Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2019/01/26 11:13] flacco [2. Vorgehensweise] |
invis_server_wiki:client [2020/06/06 08:11] flacco [Vorab] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| ====== invis Server - Client Integration ====== | ====== invis Server - Client Integration ====== | ||
| - | ===== Windows - ab Windows 7 ===== | + | Unabhängig vom Betriebssystem des ins Netzwerk zu integrierenden Clients, müssen Sie diesen PC zunächst in IP-Netz des invis-Servers integrieren. Eine entsprechende Anleitung finden Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:administration#geraete_und_computer_ins_netzwerk_integrieren|hier]]**. |
| + | ===== Domänen-Integration ===== | ||
| + | ==== Windows - ab Windows 7 ==== | ||
| - | ==== 1. Hintergrund: Server-gespeicherte Profile ==== | + | === 1. Hintergrund: Server-gespeicherte Profile === |
| Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | Im Unterschied zu Windows XP und 2000 birgt Windows 7 (wie auch der Vorgänger Vista) ein verstecktes Problem in sich, wenn mit sogenannten //Roaming Profiles// also Server-gespeicherten Profilen innerhalb einer Domänen-Struktur gearbeitet wird. | ||
| Zeile 18: | Zeile 20: | ||
| Meldet sich ein neuer Benutzer erstmalig an seinem PC an, wird sein Profil und damit auch die Bibliotheksverzeichnisse erstellt. Verfügt der Benutzer über ein ihm gehörendes persönliches Verzeichnis auf einem Fileserver können dort Pendants der Verzeichnisse (Dokumente, Musik, Videos. usw.) erstellt werden. Anschließend werden die lokalen Verzeichnisse gelöscht und mit dem Kommando //**mklink**// stattdessen Verknüpfungen erzeugt die auf die Entsprechungen im persönlichen Verzeichnis zeigen. Windows wird sich nicht darüber beklagen, dass dort keine Indizierung möglich ist. | Meldet sich ein neuer Benutzer erstmalig an seinem PC an, wird sein Profil und damit auch die Bibliotheksverzeichnisse erstellt. Verfügt der Benutzer über ein ihm gehörendes persönliches Verzeichnis auf einem Fileserver können dort Pendants der Verzeichnisse (Dokumente, Musik, Videos. usw.) erstellt werden. Anschließend werden die lokalen Verzeichnisse gelöscht und mit dem Kommando //**mklink**// stattdessen Verknüpfungen erzeugt die auf die Entsprechungen im persönlichen Verzeichnis zeigen. Windows wird sich nicht darüber beklagen, dass dort keine Indizierung möglich ist. | ||
| - | ==== 2. Vorgehensweise - Domänenbeitritt ==== | + | === 2. Vorgehensweise - Domänenbeitritt === |
| Für den Domänenbeitritt müssen die Zugangsdaten eines zum Anlegen von Benutzerkonten berechtigten Benutzers auf dem Domain-Controller bekannt sein. Für einen Windows PDC ist dies in aller Regel der zentrale Administrator und für einen Samba PDC ist dies der Benutzer //root//. | Für den Domänenbeitritt müssen die Zugangsdaten eines zum Anlegen von Benutzerkonten berechtigten Benutzers auf dem Domain-Controller bekannt sein. Für einen Windows PDC ist dies in aller Regel der zentrale Administrator und für einen Samba PDC ist dies der Benutzer //root//. | ||
| Zeile 24: | Zeile 26: | ||
| Domänenbeitritte können nicht mit den Personal-Versionen von Windows durchgeführt werden (OK -- Heise hat gezeigt, dass es mit XP Home mit ein bisschen getrickse doch geht.). | Domänenbeitritte können nicht mit den Personal-Versionen von Windows durchgeführt werden (OK -- Heise hat gezeigt, dass es mit XP Home mit ein bisschen getrickse doch geht.). | ||
