Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Beide Seiten der vorigen Revision Vorhergehende Überarbeitung Nächste Überarbeitung | Vorhergehende Überarbeitung Nächste Überarbeitung Beide Seiten der Revision | ||
tipps_und_tricks [2014/05/08 09:09] flacco [Windows 7] |
tipps_und_tricks [2014/12/09 17:39] flacco [Sandbox aufbauen] |
||
---|---|---|---|
Zeile 7: | Zeile 7: | ||
[[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | [[:tipps_und_tricks:virtualbox| Tipps und Tricks zu VirtualBox]] | ||
- | ===== Windows 7 ===== | ||
- | Windows 7 stellt an invis Administratoren neue Aufgaben. Eine davon ist ein sauberer Domänenbeitritt. | ||
- | [[:tipps_und_tricks:win7dom|Domänenbeitritt mit Windows 7]] | ||
- | Wichtig: Die Benutzernamen dürfen nicht länger als 20 Zeichen sein, sonst schlägt später die Anmeldung am Windows 7 Client fehl! | ||
- | ===== Ubuntu Client mit sssd integrieren ===== | ||
- | Anbindung von Linux-Clients an einen invis-Server | ||
- | |||
- | ==== 1. Freigaben einbinden ==== | ||
- | Zur Anbindung eines Linux-Clients an den Server müssen zunächst die Server-Freigaben **home** und **shares** per NFSv4 ins lokale Verzeichnissystem eingehängt werden. Dazu sind in der Datei <file>/etc/fstab</file> folgende Einträge vorzunehmen: | ||
- | |||
- | <code> | ||
- | invis.invis-net.loc/home /home nfs4 defaults 0 0 | ||
- | invis.invis-net.loc/shares /mnt/invis/shares nfs4 defaults 0 0 | ||
- | </code> | ||
- | |||
- | Dabei ist zu beachten, dass die Home-Verzeichnisse ggf. vorhandener Benutzer durch das Einhängen der Home-Freigabe des Server überdeckt werden. Werden weiterhin lokale Benutzer benötigt, so sollten deren Home-Verzeichnisse vorher nach <file>/local/home</file> verschoben werden. | ||
- | |||
- | Weiterhin muss das Zielverzeichnis zum Einhängen der Server-Freigabe "Shares" zunächst manuell angelegt werden. | ||
- | |||
- | ==== 2. Benutzerverwaltung ==== | ||
- | |||
- | Für die Anbindung eines Linux-Clients an einen invis-Server empfiehlt sich aktuell die Verwendung des SSS-Daemons. Dieser ist ggf. manuell nachzuinstallieren: | ||
- | |||
- | <code> | ||
- | linux:~ # sudo apt-get install -y sssd | ||
- | </code> | ||
- | |||
- | Danach ist unter dem Namen <file>/etc/sssd/sssd.conf</file> eine Konfigurationsdatei für den Daemon anzulegen: | ||
- | |||
- | <code> | ||
- | [sssd] | ||
- | config_file_version = 2 | ||
- | services = nss,pam | ||
- | domains = default | ||
- | |||
- | [nss] | ||
- | filter_groups = root | ||
- | filter_user = root | ||
- | |||
- | [pam] | ||
- | |||
- | [domain/default] | ||
- | ldap_uri = ldap://invis.invis-net.loc | ||
- | ldap_search_base = dc=invis-net,dc=loc | ||
- | ldap_schema = rfc2307 | ||
- | id_provider = ldap | ||
- | ldap_user_uuid = entryuuid | ||
- | ldap_group_uuid = entryuuid | ||
- | ldap_id_use_start_tls = true | ||
- | enumerate = true | ||
- | cache_credentials = true | ||
- | ldap_tls_cacertdir = /etc/ssl/certs | ||
- | ldap_tls_cacert = /etc/ssl/certs/cacert.pem | ||
- | chpass_provider = ldap | ||
- | auth_provider = ldap | ||
- | ldap_user_fullname = displayName | ||
- | #cache_entry_timeout = 1 | ||
- | #refresh_expired_interval = 1 | ||
- | </code> | ||
- | |||
- | Damit **sssd** starten kann müssen die Zugriffsrechte angepasst werden: | ||
- | |||
- | <code> | ||
- | linux:~ # sudo chmod 0600 /etc/sssd/sssd.conf | ||
- | </code> | ||
- | |||
- | Danach wird das Stammzertifikat der Server-Zertifizierungsstelle benötigt. Die Datei liegt ebenfalls im oben genannten Verzeichnis bereit. Sie muss lokal nach <file>/etc/ssl/certs</file> kopiert werden: | ||
- | |||
- | <code> | ||
- | linux:~ # sudo cp /mnt/invis/shares/service/VPN-Clients/cacert.pem /etc/ssl/certs/ | ||
- | </code> | ||
- | |||
- | Jetzt kann **sssd** gestartet werden: | ||
- | |||
- | <code> | ||
- | linux:~ # sudo service sssd start | ||
- | </code> | ||
- | |||
- | Mit | ||
- | |||
- | <code> | ||
- | linux:~ # getent passwd | ||
- | </code> | ||
- | |||
- | kann überprüft werden, ob die Benutzerkonten aus dem LDAP-Verzeichnis des Servers zur Verfügung stehen. | ||
- | |||
- | Hat alles funktioniert, muss dafür gesorgt werden, dass **sssd** automatisch beim Systemstart startet: | ||
- | |||
- | <code> | ||
- | linux:~ # sudo update-rc.d sssd defaults | ||
- | </code> | ||
===== Zarafa License-Daemon im Eigenbau ===== | ===== Zarafa License-Daemon im Eigenbau ===== | ||
Zeile 116: | Zeile 25: | ||
Zunächst muss dafür ein Ubuntu-LTS System installiert werden, hier empfiehlt sich die Arbeit mit Virtualbox. Entgegen der Angaben im Zarafa-Wiki spielt die Architektur der Sandbox sehr wohl eine Rolle. Da wir unsere invis-Server immer als 64Bit Systeme installieren, nutzen wir entsprechend auch ein 64Bit Ubuntu als Basis. | Zunächst muss dafür ein Ubuntu-LTS System installiert werden, hier empfiehlt sich die Arbeit mit Virtualbox. Entgegen der Angaben im Zarafa-Wiki spielt die Architektur der Sandbox sehr wohl eine Rolle. Da wir unsere invis-Server immer als 64Bit Systeme installieren, nutzen wir entsprechend auch ein 64Bit Ubuntu als Basis. | ||
- | Zusätzlich zur einfachen Standard-Installation wird das Software-Paket "mklibs" benötigt: | + | Zusätzlich zur einfachen Standard-Installation wird das Software-Paket **mklibs** benötigt: |
<code> | <code> | ||
Zeile 122: | Zeile 31: | ||
</code> | </code> | ||
+ | Wenn Sie Ihre Sandbox unter SLES bauen möchten, werden Sie feststellen, dass es für SUSE-Linuxe das Paket **mklibs** nicht gibt. Abhilfe schaft ein gleichnamiges Shellscript: [[https://github.com/blunderer/mklibs]] | ||
==== Zarafa-Pakete herunterladen und entpacken ==== | ==== Zarafa-Pakete herunterladen und entpacken ==== | ||
Zeile 176: | Zeile 86: | ||
<code> | <code> | ||
- | sudo mklibs-copy -d /opt/zarafa-licensed-7.0.8/lib/ /opt/zarafa-licensed-7.0.8/bin/* | + | heinz@ubuntu:~$ sudo mklibs-copy -d /opt/zarafa-licensed-7.0.8/lib/ /opt/zarafa-licensed-7.0.8/bin/* |
+ | </code> | ||
+ | ...oder unter SLES mit oben genanntem Script: | ||
+ | |||
+ | <code> | ||
+ | sles:~ # mklibs -L/usr/lib64 -L/lib64 -o/opt/zarafa-licensed/lib /opt/zarafa-licensed/bin/* | ||
</code> | </code> | ||