Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
| Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
|
invis_server_wiki:client [2020/06/06 08:20] flacco [Manuelle Anbindung - online Clients] |
invis_server_wiki:client [2020/06/07 17:40] flacco [Windows] |
||
|---|---|---|---|
| Zeile 4: | Zeile 4: | ||
| ===== Domänen-Integration ===== | ===== Domänen-Integration ===== | ||
| ==== Windows - ab Windows 7 ==== | ==== Windows - ab Windows 7 ==== | ||
| - | + | Ältere Windows Versionen als Windows 7 können zwar in eine aktuelle AD-Domäne integriert werden, irgend eine Form von Support gibt es dafür allerdings definitiv nicht mehr. | |
| === 1. Hintergrund: Server-gespeicherte Profile === | === 1. Hintergrund: Server-gespeicherte Profile === | ||
| Zeile 157: | Zeile 156: | ||
| linux:~ # sudo apt-get install nfs-common | linux:~ # sudo apt-get install nfs-common | ||
| </code> | </code> | ||
| - | === 2. Benutzerverwaltung === | + | == 2. Benutzerverwaltung == |
| Die folgenden Erläuterungen beschreiben die Anbindung eines Linux-Clients an einen invis-Server, sowohl AD, als auch Classic. Für die Anbindung von openSUSE Leap (42.x) an einen invis AD Server steht in unserem Github-Repository inzwischen ein Client-Setup-Script zur Verfügung, welches die Anbindung vollständig automatisch durchführt. | Die folgenden Erläuterungen beschreiben die Anbindung eines Linux-Clients an einen invis-Server, sowohl AD, als auch Classic. Für die Anbindung von openSUSE Leap (42.x) an einen invis AD Server steht in unserem Github-Repository inzwischen ein Client-Setup-Script zur Verfügung, welches die Anbindung vollständig automatisch durchführt. | ||
| Zeile 438: | Zeile 437: | ||
| //**Hinweis:** Wenn es sich beim Client-PC um einen Dualboot-system mit Windows und Linux Betrriebssystem handelt, genügt es den Domänenbeitritt mit Windows vorzunehmen und anschließend wie zuvor gezeigt eine Keytab zu generieren und in das Linux-Betriebssystems zu kopieren. Alle anderen Konfigurationsschritte müssen auf dem Linux-Client trotzdem durchgeführt werden.// | //**Hinweis:** Wenn es sich beim Client-PC um einen Dualboot-system mit Windows und Linux Betrriebssystem handelt, genügt es den Domänenbeitritt mit Windows vorzunehmen und anschließend wie zuvor gezeigt eine Keytab zu generieren und in das Linux-Betriebssystems zu kopieren. Alle anderen Konfigurationsschritte müssen auf dem Linux-Client trotzdem durchgeführt werden.// | ||
| - | === 3. Test der Konfiguration === | + | == 3. Test der Konfiguration == |
| Mit | Mit | ||
| Zeile 686: | Zeile 685: | ||
| esac | esac | ||
| </code> | </code> | ||
| + | |||
| + | ===== VPN Zugänge einrichten ===== | ||
| + | |||
| + | invis-Server bringen grundsätzlich OpenVPN mit. OpenVPN ist eine VPN-Lösung auf Transportprotokoll-Ebene unter Verwendung von TLS-Verschlüsselung. OpenVPN steht als Software für alle gängigen Betriebssyteme (Linux, Windows, Mac sowie auch Android) zur Verfügung. Auf die Nutzung in Mobilgeräten wird hier nicht eingegangen. | ||
| + | |||
| + | ==== Windows ==== | ||
| + | Unter Windows muss OpenVPN zunächst heruntergeladen und installiert werden. Idealerweise erfolgt der Download von der Website des Projekts: [[https://openvpn.net/community-downloads/]]. | ||
| + | Suchen Sie je nach Windows-Version den passenden Installer herunter und installieren Sie die Software. | ||
| + | ==== Linux (Networkmanager) ==== | ||
| + | |||
| + | ==== MacOS (Tunnelblick) ==== | ||
