Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2018/03/09 08:29] flacco [openSUSE Leap] |
invis_server_wiki:client [2019/01/29 07:14] flacco [3. Fehlerquellen] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== invis Server - Client Integration ====== | ====== invis Server - Client Integration ====== | ||
| - | ===== Windows 7 und Folgende ===== | + | ===== Windows - ab Windows 7 ===== |
| - | Wichtig: Die Benutzernamen dürfen nicht länger als 20 Zeichen sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl! | + | |
| - | ==== 1. Hintergrund Server-gespeicherte Profile==== | + | |
| + | ==== 1. Hintergrund: Server-gespeicherte Profile ==== | ||
| Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | ||
| Zeile 18: | Zeile 18: | ||
| Meldet sich ein neuer Benutzer erstmalig an seinem PC an, wird sein Profil und damit auch die Bibliotheksverzeichnisse erstellt. Verfügt der Benutzer über ein ihm gehörendes persönliches Verzeichnis auf einem Fileserver können dort Pendants der Verzeichnisse (Dokumente, Musik, Videos. usw.) erstellt werden. Anschließend werden die lokalen Verzeichnisse gelöscht und mit dem Kommando //**mklink**// stattdessen Verknüpfungen erzeugt die auf die Entsprechungen im persönlichen Verzeichnis zeigen. Windows wird sich nicht darüber beklagen, dass dort keine Indizierung möglich ist. | Meldet sich ein neuer Benutzer erstmalig an seinem PC an, wird sein Profil und damit auch die Bibliotheksverzeichnisse erstellt. Verfügt der Benutzer über ein ihm gehörendes persönliches Verzeichnis auf einem Fileserver können dort Pendants der Verzeichnisse (Dokumente, Musik, Videos. usw.) erstellt werden. Anschließend werden die lokalen Verzeichnisse gelöscht und mit dem Kommando //**mklink**// stattdessen Verknüpfungen erzeugt die auf die Entsprechungen im persönlichen Verzeichnis zeigen. Windows wird sich nicht darüber beklagen, dass dort keine Indizierung möglich ist. | ||
| - | ==== 2. Vorgehensweise ==== | + | ==== 2. Vorgehensweise - Domänenbeitritt ==== |
| Für den Domänenbeitritt müssen die Zugangsdaten eines zum Anlegen von Benutzerkonten berechtigten Benutzers auf dem Domain-Controller bekannt sein. Für einen Windows PDC ist dies in aller Regel der zentrale Administrator und für einen Samba PDC ist dies der Benutzer //root//. | Für den Domänenbeitritt müssen die Zugangsdaten eines zum Anlegen von Benutzerkonten berechtigten Benutzers auf dem Domain-Controller bekannt sein. Für einen Windows PDC ist dies in aller Regel der zentrale Administrator und für einen Samba PDC ist dies der Benutzer //root//. | ||
| Zeile 24: | Zeile 24: | ||
| Domänenbeitritte können nicht mit den Personal-Versionen von Windows durchgeführt werden (OK -- Heise hat gezeigt, dass es mit XP Home mit ein bisschen getrickse doch geht.). | Domänenbeitritte können nicht mit den Personal-Versionen von Windows durchgeführt werden (OK -- Heise hat gezeigt, dass es mit XP Home mit ein bisschen getrickse doch geht.). | ||
| - | - Ist der PDC ein Samba-PDC mit NTLM Domäne (**invis Classic**) müssen zunächst zwei Einträge in der Win7 Registry geändert werden. Einen fertigen Patch gibt es [[https://bugzilla.samba.org/attachment.cgi?id=4988&action=view|hier]]. (Zusätzliche Infos [[http://wiki.samba.org/index.php/Windows7|hier]]). Ein Windows Neustart ist nach Einspielen des Patches nicht nötig. In Verbindung mit Active-Directory Domänen entfällt dieser Schritt. | + | - **(Veraltet)** Ist der PDC ein Samba-PDC mit NTLM Domäne (**invis Classic**) müssen zunächst zwei Einträge in der Win7 Registry geändert werden. Einen fertigen Patch gibt es [[https://bugzilla.samba.org/attachment.cgi?id=4988&action=view|hier]]. Ein Windows Neustart ist nach Einspielen des Patches nicht nötig. In Verbindung mit Active-Directory Domänen entfällt dieser Schritt. Mit Windows 10 ist der Beitritt in eine klassische NT4.0 Domäne nicht mehr möglich. Mal ehrlich, das sollte eigentlich auch in der Praxis nicht mehr geben. |