| - | - Ist der PDC ein Samba-PDC mit NTLM Domäne (**invis Classic**) müssen zunächst zwei Einträge in der Win7 Registry geändert werden. Einen fertigen Patch gibt es [[https://bugzilla.samba.org/attachment.cgi?id=4988&action=view|hier]]. (Zusätzliche Infos [[http://wiki.samba.org/index.php/Windows7|hier]]). Ein Windows Neustart ist nach Einspielen des Patches nicht nötig. In Verbindung mit Active-Directory Domänen entfällt dieser Schritt. | + | - **(Veraltet)** Ist der PDC ein Samba-PDC mit NTLM Domäne (**invis Classic**) müssen zunächst zwei Einträge in der Win7 Registry geändert werden. Einen fertigen Patch gibt es [[https://bugzilla.samba.org/attachment.cgi?id=4988&action=view|hier]]. Ein Windows Neustart ist nach Einspielen des Patches nicht nötig. In Verbindung mit Active-Directory Domänen entfällt dieser Schritt. Mit Windows 10 ist der Beitritt in eine klassische NT4.0 Domäne nicht mehr möglich. Mal ehrlich, das sollte eigentlich auch in der Praxis nicht mehr geben. |
| - Unter Windows 7 lässt sich die Funktion "Einer Domäne Beitreten" am besten über die Desktop-Suche finden. Einfach //Domäne// in der Suchleiste eingeben und dann auf den entsprechenden Menüeintrag klicken. | - Unter Windows 7 lässt sich die Funktion "Einer Domäne Beitreten" am besten über die Desktop-Suche finden. Einfach //Domäne// in der Suchleiste eingeben und dann auf den entsprechenden Menüeintrag klicken. | ||
| - Als nächstes auf die Schaltfläche "Ändern" klicken und dann das Feld "Domäne" aktivieren, den Domänennamen eintragen und mit OK bestätigen. | - Als nächstes auf die Schaltfläche "Ändern" klicken und dann das Feld "Domäne" aktivieren, den Domänennamen eintragen und mit OK bestätigen. | ||
| Zeile 32: | Zeile 34: | ||
| - Vor der ersten Anmeldung eines normalen Benutzers auf diesem Rechner sollte sich nach dem Neustart zunächst ein Domänenadministrator am System anmelden und die Domänen-Gruppe "Domain Users" bzw. "Domänen Benutzer" der lokalen Gruppe "Hauptbenutzer" zuordnen. Ohne diesen Schritt werden einige (vor allem ältere) Programme nicht richtig funktionieren. In extremen Fällen muss die genannte Domänen-Gruppe sogar der lokalen Administratoren-Gruppe zugeordnet werden. Den Zugriff auf "lokale Gruppen" hat MS bei Windows 7 gut versteckt: Rechtsklick auf "Computer" im Startmenü, dann Linksklick auf "Verwaltung". Im neuen Fenster Linksklick auf den Menüeintrag "lokale Benutzer und Gruppen" und Doppelklick auf Gruppen. Jetzt Doppelklick auf den Eintrag "Hauptbenutzer", dann im neuen Fenster die Schaltfläche "Hinzufügen" klicken, gefolgt einem Klick auf die Schaltflächen "Erweitert" und "Jetzt Suchen" im jeweils neuen Fenster. Daraufhin erscheint eine Liste aller bekannten Benutzer und Gruppen. Hier die Gruppe der Domänenbenutzer auswählen und alles mit OK bestätigen bis alle Fenster wieder zu sind. | - Vor der ersten Anmeldung eines normalen Benutzers auf diesem Rechner sollte sich nach dem Neustart zunächst ein Domänenadministrator am System anmelden und die Domänen-Gruppe "Domain Users" bzw. "Domänen Benutzer" der lokalen Gruppe "Hauptbenutzer" zuordnen. Ohne diesen Schritt werden einige (vor allem ältere) Programme nicht richtig funktionieren. In extremen Fällen muss die genannte Domänen-Gruppe sogar der lokalen Administratoren-Gruppe zugeordnet werden. Den Zugriff auf "lokale Gruppen" hat MS bei Windows 7 gut versteckt: Rechtsklick auf "Computer" im Startmenü, dann Linksklick auf "Verwaltung". Im neuen Fenster Linksklick auf den Menüeintrag "lokale Benutzer und Gruppen" und Doppelklick auf Gruppen. Jetzt Doppelklick auf den Eintrag "Hauptbenutzer", dann im neuen Fenster die Schaltfläche "Hinzufügen" klicken, gefolgt einem Klick auf die Schaltflächen "Erweitert" und "Jetzt Suchen" im jeweils neuen Fenster. Daraufhin erscheint eine Liste aller bekannten Benutzer und Gruppen. Hier die Gruppe der Domänenbenutzer auswählen und alles mit OK bestätigen bis alle Fenster wieder zu sind. | ||
| - Domänenadmin abmelden und mit normalem Benutzer anmelden. | - Domänenadmin abmelden und mit normalem Benutzer anmelden. | ||
| - | - Jetzt müssen die Bibliotheken wie oben beschrieben auf den Server verlegt werden. Dies geschieht am besten per Script (Beispiel siehe unten). Das Script sollte direkt auf Laufwerk //c:// liegen und muss als Administrator ausgeführt werden. Dazu in der Suchleiste "cmd" eingeben und den gefundenen Menüeintrag mit der rechten Maustaste anklicken und dann mit Linksklick auf "Als Administrator ausführen" öffnen. Es wird mach Benutzername und Passwort gefragt. Hier müssen die Daten des Domänenadministrators eingegeben werden. Anschließend das Script ausführen. **Voraussetzung dafür ist, dass die Zielverzeichnisse für die zu erstellenden Verknüpfungen bereits existieren.** | + | - Jetzt können die Bibliotheken wie oben beschrieben auf den Server verlegt werden. Dies geschieht am besten per Script (Beispiel siehe unten). Das Script sollte direkt auf Laufwerk //c:// liegen und muss als Administrator ausgeführt werden. Dazu in der Suchleiste "cmd" eingeben und den gefundenen Menüeintrag mit der rechten Maustaste anklicken und dann mit Linksklick auf "Als Administrator ausführen" öffnen. Es wird mach Benutzername und Passwort gefragt. Hier müssen die Daten des Domänenadministrators eingegeben werden. Anschließend das Script ausführen. **Voraussetzung dafür ist, dass die Zielverzeichnisse für die zu erstellenden Verknüpfungen bereits existieren.** |
| - Meldet das Script keine Fehler ist der Domänenbeitritt abgeschlossen. | - Meldet das Script keine Fehler ist der Domänenbeitritt abgeschlossen. | ||
| - | ==== 3. Fehlerquellen ==== | + | === 3. Fehlerquellen === |
| Es gibt einige Ursachen für ein Fehlschlagen des Domänenbeitrittes. Die Häufigste darunter ist eine vor dem Domänenbeitritt erfolgte Anmeldung am Domain-Controller unter X-beliebiger Benutzerkennung, etwa um auf ein freigegebenes Verzeichnis zuzugreifen. | Es gibt einige Ursachen für ein Fehlschlagen des Domänenbeitrittes. Die Häufigste darunter ist eine vor dem Domänenbeitritt erfolgte Anmeldung am Domain-Controller unter X-beliebiger Benutzerkennung, etwa um auf ein freigegebenes Verzeichnis zuzugreifen. | ||
| Zeile 41: | Zeile 43: | ||
| In diesem Fall wird der Domänenbeitritt verweigert. Es genügt sich am PC ab- und wieder anzumelden um alle Netzwerkverbindungen zu kappen und dann den Beitritt erneut zu starten. | In diesem Fall wird der Domänenbeitritt verweigert. Es genügt sich am PC ab- und wieder anzumelden um alle Netzwerkverbindungen zu kappen und dann den Beitritt erneut zu starten. | ||