| + | Für MacOS steht keine nativer OpenVPN-Implementation zur Verfügung, an dessen Stelle tritt die Software [[https://tunnelblick.net/cInstall.html|Tunnelblick.]] | ||
| + | |||
| + | Im Vergleich zu Windows und Linux kommt Tunnelblick ähnlich merkwürdig daher, wie sich MacOS mir als System-und Netzwerkadministrator grundsätzlich darstellt. MacOS versucht dem Benutzer alles so einfach wie möglich zu machen. Bis zu einem gewissen Nutzungsgrad funktioniert das auch, MacOS recht intuitiv nutzbar. Muss man einen Schritt weiter gehen, lässt sich feststellen, dass MacOS alle möglichen Informationen, die einen Benutzer potentiell verunsichern könnten, vor selbigem versteckt. Ab da wird es statt intuitiv eher undurchsichtig und kompliziert. Schade, könnte eigentlich besser funktionieren.... Scheint aber ein allgemeiner Trend zu sein Windows müht sich ja von Version zu Version an einer ähnlichen Strategie ab. | ||
| + | |||
| + | Genau so verhält sich Tunnelblick. Ein OpenVPN-Client benötigt prinzipiell 2 Dateien, eine Konfigurationsdatei und eine P12-Containerdatei (Enthält Schlüssel und Zertifikate). Bei der Ersteinrichtung verwandelt Tunnelblick beide gemeinsam in eine auf ".tblk" endende Binärdatei, die irgendwo in den "versteckten" Tiefen des Benutzerverzeichnisses abgelegt wird (Benutzer -> Benutzername -> Library -> Application Support -> Tunnelblick -> Configurations / Leider ist schon das Library Verzeichnis unsichtbar). | ||
| + | |||
| + | In der Tunnelblick-Dokumentation ([[https://tunnelblick.net/documents.html]]) steht, dass es genügt die OpenVPN-Konfigurationsdatei auf das Tunnelblick-Taskleistensymbol zieht und loslässt. Soweit dürfte das auch funktionieren. Auf die gleiche Weise ein abgelaufenes Zertifikat zu erneuern klappt jedenfalls nicht. Schade, das wäre intuitiv. | ||
| + | |||
| + | Da Konfigurations- und P12-Datei in einer gemeinsame tblk-Datei kombiniert wird ist das Erneuern des Zertifikates, so dieses beispielsweise abgelaufen ist nicht einfach möglich. Statt dessen muss die vorhandene Konfiguration durch eine neue, wenn auch unveränderte ersetzt werden. | ||
| + | |||
| + | Der einfachste Weg, sowohl für Ersteinrichtung, als auch für die Erneuerung ist sich im eigenen Benutzerverzeichnis einen Ordner (etwa "vpn" benannt) anzulegen. In diesen Ordner werden OpenVPN-Konfiguration und die Schlüsseldatei abgelegt. | ||
| + | |||
| + | In der Konfigurationsdatei muss der Pfad zum Schlüssel ein relativer Pfad sein, genaugenommen also nur der Name der Schlüsseldatei, da der Schlüssel ja im gleichen Verzeichnis liegt, wie die Konfiguration: | ||
| + | |||
| + | <code> | ||
| + | ... | ||
| + | # Einfacher ist eine PKCS#12 Datei | ||
| + | pkcs12 clientfqdn.p12 | ||
| + | ... | ||
| + | </code> | ||
| + | |||
| + | Der Name der Schlüsseldatei (.p12 Datei) ist in der Konfiguration natürlich mit einem Texteditor anzupassen. | ||
| + | |||
| + | Danach genügt es die Konfigurationsdatei einfach doppelt anzuklicken. Tunnelblick fragt dann, ob die Konfiguration integriert, bzw. eine vorhandene ersetzt werden soll. Dies ist zu bejahen. MacOS fragt dann nach dem Passwort des Mac-Benutzers. Wird dies eingegeben geschieht alles andere MacOS-typisch wie von Zauberhand. (Zynismus-Tags habe ich weg gelassen.) | ||
| + | |||
| + | Als Linux-Admin vermisse ich es einfach Pfade im Dateimanager direkt eingeben oder unsichbare Dateien einfach sichtbar machen zu können. Mac-User dürfen mich gerne eines besseren belehren! | ||