| - Unter Windows 7 lässt sich die Funktion "Einer Domäne Beitreten" am besten über die Desktop-Suche finden. Einfach //Domäne// in der Suchleiste eingeben und dann auf den entsprechenden Menüeintrag klicken. | - Unter Windows 7 lässt sich die Funktion "Einer Domäne Beitreten" am besten über die Desktop-Suche finden. Einfach //Domäne// in der Suchleiste eingeben und dann auf den entsprechenden Menüeintrag klicken. | ||
| - Als nächstes auf die Schaltfläche "Ändern" klicken und dann das Feld "Domäne" aktivieren, den Domänennamen eintragen und mit OK bestätigen. | - Als nächstes auf die Schaltfläche "Ändern" klicken und dann das Feld "Domäne" aktivieren, den Domänennamen eintragen und mit OK bestätigen. | ||
| Zeile 32: | Zeile 32: | ||
| - Vor der ersten Anmeldung eines normalen Benutzers auf diesem Rechner sollte sich nach dem Neustart zunächst ein Domänenadministrator am System anmelden und die Domänen-Gruppe "Domain Users" bzw. "Domänen Benutzer" der lokalen Gruppe "Hauptbenutzer" zuordnen. Ohne diesen Schritt werden einige (vor allem ältere) Programme nicht richtig funktionieren. In extremen Fällen muss die genannte Domänen-Gruppe sogar der lokalen Administratoren-Gruppe zugeordnet werden. Den Zugriff auf "lokale Gruppen" hat MS bei Windows 7 gut versteckt: Rechtsklick auf "Computer" im Startmenü, dann Linksklick auf "Verwaltung". Im neuen Fenster Linksklick auf den Menüeintrag "lokale Benutzer und Gruppen" und Doppelklick auf Gruppen. Jetzt Doppelklick auf den Eintrag "Hauptbenutzer", dann im neuen Fenster die Schaltfläche "Hinzufügen" klicken, gefolgt einem Klick auf die Schaltflächen "Erweitert" und "Jetzt Suchen" im jeweils neuen Fenster. Daraufhin erscheint eine Liste aller bekannten Benutzer und Gruppen. Hier die Gruppe der Domänenbenutzer auswählen und alles mit OK bestätigen bis alle Fenster wieder zu sind. | - Vor der ersten Anmeldung eines normalen Benutzers auf diesem Rechner sollte sich nach dem Neustart zunächst ein Domänenadministrator am System anmelden und die Domänen-Gruppe "Domain Users" bzw. "Domänen Benutzer" der lokalen Gruppe "Hauptbenutzer" zuordnen. Ohne diesen Schritt werden einige (vor allem ältere) Programme nicht richtig funktionieren. In extremen Fällen muss die genannte Domänen-Gruppe sogar der lokalen Administratoren-Gruppe zugeordnet werden. Den Zugriff auf "lokale Gruppen" hat MS bei Windows 7 gut versteckt: Rechtsklick auf "Computer" im Startmenü, dann Linksklick auf "Verwaltung". Im neuen Fenster Linksklick auf den Menüeintrag "lokale Benutzer und Gruppen" und Doppelklick auf Gruppen. Jetzt Doppelklick auf den Eintrag "Hauptbenutzer", dann im neuen Fenster die Schaltfläche "Hinzufügen" klicken, gefolgt einem Klick auf die Schaltflächen "Erweitert" und "Jetzt Suchen" im jeweils neuen Fenster. Daraufhin erscheint eine Liste aller bekannten Benutzer und Gruppen. Hier die Gruppe der Domänenbenutzer auswählen und alles mit OK bestätigen bis alle Fenster wieder zu sind. | ||
| - Domänenadmin abmelden und mit normalem Benutzer anmelden. | - Domänenadmin abmelden und mit normalem Benutzer anmelden. | ||