| - | ==== 4. Script zum Verschieben der Bibliotheken ==== | + | Eine zweite Fehlerquelle ist ein Problem mit der Namensauflösung (DNS) im Netzwerk. Innerhalb eines ActiveDirectory gestützten Netzwerkes wird DNS neben der reinen Übersetzung von Hostnamen in IP-Adressen und umgekehrt auch für "Service Location" verwendet. D.h. ein Client fragt per DNS nach, welcher Server im Netz der zuständige Kerberos-Server und welcher der zuständige LDAP-Server ist. Diese beiden Informationen sind für den Domänenbeitritt unabdingbar. Gelingt die Abfrage dieser Informationen nicht, ist auch kein Domänenbeitritt möglich. |
| + | |||
| + | Wichtig ist also, dass der DNS-Dienst auf Ihrem invis-Server in Betrieb ist, davon ist auszugehen, wenn ansonsten alles funktioniert. Sollten Sie dem der Domäne hinzuzufügenden PC etwa statisch Adressen für DNS Server gegeben haben, dürfte dass die Ursache für ein Fehlschlagen des Domänenbeitritts sein. | ||
| + | |||
| + | === 4. Script zum Verschieben der Bibliotheken === | ||
| <code> | <code> | ||
| Zeile 72: | Zeile 78: | ||
| Ist der Server ein "invis Server", wird ein bereits personalisiertes Script beim Anlegen eines neuen Benutzers über das invis Portal automatisch erzeugt und in der Freigabe //Service// im Unterverzeichnis <file>winscripts</file> abgelegt. In der Service-Freigabe wird auch der oben erwähnte Registry-Patch vorgehalten. | Ist der Server ein "invis Server", wird ein bereits personalisiertes Script beim Anlegen eines neuen Benutzers über das invis Portal automatisch erzeugt und in der Freigabe //Service// im Unterverzeichnis <file>winscripts</file> abgelegt. In der Service-Freigabe wird auch der oben erwähnte Registry-Patch vorgehalten. | ||
| - | ===== Linux Clients mit SSSD integrieren ===== | + | ==== Linux Clients mit SSSD integrieren ==== |
| - | Anbindung von Linux-Clients an einen invis-Server. Die folgende Beschreibung orientiert sich an **Ubuntu 12.04 LTS** und **Linux Mint 17 "Qiana"** (Getestet auch mit Linux Mint 13 "Maya"), gilt aber prinzipiell auch für andere Linux-Distributionen. | + | Die Integration eines Linux-Clients in eine ActiveDirectory Domäne ist grundsätzlich kein Problem. In der Praxis ergeben sich allerdings verschiedene Möglichkeiten dies zu tun. Darüber hinaus unterscheiden sich auch die verschiedenen Linux-Distributionen voneinander, was sich auf die Integration auswirken kann. Nicht zuletzt wegen unterschiedlicher Paketnamen der benötigten Software. |
| - | Kern der Beschreibung ist die Anbindung eines Linux-Clients an eine LDAP-gestützte Benutzerverwaltung mit Hilfe des noch recht jungen System Security Services Daemon (SSSD). Nicht alle Distributionen haben den SSSD bereits vollständig integriert, daher muss in vielen Fällen wie beim hier gezeigten Ubuntu die Einrichtung vollständig manuell durchgeführt werden. | + | invis-Server ist ein openSUSE Spin-Off Projekt. Daher dürfte es kaum verwundern, dass wir auch bei der Client-Anbindung "openSUSE Leap" den Vorzug geben. Geschehen ist dies in der Form, dass wir für openSUSE Leap ein eigenes invis-Server Client-Paket gebaut haben welches es ermöglicht den Domänenbeitritt in wenigen Schritten automatisiert durchzuführen. |
| + | |||
| + | Für andere Distributionen ist Handarbeit angesagt. Die entsprechenden Beschreibungen orientieren sich an **Ubuntu 12.04 LTS** und **Linux Mint 17 "Qiana"** (Getestet auch mit Linux Mint 13 "Maya"), gelten aber prinzipiell auch für andere Linux-Distributionen oder Versionen. | ||
| + | |||
