Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2018/03/09 08:38] flacco [4. Abschluss] |
invis_server_wiki:client [2019/01/26 11:18] flacco [2. Vorgehensweise - Domänenbeitritt] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== invis Server - Client Integration ====== | ====== invis Server - Client Integration ====== | ||
| - | ===== Windows 7 und Folgende ===== | + | ===== Windows - ab Windows 7 ===== |
| - | Wichtig: Die Benutzernamen dürfen nicht länger als 20 Zeichen sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl! | + | |
| - | ==== 1. Hintergrund Server-gespeicherte Profile==== | + | |
| + | ==== 1. Hintergrund: Server-gespeicherte Profile ==== | ||
| Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | ||
| Zeile 18: | Zeile 18: | ||
| Meldet sich ein neuer Benutzer erstmalig an seinem PC an, wird sein Profil und damit auch die Bibliotheksverzeichnisse erstellt. Verfügt der Benutzer über ein ihm gehörendes persönliches Verzeichnis auf einem Fileserver können dort Pendants der Verzeichnisse (Dokumente, Musik, Videos. usw.) erstellt werden. Anschließend werden die lokalen Verzeichnisse gelöscht und mit dem Kommando //**mklink**// stattdessen Verknüpfungen erzeugt die auf die Entsprechungen im persönlichen Verzeichnis zeigen. Windows wird sich nicht darüber beklagen, dass dort keine Indizierung möglich ist. | Meldet sich ein neuer Benutzer erstmalig an seinem PC an, wird sein Profil und damit auch die Bibliotheksverzeichnisse erstellt. Verfügt der Benutzer über ein ihm gehörendes persönliches Verzeichnis auf einem Fileserver können dort Pendants der Verzeichnisse (Dokumente, Musik, Videos. usw.) erstellt werden. Anschließend werden die lokalen Verzeichnisse gelöscht und mit dem Kommando //**mklink**// stattdessen Verknüpfungen erzeugt die auf die Entsprechungen im persönlichen Verzeichnis zeigen. Windows wird sich nicht darüber beklagen, dass dort keine Indizierung möglich ist. | ||
| - | ==== 2. Vorgehensweise ==== | + | ==== 2. Vorgehensweise - Domänenbeitritt ==== |
| Für den Domänenbeitritt müssen die Zugangsdaten eines zum Anlegen von Benutzerkonten berechtigten Benutzers auf dem Domain-Controller bekannt sein. Für einen Windows PDC ist dies in aller Regel der zentrale Administrator und für einen Samba PDC ist dies der Benutzer //root//. | Für den Domänenbeitritt müssen die Zugangsdaten eines zum Anlegen von Benutzerkonten berechtigten Benutzers auf dem Domain-Controller bekannt sein. Für einen Windows PDC ist dies in aller Regel der zentrale Administrator und für einen Samba PDC ist dies der Benutzer //root//. | ||
| Zeile 24: | Zeile 24: | ||
| Domänenbeitritte können nicht mit den Personal-Versionen von Windows durchgeführt werden (OK -- Heise hat gezeigt, dass es mit XP Home mit ein bisschen getrickse doch geht.). | Domänenbeitritte können nicht mit den Personal-Versionen von Windows durchgeführt werden (OK -- Heise hat gezeigt, dass es mit XP Home mit ein bisschen getrickse doch geht.). | ||
| - | - Ist der PDC ein Samba-PDC mit NTLM Domäne (**invis Classic**) müssen zunächst zwei Einträge in der Win7 Registry geändert werden. Einen fertigen Patch gibt es [[https://bugzilla.samba.org/attachment.cgi?id=4988&action=view|hier]]. (Zusätzliche Infos [[http://wiki.samba.org/index.php/Windows7|hier]]). Ein Windows Neustart ist nach Einspielen des Patches nicht nötig. In Verbindung mit Active-Directory Domänen entfällt dieser Schritt. | + | - **(Veraltet)** Ist der PDC ein Samba-PDC mit NTLM Domäne (**invis Classic**) müssen zunächst zwei Einträge in der Win7 Registry geändert werden. Einen fertigen Patch gibt es [[https://bugzilla.samba.org/attachment.cgi?id=4988&action=view|hier]]. Ein Windows Neustart ist nach Einspielen des Patches nicht nötig. In Verbindung mit Active-Directory Domänen entfällt dieser Schritt. Mit Windows 10 ist der Beitritt in eine klassische NT4.0 Domäne nicht mehr möglich. Mal ehrlich, das sollte eigentlich auch in der Praxis nicht mehr geben. |
| - Unter Windows 7 lässt sich die Funktion "Einer Domäne Beitreten" am besten über die Desktop-Suche finden. Einfach //Domäne// in der Suchleiste eingeben und dann auf den entsprechenden Menüeintrag klicken. | - Unter Windows 7 lässt sich die Funktion "Einer Domäne Beitreten" am besten über die Desktop-Suche finden. Einfach //Domäne// in der Suchleiste eingeben und dann auf den entsprechenden Menüeintrag klicken. | ||
| - Als nächstes auf die Schaltfläche "Ändern" klicken und dann das Feld "Domäne" aktivieren, den Domänennamen eintragen und mit OK bestätigen. | - Als nächstes auf die Schaltfläche "Ändern" klicken und dann das Feld "Domäne" aktivieren, den Domänennamen eintragen und mit OK bestätigen. | ||
| Zeile 32: | Zeile 32: | ||
| - Vor der ersten Anmeldung eines normalen Benutzers auf diesem Rechner sollte sich nach dem Neustart zunächst ein Domänenadministrator am System anmelden und die Domänen-Gruppe "Domain Users" bzw. "Domänen Benutzer" der lokalen Gruppe "Hauptbenutzer" zuordnen. Ohne diesen Schritt werden einige (vor allem ältere) Programme nicht richtig funktionieren. In extremen Fällen muss die genannte Domänen-Gruppe sogar der lokalen Administratoren-Gruppe zugeordnet werden. Den Zugriff auf "lokale Gruppen" hat MS bei Windows 7 gut versteckt: Rechtsklick auf "Computer" im Startmenü, dann Linksklick auf "Verwaltung". Im neuen Fenster Linksklick auf den Menüeintrag "lokale Benutzer und Gruppen" und Doppelklick auf Gruppen. Jetzt Doppelklick auf den Eintrag "Hauptbenutzer", dann im neuen Fenster die Schaltfläche "Hinzufügen" klicken, gefolgt einem Klick auf die Schaltflächen "Erweitert" und "Jetzt Suchen" im jeweils neuen Fenster. Daraufhin erscheint eine Liste aller bekannten Benutzer und Gruppen. Hier die Gruppe der Domänenbenutzer auswählen und alles mit OK bestätigen bis alle Fenster wieder zu sind. | - Vor der ersten Anmeldung eines normalen Benutzers auf diesem Rechner sollte sich nach dem Neustart zunächst ein Domänenadministrator am System anmelden und die Domänen-Gruppe "Domain Users" bzw. "Domänen Benutzer" der lokalen Gruppe "Hauptbenutzer" zuordnen. Ohne diesen Schritt werden einige (vor allem ältere) Programme nicht richtig funktionieren. In extremen Fällen muss die genannte Domänen-Gruppe sogar der lokalen Administratoren-Gruppe zugeordnet werden. Den Zugriff auf "lokale Gruppen" hat MS bei Windows 7 gut versteckt: Rechtsklick auf "Computer" im Startmenü, dann Linksklick auf "Verwaltung". Im neuen Fenster Linksklick auf den Menüeintrag "lokale Benutzer und Gruppen" und Doppelklick auf Gruppen. Jetzt Doppelklick auf den Eintrag "Hauptbenutzer", dann im neuen Fenster die Schaltfläche "Hinzufügen" klicken, gefolgt einem Klick auf die Schaltflächen "Erweitert" und "Jetzt Suchen" im jeweils neuen Fenster. Daraufhin erscheint eine Liste aller bekannten Benutzer und Gruppen. Hier die Gruppe der Domänenbenutzer auswählen und alles mit OK bestätigen bis alle Fenster wieder zu sind. | ||
| - Domänenadmin abmelden und mit normalem Benutzer anmelden. | - Domänenadmin abmelden und mit normalem Benutzer anmelden. | ||
| - | - Jetzt müssen die Bibliotheken wie oben beschrieben auf den Server verlegt werden. Dies geschieht am besten per Script (Beispiel siehe unten). Das Script sollte direkt auf Laufwerk //c:// liegen und muss als Administrator ausgeführt werden. Dazu in der Suchleiste "cmd" eingeben und den gefundenen Menüeintrag mit der rechten Maustaste anklicken und dann mit Linksklick auf "Als Administrator ausführen" öffnen. Es wird mach Benutzername und Passwort gefragt. Hier müssen die Daten des Domänenadministrators eingegeben werden. Anschließend das Script ausführen. **Voraussetzung dafür ist, dass die Zielverzeichnisse für die zu erstellenden Verknüpfungen bereits existieren.** | + | - Jetzt können die Bibliotheken wie oben beschrieben auf den Server verlegt werden. Dies geschieht am besten per Script (Beispiel siehe unten). Das Script sollte direkt auf Laufwerk //c:// liegen und muss als Administrator ausgeführt werden. Dazu in der Suchleiste "cmd" eingeben und den gefundenen Menüeintrag mit der rechten Maustaste anklicken und dann mit Linksklick auf "Als Administrator ausführen" öffnen. Es wird mach Benutzername und Passwort gefragt. Hier müssen die Daten des Domänenadministrators eingegeben werden. Anschließend das Script ausführen. **Voraussetzung dafür ist, dass die Zielverzeichnisse für die zu erstellenden Verknüpfungen bereits existieren.** |
| - Meldet das Script keine Fehler ist der Domänenbeitritt abgeschlossen. | - Meldet das Script keine Fehler ist der Domänenbeitritt abgeschlossen. | ||
| Zeile 96: | Zeile 96: | ||
| <code> | <code> | ||
| invis-client:~ # zypper ref | invis-client:~ # zypper ref | ||
| - | invis-client:~ # zypper in invisAD-client | + | invis-client:~ # zypper in invisAD-client-1 |
| </code> | </code> | ||
| Jetzt ist lediglich das Client-Integrationsscript auszuführen. sie benötigen dafür das Passwort des Domänen-Administrators und den Namen der Domäne. | Jetzt ist lediglich das Client-Integrationsscript auszuführen. sie benötigen dafür das Passwort des Domänen-Administrators und den Namen der Domäne. | ||
| - | //**Hinweis:** Sollte Ihr openSUSE Leap System als Offline-Client handeln, müssen einzelne Schritte (wie weiter unten beschrieben) noch manuell vorgenommen werden. Darunter beispielsweise das Erzeugen des VPN-Clientzertifikats. Das Script **joininvis** fragt, ob es sich bei dem System um einen PC, ein Notebook oder einen "Memberserver" handelt. Im Falle eines Notebooks wird openvpn automatisch installiert.// | + | //**Hinweis:** Sollte Ihr openSUSE Leap System als Offline-Client handeln, müssen einzelne Schritte (wie weiter unten beschrieben) noch manuell vorgenommen werden. Darunter beispielsweise das Erzeugen des VPN-Clientzertifikats. Das Script **joininvis** fragt, ob es sich bei dem System um einen PC, ein Notebook oder einen "Memberserver" handelt. Im Falle eines Notebooks wird openvpn automatisch installiert. Auch das weiter unten beschriebene Schript **invisconnect** ist bereits im Paket enthalten.// |
| <code> | <code> | ||
| Zeile 133: | Zeile 133: | ||
| **[[https://github.com/invisserver/invisAD-client]]** | **[[https://github.com/invisserver/invisAD-client]]** | ||