| - | - Jetzt müssen die Bibliotheken wie oben beschrieben auf den Server verlegt werden. Dies geschieht am besten per Script (Beispiel siehe unten). Das Script sollte direkt auf Laufwerk //c:// liegen und muss als Administrator ausgeführt werden. Dazu in der Suchleiste "cmd" eingeben und den gefundenen Menüeintrag mit der rechten Maustaste anklicken und dann mit Linksklick auf "Als Administrator ausführen" öffnen. Es wird mach Benutzername und Passwort gefragt. Hier müssen die Daten des Domänenadministrators eingegeben werden. Anschließend das Script ausführen. **Voraussetzung dafür ist, dass die Zielverzeichnisse für die zu erstellenden Verknüpfungen bereits existieren.** | + | - Jetzt können die Bibliotheken wie oben beschrieben auf den Server verlegt werden. Dies geschieht am besten per Script (Beispiel siehe unten). Das Script sollte direkt auf Laufwerk //c:// liegen und muss als Administrator ausgeführt werden. Dazu in der Suchleiste "cmd" eingeben und den gefundenen Menüeintrag mit der rechten Maustaste anklicken und dann mit Linksklick auf "Als Administrator ausführen" öffnen. Es wird mach Benutzername und Passwort gefragt. Hier müssen die Daten des Domänenadministrators eingegeben werden. Anschließend das Script ausführen. **Voraussetzung dafür ist, dass die Zielverzeichnisse für die zu erstellenden Verknüpfungen bereits existieren.** |
| - Meldet das Script keine Fehler ist der Domänenbeitritt abgeschlossen. | - Meldet das Script keine Fehler ist der Domänenbeitritt abgeschlossen. | ||
| Zeile 40: | Zeile 40: | ||
| In diesem Fall wird der Domänenbeitritt verweigert. Es genügt sich am PC ab- und wieder anzumelden um alle Netzwerkverbindungen zu kappen und dann den Beitritt erneut zu starten. | In diesem Fall wird der Domänenbeitritt verweigert. Es genügt sich am PC ab- und wieder anzumelden um alle Netzwerkverbindungen zu kappen und dann den Beitritt erneut zu starten. | ||
| + | |||
| + | Eine zweite Fehlerquelle ist ein Problem mit der Namensauflösung (DNS) im Netzwerk. Innerhalb eines ActiveDirectory gestützten Netzwerkes wird DNS neben der reinen Übersetzung von Hostnamen in IP-Adressen und umgekehrt auch für "Service Location" verwendet. D.h. ein Client fragt per DNS nach, welcher Server im Netz der zuständige Kerberos-Server und welcher der zuständige LDAP-Server ist. Diese beiden Informationen sind für den Domänenbeitritt unabdingbar. Gelingt die Abfrage dieser Informationen nicht, ist auch kein Domänenbeitritt möglich. | ||
| + | |||
| + | Wichtig ist also, dass der DNS-Dienst auf Ihrem invis-Server in Betrieb ist, davon ist auszugehen, wenn ansonsten alles funktioniert. Sollten Sie dem der Domäne hinzuzufügenden PC etwa statisch Adressen für DNS Server gegeben haben, dürfte dass die Ursache für ein Fehlschlagen des Domänenbeitritts sein. | ||
| ==== 4. Script zum Verschieben der Bibliotheken ==== | ==== 4. Script zum Verschieben der Bibliotheken ==== | ||
| Zeile 96: | Zeile 100: | ||
| <code> | <code> | ||
| invis-client:~ # zypper ref | invis-client:~ # zypper ref | ||
| - | invis-client:~ # zypper in invisAD-client | + | invis-client:~ # zypper in invisAD-client-1 |
| </code> | </code> | ||
| - | Danach ist lediglich das Client-Integrationsscript auszuführen. sie benötigen dafür das Passwort des Domänen-Administrators und den Namen der Domäne. | + | Jetzt ist lediglich das Client-Integrationsscript auszuführen. sie benötigen dafür das Passwort des Domänen-Administrators und den Namen der Domäne. |
