Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:client [2018/03/09 07:51] flacco [sssd-Konfiguration invis-Server Active Directory] |
invis_server_wiki:client [2018/03/09 07:59] flacco [openSUSE Leap] |
||
---|---|---|---|
Zeile 96: | Zeile 96: | ||
</code> | </code> | ||
+ | Danach ist lediglich das Client-Integrationsscript auszuführen. sie benötigen dafür das Passwort des Domänen-Administrators und den Namen der Domäne. | ||
+ | <code> | ||
+ | invis-client:~ # joininvis | ||
+ | </code> | ||
+ | |||
+ | Beantworten Sie die Fragen und das wars. | ||
Zeile 285: | Zeile 291: | ||
Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | ||
- | === Name-Service-Switch anpassen === | + | == Name-Service-Switch anpassen == |
Damit PAM weiss, dass Benutzerkonten sowohl in der lokalen "/etc/passwd" als auch im Active-Directory bzw. OpenLDAP des invis-Servers geführt werden, muss die Datei <file>/etc/nsswitch.conf</file> wie folgt angepasst werden: | Damit PAM weiss, dass Benutzerkonten sowohl in der lokalen "/etc/passwd" als auch im Active-Directory bzw. OpenLDAP des invis-Servers geführt werden, muss die Datei <file>/etc/nsswitch.conf</file> wie folgt angepasst werden: | ||
Zeile 298: | Zeile 304: | ||
Beide gezeigten Einträge müssen um den Wert "sss" ergänzt werden. | Beide gezeigten Einträge müssen um den Wert "sss" ergänzt werden. | ||
- | === PAM konfigurieren === | + | == PAM konfigurieren == |
Auch die PAM Module für die Benutzeranmeldung am System müssen an den **sssd** angepasst werden. Dies kann im einfachsten Fall mit Hilfe des Tools //**pam-config**// vorgenommen werden: | Auch die PAM Module für die Benutzeranmeldung am System müssen an den **sssd** angepasst werden. Dies kann im einfachsten Fall mit Hilfe des Tools //**pam-config**// vorgenommen werden: | ||
Zeile 396: | Zeile 402: | ||
Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | ||
- | === Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory === | + | == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == |
Zur Anbindung eines Linux-Clients an einen invis-Server ActiveDirectory ist es mit der bloßen sssd-Konfiguration nicht getan. Client-Seitig wird darüber hinaus eine Kerberos-Konfiguration sowie eine Kerberos-Keymap benötigt. | Zur Anbindung eines Linux-Clients an einen invis-Server ActiveDirectory ist es mit der bloßen sssd-Konfiguration nicht getan. Client-Seitig wird darüber hinaus eine Kerberos-Konfiguration sowie eine Kerberos-Keymap benötigt. | ||
Zeile 456: | Zeile 462: | ||
</code> | </code> | ||
- | ===== offline Linux Clients integrieren mit SSSD und OpenVPN ===== | + | ==== offline Linux Clients integrieren mit SSSD und OpenVPN ==== |
Allem voran, sollte klar sein, dass ein solches Setup nur dann wirklich Sinn macht, wenn der invis-Server mit einer akzeptablen DSL-Anbindung (>= 16000kBit/s) ausgestattet ist. Zu bedenken ist hier, dass der Upload der begrenzende Faktor ist und der liegt bezogen auf eine 16000er ADSL Leitung bei nur 1000kBit/s. Alles darunter wird sehr zäh! Bei einer 6000er DSL Leitung schrumpft der Upload beispielsweise schon auf magere 256kBit/s. | Allem voran, sollte klar sein, dass ein solches Setup nur dann wirklich Sinn macht, wenn der invis-Server mit einer akzeptablen DSL-Anbindung (>= 16000kBit/s) ausgestattet ist. Zu bedenken ist hier, dass der Upload der begrenzende Faktor ist und der liegt bezogen auf eine 16000er ADSL Leitung bei nur 1000kBit/s. Alles darunter wird sehr zäh! Bei einer 6000er DSL Leitung schrumpft der Upload beispielsweise schon auf magere 256kBit/s. | ||
Zeile 462: | Zeile 468: | ||
Die nachfolgende beschriebene Vorgehensweise ist derzeit noch vollständig manuell durchzuführen und birgt durchaus Potential für Fehler. Problematisch ist vor allem die Reihenfolge der einzelnen Schritte. | Die nachfolgende beschriebene Vorgehensweise ist derzeit noch vollständig manuell durchzuführen und birgt durchaus Potential für Fehler. Problematisch ist vor allem die Reihenfolge der einzelnen Schritte. | ||
- | ==== 1. Hintergründe ==== | + | === 1. Hintergründe === |
Geeignet ist das folgende Setup für Notebooks die unterwegs genutzt werden sollen oder den PC im Home-Office. | Geeignet ist das folgende Setup für Notebooks die unterwegs genutzt werden sollen oder den PC im Home-Office. | ||
Zeile 476: | Zeile 482: | ||
Damit sind die Schwierigkeiten grob umrissen. | Damit sind die Schwierigkeiten grob umrissen. | ||
- | ==== 2. Vorgehensweise ==== | + | === 2. Vorgehensweise === |
Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt. | Wir gehen davon aus, dass die Einrichtung an einem PC erfolgt, der vollständig vom invis-Server Netzwerk getrennt ist, da dies alle Schwierigkeiten berücksichtigt. |