Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
invis_server_wiki:client [2018/03/09 08:38] flacco [openSUSE Leap] |
invis_server_wiki:client [2018/07/15 15:09] pingo [openSUSE Leap] |
||
---|---|---|---|
Zeile 96: | Zeile 96: | ||
<code> | <code> | ||
invis-client:~ # zypper ref | invis-client:~ # zypper ref | ||
- | invis-client:~ # zypper in invisAD-client | + | invis-client:~ # zypper in invisAD-client-1 |
</code> | </code> | ||
Zeile 133: | Zeile 133: | ||
**[[https://github.com/invisserver/invisAD-client]]** | **[[https://github.com/invisserver/invisAD-client]]** | ||
- | Für die Anbindung eines Linux-Clients an einen invis(AD)-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: | + | Für die Anbindung eines Linux-Clients an einen invisAD-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: |
**Ubuntu 16.04** | **Ubuntu 16.04** | ||
Zeile 145: | Zeile 145: | ||
</code> | </code> | ||
- | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
<code> | <code> | ||
linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | linux:~ # zypper in sssd sssd-ad sssd-tools cyrus-sasl-gssapi krb5-client | ||
</code> | </code> | ||
- | |||
- | //**Achtung:** In openSUSE Leap ist **sssd** lediglich in Version 1.11.x enthalten. Die Active-Directory Ergänzung **sssd-ad** ist erst ab Version 1.12. hinzugekommen. Wir haben eine aktuelle Version des **sssd** in unserem "spins:invis:common" Repository. Sie müssen dieses also zunächst Ihren Repositories hinzufügen.// | ||
- | |||
- | //**Hinweis:** Dies sssd-ad und sasl-gssapi Pakete werden für die Anbindung an einen invis-Classic nicht benötigt.// | ||
//**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | //**Achtung:** Der **sss** Dienst und der auf den meisten Linux-Distributionen vorinstallierte **Name-Service-Cache-Daemon** (nscd) konkurrieren in einigen Funktionen. Daher muss **nscd** auf jeden Fall deinstalliert werden.// | ||
- | **openSUSE Leap 42.1** | + | **openSUSE Leap 42.x** |
<code> | <code> | ||
linux:~ # zypper rm nscd | linux:~ # zypper rm nscd | ||
</code> | </code> | ||
- | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen. Dabei gibt es je nach verwendeter invis-Server-Version Unterschiede. Schauen wir uns zunächst die klassische Variante an: | + | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen: |
- | + | ||
- | == sssd-Konfiguration invis-Server Classic == | + | |
- | + | ||
- | <code> | + | |
- | [sssd] | + | |
- | config_file_version = 2 | + | |
- | services = nss,pam | + | |
- | domains = default | + | |
- | + | ||
- | [nss] | + | |
- | filter_groups = root | + | |
- | filter_user = root | + | |
- | + | ||
- | [pam] | + | |
- | + | ||
- | [domain/default] | + | |
- | ldap_uri = ldap://invis.invis-net.loc | + | |
- | ldap_search_base = dc=invis-net,dc=loc | + | |
- | ldap_schema = rfc2307 | + | |
- | id_provider = ldap | + | |
- | ldap_user_uuid = entryuuid | + | |
- | ldap_group_uuid = entryuuid | + | |
- | ldap_id_use_start_tls = true | + | |
- | enumerate = true | + | |
- | cache_credentials = false | + | |
- | ldap_tls_cacertdir = /etc/ssl/certs | + | |
- | ldap_tls_cacert = /etc/ssl/certs/cacert.pem | + | |
- | chpass_provider = ldap | + | |
- | auth_provider = ldap | + | |
- | ldap_user_fullname = displayName | + | |
- | #cache_entry_timeout = 1 | + | |
- | #refresh_expired_interval = 1 | + | |
- | </code> | + | |
== sssd-Konfiguration invis-Server Active Directory == | == sssd-Konfiguration invis-Server Active Directory == | ||
Zeile 261: | Zeile 224: | ||
<code> | <code> | ||
linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | ||
- | </code> | ||
- | |||
- | Danach wird (nur bei einem Classic Server) das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <file>/etc/ssl/certs</file> kopiert werden: | ||
- | |||
- | <code> | ||
- | linux:~ # sudo cp /mnt/invis/shares/service/VPN-Clients/cacert.pem /etc/ssl/certs/ | ||
</code> | </code> | ||
Zeile 295: | Zeile 252: | ||
Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | Der Debug-Level kann für die einzelnen Sektionen "[sssd]", "[nss]", "[pam]" und "[domain/...]" auch individuell gesetzt werden. Weitere Infos zum Debug-Level sind in der Manpage des Dienstes zu finden (https://jhrozek.fedorapeople.org/sssd/1.13.1/man/sssd.conf.5.html) | ||
+ | |||
== Name-Service-Switch anpassen == | == Name-Service-Switch anpassen == | ||
Zeile 405: | Zeile 363: | ||
</code> | </code> | ||
- | Alle gezeigten Beispiele stammen aus einer Anbindung an einen invis-Classic Server. | ||
== Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | == Kerberos Konfiguration für Client-Anbindung an invis-Server ActiveDirectory == | ||