Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2018/03/09 08:38] flacco [4. Abschluss] |
invis_server_wiki:client [2019/01/26 11:10] flacco [Roaming-Profile mit Windows 7 und Folgenden] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== invis Server - Client Integration ====== | ====== invis Server - Client Integration ====== | ||
| - | ===== Windows 7 und Folgende ===== | + | ==== Roaming-Profiles ==== |
| - | Wichtig: Die Benutzernamen dürfen nicht länger als 20 Zeichen sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl! | + | |
| - | ==== 1. Hintergrund Server-gespeicherte Profile==== | + | |
| + | === 1. Hintergrund: Server-gespeicherte Profile=== | ||
| Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | ||
| Zeile 96: | Zeile 96: | ||
| <code> | <code> | ||
| invis-client:~ # zypper ref | invis-client:~ # zypper ref | ||
| - | invis-client:~ # zypper in invisAD-client | + | invis-client:~ # zypper in invisAD-client-1 |
| </code> | </code> | ||
| Jetzt ist lediglich das Client-Integrationsscript auszuführen. sie benötigen dafür das Passwort des Domänen-Administrators und den Namen der Domäne. | Jetzt ist lediglich das Client-Integrationsscript auszuführen. sie benötigen dafür das Passwort des Domänen-Administrators und den Namen der Domäne. | ||
| - | //**Hinweis:** Sollte Ihr openSUSE Leap System als Offline-Client handeln, müssen einzelne Schritte (wie weiter unten beschrieben) noch manuell vorgenommen werden. Darunter beispielsweise das Erzeugen des VPN-Clientzertifikats. Das Script **joininvis** fragt, ob es sich bei dem System um einen PC, ein Notebook oder einen "Memberserver" handelt. Im Falle eines Notebooks wird openvpn automatisch installiert.// | + | //**Hinweis:** Sollte Ihr openSUSE Leap System als Offline-Client handeln, müssen einzelne Schritte (wie weiter unten beschrieben) noch manuell vorgenommen werden. Darunter beispielsweise das Erzeugen des VPN-Clientzertifikats. Das Script **joininvis** fragt, ob es sich bei dem System um einen PC, ein Notebook oder einen "Memberserver" handelt. Im Falle eines Notebooks wird openvpn automatisch installiert. Auch das weiter unten beschriebene Schript **invisconnect** ist bereits im Paket enthalten.// |
| <code> | <code> | ||
| Zeile 133: | Zeile 133: | ||
| **[[https://github.com/invisserver/invisAD-client]]** | **[[https://github.com/invisserver/invisAD-client]]** | ||
| - | Für die Anbindung eines Linux-Clients an einen invis(AD)-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: | + | Für die Anbindung eines Linux-Clients an einen invisAD-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: |
| **Ubuntu 16.04** | **Ubuntu 16.04** | ||
| Zeile 145: | Zeile 145: | ||
| </code> | </code> | ||
| - | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
| <code> | <code> | ||
| linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | ||
| </code> | </code> | ||
| - | |||
| - | //**Achtung:** In openSUSE Leap ist **sssd** lediglich in Version 1.11.x enthalten. Die Active-Directory Ergänzung **sssd-ad** ist erst ab Version 1.12. hinzugekommen. Wir haben eine aktuelle Version des **sssd** in unserem "spins:invis:common" Repository. Sie müssen dieses also zunächst Ihren Repositories hinzufügen.// | ||
| - | |||
| - | //**Hinweis:** Dies sssd-ad und sasl-gssapi Pakete werden für die Anbindung an einen invis-Classic nicht benötigt.// | ||
| //**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | //**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | ||
| - | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
| <code> | <code> | ||
| linux:~ # zypper rm nscd | linux:~ # zypper rm nscd | ||
| </code> | </code> | ||
| - | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | + | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen: |
| - | + | ||
| - | == sssd-Konfiguration invis-Server Classic == | + | |
| - | + | ||
| - | <code> | + | |
| - | [sssd] | + | |
| - | config_file_version = 2 | + | |
| - | services = nss,pam | + | |
| - | domains = default | + | |
| - | + | ||
| - | [nss] | + | |
| - | filter_groups = root | + | |
| - | filter_user = root | + | |
| - | + | ||
| - | [pam] | + | |
| - | + | ||
| - | [domain/default] | + | |
| - | ldap_uri = ldap://invis.invis-net.loc | + | |
| - | ldap_search_base = dc=invis-net,dc=loc | + | |
| - | ldap_schema = rfc2307 | + | |
| - | id_provider = ldap | + | |
| - | ldap_user_uuid = entryuuid | + | |
| - | ldap_group_uuid = entryuuid | + | |
| - | ldap_id_use_start_tls = true | + | |
| - | enumerate = true | + | |
| - | cache_credentials = false | + | |
| - | ldap_tls_cacertdir = /etc/ssl/certs | + | |
| - | ldap_tls_cacert = /etc/ssl/certs/cacert.pem | + | |
| - | chpass_provider = ldap | + | |
| - | auth_provider = ldap | + | |
| - | ldap_user_fullname = displayName | + | |
| - | #cache_entry_timeout = 1 | + | |
| - | #refresh_expired_interval = 1 | + | |
| - | </code> | + | |
| == sssd-Konfiguration invis-Server Active Directory == | == sssd-Konfiguration invis-Server Active Directory == | ||
| Zeile 261: | Zeile 224: | ||
| <code> | <code> | ||
| linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | ||
| - | </code> | ||
| - | |||
| - | Danach wird (nur bei einem Classic Server) das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <file>/etc/ssl/certs</file> kopiert werden: | ||
| - | |||
| - | <code> | ||
| - | linux:~ # sudo cp /mnt/invis/shares/service/VPN-Clients/cacert.pem /etc/ssl/certs/ | ||
| </code> | </code> | ||
| Zeile 295: | Zeile 252: | ||
| Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | ||
| + | |||
| == Name-Service-Switch anpassen == | == Name-Service-Switch anpassen == | ||
| Zeile 405: | Zeile 363: | ||
| </code> | </code> | ||
| - | Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | ||
| == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | ||