tipps_und_tricks

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen Revision Vorhergehende Überarbeitung
Nächste Überarbeitung 		Vorhergehende Überarbeitung
Nächste Überarbeitung Beide Seiten der Revision
tipps_und_tricks [2012/10/14 14:12]
pingo [Windows 7] 		tipps_und_tricks [2014/05/08 09:09]
flacco [Windows 7]
Zeile 13: Zeile 13:
 [[:​tipps_und_tricks:​win7dom|Domänenbeitritt mit Windows 7]] [[:​tipps_und_tricks:​win7dom|Domänenbeitritt mit Windows 7]]
  
-Wichtig: Die Benutzernamen dürfen nicht mehr als 20 Zeichen ​lang sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl!+Wichtig: Die Benutzernamen dürfen nicht länger ​als 20 Zeichen sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl! 
 + 
 +===== Ubuntu Client mit sssd integrieren ===== 
 + 
 +Anbindung von Linux-Clients an einen invis-Server 
 + 
 +==== 1. Freigaben einbinden ==== 
 +Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <​file>/​etc/​fstab</​file>​ folgende Einträge vorzunehmen:​ 
 + 
 +<​code>​ 
 +invis.invis-net.loc/​home /home nfs4 defaults 0 0 
 +invis.invis-net.loc/​shares /​mnt/​invis/​shares nfs4 defaults 0 0 
 +</​code>​ 
 + 
 +Dabei ist zu beachten, dass die Home-Verzeichnisse ggf. vorhandener Benutzer durch das Einhängen der Home-Freigabe des Server überdeckt werden. Werden weiterhin lokale Benutzer benötigt, so sollten deren Home-Verzeichnisse vorher nach <​file>/​local/​home</​file>​ verschoben werden. 
 + 
 +Weiterhin muss das Zielverzeichnis zum Einhängen der Server-Freigabe "​Shares"​ zunächst manuell angelegt werden. 
 + 
 +==== 2. Benutzerverwaltung ==== 
 + 
 +Für die Anbindung eines Linux-Clients an einen invis-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren:​ 
 + 
 +<​code>​ 
 +linux:~ # sudo apt-get install -y sssd 
 +</​code>​ 
 + 
 +Danach ist unter dem Namen <​file>/​etc/​sssd/​sssd.conf</​file>​ eine Konfigurationsdatei für den Daemon anzulegen:​ 
 + 
 +<​code>​ 
 +[sssd] 
 +config_file_version = 2 
 +services = nss,pam 
 +domains = default 
 + 
 +[nss] 
 +filter_groups = root 
 +filter_user = root 
 + 
 +[pam] 
 + 
 +[domain/​default] 
 +ldap_uri = ldap://​invis.invis-net.loc 
 +ldap_search_base = dc=invis-net,​dc=loc 
 +ldap_schema = rfc2307 
 +id_provider = ldap 
 +ldap_user_uuid = entryuuid 
 +ldap_group_uuid = entryuuid 
 +ldap_id_use_start_tls = true 
 +enumerate = true 
 +cache_credentials = true 
 +ldap_tls_cacertdir = /​etc/​ssl/​certs 
 +ldap_tls_cacert = /​etc/​ssl/​certs/​cacert.pem 
 +chpass_provider = ldap 
 +auth_provider = ldap 
 +ldap_user_fullname = displayName 
 +#​cache_entry_timeout = 1 
 +#​refresh_expired_interval = 1 
 +</​code>​ 
 + 
 +Damit **sssd** starten kann müssen die Zugriffsrechte angepasst werden: 
 + 
 +<​code>​ 
 +linux:~ # sudo chmod 0600 /​etc/​sssd/​sssd.conf 
 +</​code>​ 
 + 
 +Danach wird das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <​file>/​etc/​ssl/​certs</​file>​ kopiert werden: 
 + 
 +<​code>​ 
 +linux:~ # sudo cp /​mnt/​invis/​shares/​service/​VPN-Clients/​cacert.pem /​etc/​ssl/​certs/​ 
 +</​code>​ 
 + 
 +Jetzt kann **sssd** gestartet werden: 
 + 
 +<​code>​ 
 +linux:~ # sudo service sssd start 
 +</​code>​ 
 + 
 +Mit  
 + 
 +<​code>​ 
 +linux:~ # getent passwd 
 +</​code>​ 
 + 
 +kann überprüft werden, ob die Benutzerkonten aus dem LDAP-Verzeichnis des Servers zur Verfügung stehen. 
 + 
 +Hat alles funktioniert,​ muss dafür gesorgt werden, dass **sssd** automatisch beim Systemstart startet: 
 + 
 +<​code>​ 
 +linux:~ # sudo update-rc.d sssd defaults 
 +</​code>​
 ===== Zarafa License-Daemon im Eigenbau ===== ===== Zarafa License-Daemon im Eigenbau =====
  
Zeile 213: Zeile 302:
 Danach kann man sich wieder als Benutzer "​config"​ mit dem Passwort "​config"​ anmelden. Danach kann man sich wieder als Benutzer "​config"​ mit dem Passwort "​config"​ anmelden.
  
 +===== OpenVPN =====
 +
 +Damit openVPN genutzt werden kann, wird eine CRL (Certificate Revocation List) benötigt. Auf älteren Installationen wird diese Datei nicht automatisch angelegt (Seit invis Version 9.2) ist dies der Fall), auch findet sich in den easy-RSA Tools kein Script um eine solche CRL zu erzeugen. Sie muss also manuell mittels //​**openssl**//​ erzeugt werden.
 +
 +Zunächst muss die auf dem System vorhandene OpenSSL-Version ermittelt werden. Für diesen Zweck gibt es ein vorgefertigtes Script:
 +
 +<​code>​
 +invis:/​etc/​openvpn/​invis-server.loc # ./​whichopensslcnf ​
 +/​openssl-1.0.0.cnf
 +**************************************************************
 +  No /​openssl-1.0.0.cnf file could be found
 +  Further invocations will fail
 +**************************************************************
 +</​code>​
 +
 +Auch wenn die ausgegebene Meldung auf einen Fehler hindeutet, so liegt nahe, dass hier openSSL in Version 1.0.0 installiert ist und auf die in der Ausgabe genannte Konfigurationsdatei zurückgegriffen werden muss. Das Erstellen der CRL sieht dann wie folgt aus:
 +
 +<​code>​
 +invis:/​etc/​openvpn/​invis-server.loc # openssl ca -config ./​openssl-1.0.0.cnf -gencrl -keyfile ./​keys/​ca.key -cert ./​keys/​ca.crt -out ./​keys/​crl.pem
 +</​code>​
 +
 +Danach ist im Unterverzeichnis "​keys"​ die Datei "​crl.pem"​ zu finden, auf die in der OpenVPN Konfiguration bezug genommen wird.
 ===== Nein Danke Zensursula ===== ===== Nein Danke Zensursula =====
 **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.** **Achtung, der folgende Text ist nicht ganz neutral. Er enthält persönliche Meinugsäußerungen. Ich bitte dies zu entschuldigen.**
  • tipps_und_tricks.txt
  • Zuletzt geändert: 2018/12/15 14:05
  • von flacco