Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
tipps_und_tricks [2014/02/25 11:48] flacco [OpenVPN] |
tipps_und_tricks [2014/05/10 09:41] flacco [Windows 7] |
||
---|---|---|---|
Zeile 7: | Zeile 7: | ||
[[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | ||
- | ===== Windows 7 ===== | ||
- | Windows 7 stellt an invis Administratoren neue Aufgaben. Eine davon ist ein sauberer Domänenbeitritt. | ||
- | [[:tipps_und_tricks:win7dom|Domänenbeitritt mit Windows 7]] | ||
- | Wichtig: Die Benutzernamen dürfen nicht länger als 20 Zeichen sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl! | + | |
+ | ===== Ubuntu Client mit sssd integrieren ===== | ||
+ | |||
+ | Anbindung von Linux-Clients an einen invis-Server | ||
+ | |||
+ | ==== 1. Freigaben einbinden ==== | ||
+ | Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <file>/etc/fstab</file> folgende Einträge vorzunehmen: | ||
+ | |||
+ | <code> | ||
+ | invis.invis-net.loc/home /home nfs4 defaults 0 0 | ||
+ | invis.invis-net.loc/shares /mnt/invis/shares nfs4 defaults 0 0 | ||
+ | </code> | ||
+ | |||
+ | Dabei ist zu beachten, dass die Home-Verzeichnisse ggf. vorhandener Benutzer durch das Einhängen der Home-Freigabe des Server überdeckt werden. Werden weiterhin lokale Benutzer benötigt, so sollten deren Home-Verzeichnisse vorher nach <file>/local/home</file> verschoben werden. | ||
+ | |||
+ | Weiterhin muss das Zielverzeichnis zum Einhängen der Server-Freigabe "Shares" zunächst manuell angelegt werden. | ||
+ | |||
+ | ==== 2. Benutzerverwaltung ==== | ||
+ | |||
+ | Für die Anbindung eines Linux-Clients an einen invis-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # sudo apt-get install -y sssd | ||
+ | </code> | ||
+ | |||
+ | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen: | ||
+ | |||
+ | <code> | ||
+ | [sssd] | ||
+ | config_file_version = 2 | ||
+ | services = nss,pam | ||
+ | domains = default | ||
+ | |||
+ | [nss] | ||
+ | filter_groups = root | ||
+ | filter_user = root | ||
+ | |||
+ | [pam] | ||
+ | |||
+ | [domain/default] | ||
+ | ldap_uri = ldap://invis.invis-net.loc | ||
+ | ldap_search_base = dc=invis-net,dc=loc | ||
+ | ldap_schema = rfc2307 | ||
+ | id_provider = ldap | ||
+ | ldap_user_uuid = entryuuid | ||
+ | ldap_group_uuid = entryuuid | ||
+ | ldap_id_use_start_tls = true | ||
+ | enumerate = true | ||
+ | cache_credentials = true | ||
+ | ldap_tls_cacertdir = /etc/ssl/certs | ||
+ | ldap_tls_cacert = /etc/ssl/certs/cacert.pem | ||
+ | chpass_provider = ldap | ||
+ | auth_provider = ldap | ||
+ | ldap_user_fullname = displayName | ||
+ | #cache_entry_timeout = 1 | ||
+ | #refresh_expired_interval = 1 | ||
+ | </code> | ||
+ | |||
+ | Damit **sssd** starten kann müssen die Zugriffsrechte angepasst werden: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | ||
+ | </code> | ||
+ | |||
+ | Danach wird das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <file>/etc/ssl/certs</file> kopiert werden: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # sudo cp /mnt/invis/shares/service/VPN-Clients/cacert.pem /etc/ssl/certs/ | ||
+ | </code> | ||
+ | |||
+ | Jetzt kann **sssd** gestartet werden: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # sudo service sssd start | ||
+ | </code> | ||
+ | |||
+ | Mit | ||
+ | |||
+ | <code> | ||
+ | linux:~ # getent passwd | ||
+ | </code> | ||
+ | |||
+ | kann überprüft werden, ob die Benutzerkonten aus dem LDAP-Verzeichnis des Servers zur Verfügung stehen. | ||
+ | |||
+ | Hat alles funktioniert, muss dafür gesorgt werden, dass **sssd** automatisch beim Systemstart startet: | ||
+ | |||
+ | <code> | ||
+ | linux:~ # sudo update-rc.d sssd defaults | ||
+ | </code> | ||
===== Zarafa License-Daemon im Eigenbau ===== | ===== Zarafa License-Daemon im Eigenbau ===== | ||