| + | |||
| + | //**Hinweis:** Sollte Ihr openSUSE Leap System als Offline-Client handeln, müssen einzelne Schritte (wie weiter unten beschrieben) noch manuell vorgenommen werden. Darunter beispielsweise das Erzeugen des VPN-Clientzertifikats. Das Script **joininvis** fragt, ob es sich bei dem System um einen PC, ein Notebook oder einen "Memberserver" handelt. Im Falle eines Notebooks wird openvpn automatisch installiert. Auch das weiter unten beschriebene Schript **invisconnect** ist bereits im Paket enthalten.// | ||
| <code> | <code> | ||
| Zeile 106: | Zeile 112: | ||
| Beantworten Sie die Fragen und das wars. | Beantworten Sie die Fragen und das wars. | ||
| - | |||
| - | //**Hinweis:** Sollte Ihr openSUSE Leap System als Offline-Client handeln, müssen einzelne Schritte (wie weiter unten beschrieben) noch manuell vorgenommen werden. Darunter beispielsweise das Erzeugen des VPN-Clientzertifikats.// | ||
| ==== Manuelle Anbindung - online Clients ==== | ==== Manuelle Anbindung - online Clients ==== | ||
| Zeile 133: | Zeile 137: | ||
| **[[https://github.com/invisserver/invisAD-client]]** | **[[https://github.com/invisserver/invisAD-client]]** | ||
| - | Für die Anbindung eines Linux-Clients an einen invis(AD)-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: | + | Für die Anbindung eines Linux-Clients an einen invisAD-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: |
| **Ubuntu 16.04** | **Ubuntu 16.04** | ||
| Zeile 145: | Zeile 149: | ||
| </code> | </code> | ||
| - | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
| <code> | <code> | ||
| linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | ||
| </code> | </code> | ||
| - | |||
| - | //**Achtung:** In openSUSE Leap ist **sssd** lediglich in Version 1.11.x enthalten. Die Active-Directory Ergänzung **sssd-ad** ist erst ab Version 1.12. hinzugekommen. Wir haben eine aktuelle Version des **sssd** in unserem "spins:invis:common" Repository. Sie müssen dieses also zunächst Ihren Repositories hinzufügen.// | ||
| - | |||
| - | //**Hinweis:** Dies sssd-ad und sasl-gssapi Pakete werden für die Anbindung an einen invis-Classic nicht benötigt.// | ||
| //**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | //**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | ||
| - | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
| <code> | <code> | ||
| linux:~ # zypper rm nscd | linux:~ # zypper rm nscd | ||
| </code> | </code> | ||
| - | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | + | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen: |
| - | + | ||
| - | == sssd-Konfiguration invis-Server Classic == | + | |
| - | + | ||
| - | <code> | + | |
| - | [sssd] | + | |
| - | config_file_version = 2 | + | |
| - | services = nss,pam | + | |
| - | domains = default | + | |
| - | + | ||
| - | [nss] | + | |
| - | filter_groups = root | + | |
| - | filter_user = root | + | |
| - | + | ||
| - | [pam] | + | |
| - | + | ||
| - | [domain/default] | + | |
| - | ldap_uri = ldap://invis.invis-net.loc | + | |
| - | ldap_search_base = dc=invis-net,dc=loc | + | |
| - | ldap_schema = rfc2307 | + | |
| - | id_provider = ldap | + | |
| - | ldap_user_uuid = entryuuid | + | |
| - | ldap_group_uuid = entryuuid | + | |
| - | ldap_id_use_start_tls = true | + | |
| - | enumerate = true | + | |
| - | cache_credentials = false | + | |
| - | ldap_tls_cacertdir = /etc/ssl/certs | + | |
| - | ldap_tls_cacert = /etc/ssl/certs/cacert.pem | + | |
| - | chpass_provider = ldap | + | |
