwaltung mit Hilfe des noch recht jungen System Security Services Daemon (SSSD). Nicht alle Distributionen haben den SSSD bereits vollständig integriert, daher muss in vielen Fällen wie beim hier gezeigten Ubuntu die Einrichtung vollständig manuell durchgeführt werden. | ||
| + | |||
| + | SSSD erschließt der Linux-Welt einen Vorteil, der bisher nur Windows-Nutzern zugänglich war. Er bietet die Möglichkeit einer Offline-Anmeldung. D.h. Ein Benutzerkonto steht auf einem Client auch dann zur Verfügung, wenn keine Verbindung zum Server besteht. Spannend vor allem für die Nutzung auf Notebooks. | ||
| + | |||
| + | Um das zu erreichen baut und pflegt SSSD lokal einen Cache der Benutzerverwaltung. Nachteilig daran ist bisher, dass es nicht möglich ist ein Aktualisieren des Caches zu triggern. Daraus resultiert oft eine zeitliche Verzögerung, bis Änderungen, die an der Benutzerdatenbank des Servers vorgenommen wurden auf dem Client zur Verfügung stehen. Wird beispielsweise auf dem Server eine neuer Benutzer angelegt, können einige Minuten vergehen, bis sich der Benutzer tatsächlich anmelden kann. | ||
| ==== openSUSE Leap ==== | ==== openSUSE Leap ==== | ||
| Zeile 94: | Zeile 99: | ||
| - | ==== 1. Freigaben einbinden ==== | + | ==== Manuelle Anbindung ==== |
| + | === 1. Freigaben einbinden === | ||
| Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <file>/etc/fstab</file> folgende Einträge vorzunehmen: | Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <file>/etc/fstab</file> folgende Einträge vorzunehmen: | ||
| Zeile 111: | Zeile 117: | ||
| linux:~ # sudo apt-get install nfs-common | linux:~ # sudo apt-get install nfs-common | ||
| </code> | </code> | ||
| - | ==== 2. Benutzerverwaltung ==== | + | === 2. Benutzerverwaltung === |
| Die folgenden Erläuterungen beschreiben die Anbindung eines Linux-Clients an einen invis-Server, sowohl AD, als auch Classic. Für die Anbindung von openSUSE Leap (42.x) an einen invis AD Server steht in unserem Github-Repository inzwischen ein Client-Setup-Script zur Verfügung, welches die Anbindung vollständig automatisch durchführt. | Die folgenden Erläuterungen beschreiben die Anbindung eines Linux-Clients an einen invis-Server, sowohl AD, als auch Classic. Für die Anbindung von openSUSE Leap (42.x) an einen invis AD Server steht in unserem Github-Repository inzwischen ein Client-Setup-Script zur Verfügung, welches die Anbindung vollständig automatisch durchführt. | ||
| Zeile 147: | Zeile 153: | ||
| Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | ||
| - | === sssd-Konfiguration invis-Server Classic === | + | == sssd-Konfiguration invis-Server Classic == |
| <code> | <code> | ||
| Zeile 180: | Zeile 186: | ||
| </code> | </code> | ||
| - | === sssd-Konfiguration invis-Server Active Directory === | + | == sssd-Konfiguration invis-Server Active Directory == |
| <code> | <code> | ||
| Zeile 279: | Zeile 285: | ||
| Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | ||
| - | === Name-Service-Switch anpassen === | + | == Name-Service-Switch anpassen == |
| Damit PAM weiss, dass Benutzerkonten sowohl in der lokalen "/etc/passwd" als auch im Active-Directory bzw. OpenLDAP des invis-Servers geführt werden, muss die Datei <file>/etc/nsswitch.conf</file> wie folgt angepasst werden: | Damit PAM weiss, dass Benutzerkonten sowohl in der lokalen "/etc/passwd" als auch im Active-Directory bzw. OpenLDAP des invis-Servers geführt werden, muss die Datei <file>/etc/nsswitch.conf</file> wie folgt angepasst werden: | ||