| - | Für die Anbindung eines Linux-Clients an einen invis(AD)-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: | + | Für die Anbindung eines Linux-Clients an einen invisAD-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: |
| **Ubuntu 16.04** | **Ubuntu 16.04** | ||
| Zeile 145: | Zeile 145: | ||
| </code> | </code> | ||
| - | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
| <code> | <code> | ||
| linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | ||
| </code> | </code> | ||
| - | |||
| - | //**Achtung:** In openSUSE Leap ist **sssd** lediglich in Version 1.11.x enthalten. Die Active-Directory Ergänzung **sssd-ad** ist erst ab Version 1.12. hinzugekommen. Wir haben eine aktuelle Version des **sssd** in unserem "spins:invis:common" Repository. Sie müssen dieses also zunächst Ihren Repositories hinzufügen.// | ||
| - | |||
| - | //**Hinweis:** Dies sssd-ad und sasl-gssapi Pakete werden für die Anbindung an einen invis-Classic nicht benötigt.// | ||
| //**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | //**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | ||
| - | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
| <code> | <code> | ||
| linux:~ # zypper rm nscd | linux:~ # zypper rm nscd | ||
| </code> | </code> | ||
| - | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | + | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen: |
| - | + | ||
| - | == sssd-Konfiguration invis-Server Classic == | + | |
| - | + | ||
| - | <code> | + | |
| - | [sssd] | + | |
| - | config_file_version = 2 | + | |
| - | services = nss,pam | + | |
| - | domains = default | + | |
| - | + | ||
| - | [nss] | + | |
| - | filter_groups = root | + | |
| - | filter_user = root | + | |
| - | + | ||
| - | [pam] | + | |
| - | + | ||
| - | [domain/default] | + | |
| - | ldap_uri = ldap://invis.invis-net.loc | + | |
| - | ldap_search_base = dc=invis-net,dc=loc | + | |
| - | ldap_schema = rfc2307 | + | |
| - | id_provider = ldap | + | |
| - | ldap_user_uuid = entryuuid | + | |
| - | ldap_group_uuid = entryuuid | + | |
| - | ldap_id_use_start_tls = true | + | |
| - | enumerate = true | + | |
| - | cache_credentials = false | + | |
| - | ldap_tls_cacertdir = /etc/ssl/certs | + | |
| - | ldap_tls_cacert = /etc/ssl/certs/cacert.pem | + | |
| - | chpass_provider = ldap | + | |
| - | auth_provider = ldap | + | |
| - | ldap_user_fullname = displayName | + | |
| - | #cache_entry_timeout = 1 | + | |
| - | #refresh_expired_interval = 1 | + | |
| - | </code> | + | |
| == sssd-Konfiguration invis-Server Active Directory == | == sssd-Konfiguration invis-Server Active Directory == | ||
| Zeile 261: | Zeile 224: | ||
| <code> | <code> | ||
| linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | ||
| - | </code> | ||
| - | |||
| - | Danach wird (nur bei einem Classic Server) das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <file>/etc/ssl/certs</file> kopiert werden: | ||
| - | |||
| - | <code> | ||
| - | linux:~ # sudo cp /mnt/invis/shares/service/VPN-Clients/cacert.pem /etc/ssl/certs/ | ||
| </code> | </code> | ||
| Zeile 295: | Zeile 252: | ||
| Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | ||
| + | |||
| == Name-Service-Switch anpassen == | == Name-Service-Switch anpassen == | ||
| Zeile 405: | Zeile 363: | ||
| </code> | </code> | ||
| - | Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | ||
| == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | ||