Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tipps_und_tricks [2014/02/25 11:48]
flacco [OpenVPN]
+++ tipps_und_tricks [2014/05/10 09:41]
flacco [Windows 7]
@@ Zeile 7: / Zeile 7: @@
 [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]]
-===== Windows 7 =====
-Windows 7 stellt an invis Administratoren neue Aufgaben. Eine davon ist ein sauberer Domänenbeitritt.
-[[:tipps_und_tricks:win7dom|Domänenbeitritt mit Windows 7]]
-Wichtig: Die Benutzernamen dürfen nicht länger als 20 Zeichen sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl!
+===== Ubuntu Client mit sssd integrieren =====
+Anbindung von Linux-Clients an einen invis-Server
+==== 1. Freigaben einbinden ====
+Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <file>/etc/fstab</file> folgende Einträge vorzunehmen:
+<code>
+invis.invis-net.loc/home /home nfs4 defaults 0 0
+invis.invis-net.loc/shares /mnt/invis/shares nfs4 defaults 0 0
+</code>
+Dabei ist zu beachten, dass die Home-Verzeichnisse ggf. vorhandener Benutzer durch das Einhängen der Home-Freigabe des Server überdeckt werden. Werden weiterhin lokale Benutzer benötigt, so sollten deren Home-Verzeichnisse vorher nach <file>/local/home</file> verschoben werden.
+Weiterhin muss das Zielverzeichnis zum Einhängen der Server-Freigabe "Shares" zunächst manuell angelegt werden.
+==== 2. Benutzerverwaltung ====
+Für die Anbindung eines Linux-Clients an einen invis-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren:
+<code>
+linux:~ # sudo apt-get install -y sssd
+</code>
+Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen:
+<code>
+[sssd]
+config_file_version = 2
+services = nss,pam
+domains = default
+[nss]
+filter_groups = root
+filter_user = root
+[pam]
+[domain/default]
+ldap_uri = ldap://invis.invis-net.loc
+ldap_search_base = dc=invis-net,dc=loc
+ldap_schema = rfc2307
+id_provider = ldap
+ldap_user_uuid = entryuuid
+ldap_group_uuid = entryuuid
+ldap_id_use_start_tls = true
+enumerate = true
+cache_credentials = true
+ldap_tls_cacertdir = /etc/ssl/certs
+ldap_tls_cacert = /etc/ssl/certs/cacert.pem
+chpass_provider = ldap
+auth_provider = ldap
+ldap_user_fullname = displayName
+#cache_entry_timeout = 1
+#refresh_expired_interval = 1
+</code>
+Damit **sssd** starten kann müssen die Zugriffsrechte angepasst werden:
+<code>
+linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf
+</code>
+Danach wird das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <file>/etc/ssl/certs</file> kopiert werden:
+<code>
+linux:~ # sudo cp /mnt/invis/shares/service/VPN-Clients/cacert.pem /etc/ssl/certs/
+</code>
+Jetzt kann **sssd** gestartet werden:
+<code>
+linux:~ # sudo service sssd start
+</code>
+Mit
+<code>
+linux:~ # getent passwd
+</code>
+kann überprüft werden, ob die Benutzerkonten aus dem LDAP-Verzeichnis des Servers zur Verfügung stehen.
+Hat alles funktioniert, muss dafür gesorgt werden, dass **sssd** automatisch beim Systemstart startet:
+<code>
+linux:~ # sudo update-rc.d sssd defaults
+</code>
 ===== Zarafa License-Daemon im Eigenbau =====