| - | auth_provider = ldap | + | |
| - | ldap_user_fullname = displayName | + | |
| - | #cache_entry_timeout = 1 | + | |
| - | #refresh_expired_interval = 1 | + | |
| - | </code> | + | |
| == sssd-Konfiguration invis-Server Active Directory == | == sssd-Konfiguration invis-Server Active Directory == | ||
| Zeile 261: | Zeile 228: | ||
| <code> | <code> | ||
| linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | ||
| - | </code> | ||
| - | |||
| - | Danach wird (nur bei einem Classic Server) das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <file>/etc/ssl/certs</file> kopiert werden: | ||
| - | |||
| - | <code> | ||
| - | linux:~ # sudo cp /mnt/invis/shares/service/VPN-Clients/cacert.pem /etc/ssl/certs/ | ||
| </code> | </code> | ||
| Zeile 295: | Zeile 256: | ||
| Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | ||
| + | |||
| == Name-Service-Switch anpassen == | == Name-Service-Switch anpassen == | ||
| Zeile 405: | Zeile 367: | ||
| </code> | </code> | ||
| - | Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | ||
| == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | ||
| Zeile 451: | Zeile 412: | ||
| //**Hinweis:** Wenn es sich beim Client-PC um einen Dualboot-system mit Windows und Linux Betrriebssystem handelt, genügt es den Domänenbeitritt mit Windows vorzunehmen und anschließend wie zuvor gezeigt eine Keytab zu generieren und in das Linux-Betriebssystems zu kopieren. Alle anderen Konfigurationsschritte müssen auf dem Linux-Client trotzdem durchgeführt werden.// | //**Hinweis:** Wenn es sich beim Client-PC um einen Dualboot-system mit Windows und Linux Betrriebssystem handelt, genügt es den Domänenbeitritt mit Windows vorzunehmen und anschließend wie zuvor gezeigt eine Keytab zu generieren und in das Linux-Betriebssystems zu kopieren. Alle anderen Konfigurationsschritte müssen auf dem Linux-Client trotzdem durchgeführt werden.// | ||
| - | === Test der Konfiguration === | + | === 3. Test der Konfiguration === |
| Mit | Mit | ||
| Zeile 592: | Zeile 553: | ||
| Einfacher ist es den neuen Benutzer manuell in <file>/etc/group</file> in die gleichen Gruppen einzutragen, in denen auch der bisherige Systemverwalter Mitglied ist. Dies muss vom bisherigen Systemverwalter vorgenommen werden. (Ach wie schön ist openSUSE mit freigeschaltetem root-Konto ;-) ) | Einfacher ist es den neuen Benutzer manuell in <file>/etc/group</file> in die gleichen Gruppen einzutragen, in denen auch der bisherige Systemverwalter Mitglied ist. Dies muss vom bisherigen Systemverwalter vorgenommen werden. (Ach wie schön ist openSUSE mit freigeschaltetem root-Konto ;-) ) | ||
| - | === 4. Abschluss === | + | === 5. Abschluss === |
| Sie können sich jetzt mit dem zuvor getesteten invis-Benutzerkonto am System anmelden. Dabei wird eine neue leere Desktop-Umgebung aufgebaut. Kopieren Sie entweder per SCP oder mit Hilfe eines USB-Sticks das Script //**invisconnect**// vom invis-Server auf Ihren PC. Es liegt genau, wie die vorbereitete OpenVPN-Konfigurationsdatei in der Service-Freigabe unter: <file>/srv/shares/service/VPN-Clients/Linux</file> | Sie können sich jetzt mit dem zuvor getesteten invis-Benutzerkonto am System anmelden. Dabei wird eine neue leere Desktop-Umgebung aufgebaut. Kopieren Sie entweder per SCP oder mit Hilfe eines USB-Sticks das Script //**invisconnect**// vom invis-Server auf Ihren PC. Es liegt genau, wie die vorbereitete OpenVPN-Konfigurationsdatei in der Service-Freigabe unter: <file>/srv/shares/service/VPN-Clients/Linux</file> | ||