| Zeile 292: | Zeile 298: | ||
| Beide gezeigten Einträge müssen um den Wert "sss" ergänzt werden. | Beide gezeigten Einträge müssen um den Wert "sss" ergänzt werden. | ||
| - | === PAM konfigurieren === | + | == PAM konfigurieren == |
| Auch die PAM Module für die Benutzeranmeldung am System müssen an den **sssd** angepasst werden. Dies kann im einfachsten Fall mit Hilfe des Tools //**pam-config**// vorgenommen werden: | Auch die PAM Module für die Benutzeranmeldung am System müssen an den **sssd** angepasst werden. Dies kann im einfachsten Fall mit Hilfe des Tools //**pam-config**// vorgenommen werden: | ||
| Zeile 390: | Zeile 396: | ||
| Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | ||
| - | === Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory === | + | == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == |
| Zur Anbindung eines Linux-Clients an einen invis-Server ActiveDirectory ist es mit der bloßen sssd-Konfiguration nicht getan. Client-Seitig wird darüber hinaus eine Kerberos-Konfiguration sowie eine Kerberos-Keymap benötigt. | Zur Anbindung eines Linux-Clients an einen invis-Server ActiveDirectory ist es mit der bloßen sssd-Konfiguration nicht getan. Client-Seitig wird darüber hinaus eine Kerberos-Konfiguration sowie eine Kerberos-Keymap benötigt. | ||
| Zeile 450: | Zeile 456: | ||
| </code> | </code> | ||
| - | ===== offline Linux Clients integrieren mit SSSD und OpenVPN ===== | + | ==== offline Linux Clients integrieren mit SSSD und OpenVPN ==== |
| Allem voran, sollte klar sein, dass ein solches Setup nur dann wirklich Sinn macht, wenn der invis-Server mit einer akzeptablen DSL-Anbindung (>= 16000kBit/s) ausgestattet ist. Zu bedenken ist hier, dass der Upload der begrenzende Faktor ist und der liegt bezogen auf eine 16000er ADSL Leitung bei nur 1000kBit/s. Alles darunter wird sehr zäh! Bei einer 6000er DSL Leitung schrumpft der Upload beispielsweise schon auf magere 256kBit/s. | Allem voran, sollte klar sein, dass ein solches Setup nur dann wirklich Sinn macht, wenn der invis-Server mit einer akzeptablen DSL-Anbindung (>= 16000kBit/s) ausgestattet ist. Zu bedenken ist hier, dass der Upload der begrenzende Faktor ist und der liegt bezogen auf eine 16000er ADSL Leitung bei nur 1000kBit/s. Alles darunter wird sehr zäh! Bei einer 6000er DSL Leitung schrumpft der Upload beispielsweise schon auf magere 256kBit/s. | ||
| Zeile 456: | Zeile 462: | ||
| Die nachfolgende beschriebene Vorgehensweise ist derzeit noch vollständig manuell durchzuführen und birgt durchaus Potential für Fehler. Problematisch ist vor allem die Reihenfolge der einzelnen Schritte. | Die nachfolgende beschriebene Vorgehensweise ist derzeit noch vollständig manuell durchzuführen und birgt durchaus Potential für Fehler. Problematisch ist vor allem die Reihenfolge der einzelnen Schritte. | ||
| - | ==== 1. Hintergründe ==== | + | === 1. Hintergründe === |
| Geeignet ist das folgende Setup für Notebooks die unterwegs genutzt werden sollen oder den PC im Home-Office. | Geeignet ist das folgende Setup für Notebooks die unterwegs genutzt werden sollen oder den PC im Home-Office. | ||
| Zeile 470: | Zeile 476: | ||
| Damit sind die Schwierigkeiten grob umrissen. | Damit sind die Schwierigkeiten grob umrissen. | ||
| - | ==== 2. Vorgehensweise ==== | + | === 2. Vorgehensweise === |
| Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt. | Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt. | ||