| + | Unabhängig ob automatisiert oder manuell, wir nutzen für die Anbindung eines Linux-Clients an eine LDAP-gestützte Benutzerverwaltung aus dem Hause RedHat stammenden System Security Services Daemon (SSSD). Nicht alle Distributionen haben den SSSD bereits vollständig integriert, daher muss in vielen Fällen wie beim hier gezeigten Ubuntu die Einrichtung vollständig manuell durchgeführt werden. | ||
| SSSD erschließt der Linux-Welt einen Vorteil, der bisher nur Windows-Nutzern zugänglich war. Er bietet die Möglichkeit einer Offline-Anmeldung. D.h. Ein Benutzerkonto steht auf einem Client auch dann zur Verfügung, wenn keine Verbindung zum Server besteht. Spannend vor allem für die Nutzung auf Notebooks. | SSSD erschließt der Linux-Welt einen Vorteil, der bisher nur Windows-Nutzern zugänglich war. Er bietet die Möglichkeit einer Offline-Anmeldung. D.h. Ein Benutzerkonto steht auf einem Client auch dann zur Verfügung, wenn keine Verbindung zum Server besteht. Spannend vor allem für die Nutzung auf Notebooks. | ||
| Zeile 83: | Zeile 93: | ||
| //**Achtung:** Bevor Sie damit beginnen Linux-Clients in Ihr Netzwerk zu integrieren, müssen Sie auf Ihrem invis-Server den NFS-Dienst aktiviert haben. Wie das geht, lesen Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation:post-110#nfs_fileserver |hier]]**// | //**Achtung:** Bevor Sie damit beginnen Linux-Clients in Ihr Netzwerk zu integrieren, müssen Sie auf Ihrem invis-Server den NFS-Dienst aktiviert haben. Wie das geht, lesen Sie **[[https://wiki.invis-server.org/doku.php/invis_server_wiki:installation:post-110#nfs_fileserver |hier]]**// | ||
| + | |||
| + | === Vorab === | ||
| + | |||
| + | Die Nutzung der Anbindung eines Linux-Clients an eine ActiveDirectory Domäne kann innerhalb oder von außerhalb des lokalen Netzwerkes erfolgen. Die Nutzung von Außerhalb erfordert eine VPN-Verbindung unter Verwendung von openVPN. | ||
| + | |||
| + | Die Anbindung eines "extern" genutzten PCs sollte, wenn möglich innerhalb des ActiveDirectory-Netzes erfolgen. Möglich ist die Anbindung zwar auch von Außen, Sie werden dabei allerdings von einem "Henne und Ei" behindert. | ||
| + | |||
| + | Bei einem "Beitritt von außen" müssen sie sich bereits vor dem Domänenbeitritt per VPN mit dem Netzwerk Ihres invis-Servers verbinden und dies als Benutzer "root". Diese Verbindung brauchen Sie später nicht mehr, später verbindet sich der Nutzer per VPN. Kurz, der Betritt von außen ist wesentlich umständlicher als von innen. | ||
| ==== openSUSE Leap ==== | ==== openSUSE Leap ==== | ||
| Zeile 90: | Zeile 108: | ||
| <code> | <code> | ||
| invis-client:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/unstable/openSUSE_Leap_42.3/spins:invis:unstable.repo | invis-client:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/unstable/openSUSE_Leap_42.3/spins:invis:unstable.repo | ||
| + | </code> | ||
| + | |||
| + | ... und Leap 15.0: | ||
| + | |||
| + | <code> | ||
| + | invis-client:~ # zypper ar https://download.opensuse.org/repositories/spins:/invis:/15:/stable/openSUSE_Leap_15.0/spins:invis:15:stable.repo | ||
| </code> | </code> | ||
| Zeile 107: | Zeile 131: | ||
| </code> | </code> | ||
| - | Beantworten Sie die Fragen und das wars. | + | Beantworten Sie die Fragen und das war's. |
| + | |||
| + | Es werden folgende Informationen benötigt: | ||
| + | |||
| + | - Die Domäne, der Sie beitreten möchten und | ||
| + | - das Passwort des Domänenadministrators. | ||
| ==== Manuelle Anbindung - online Clients ==== | ==== Manuelle Anbindung - online Clients ==== | ||