Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/07/07 13:18] – angelegt boospy | prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 17:22] – [Chrome] boospy | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== AD/ | ====== AD/ | ||
+ | |||
+ | __Getestet mit UCS 4.4__ | ||
===== Der Join selbst ===== | ===== Der Join selbst ===== | ||
Zeile 11: | Zeile 13: | ||
Bei / | Bei / | ||
- | + | < | |
- | < | + | |
ACHTUNG: Manuelle Einträge in den Pamconfigs werden beim Domainjoin überschrieben. Deshalb Einträge danach setzen. | ACHTUNG: Manuelle Einträge in den Pamconfigs werden beim Domainjoin überschrieben. Deshalb Einträge danach setzen. | ||
</ | </ | ||
- | Der Join mit Ubuntu/ | ||
< | < | ||
- | rm /etc/ | + | add-apt-repository ppa: |
- | ln -s / | + | DEBIAN_FRONTEND=noninteractive apt-get install univention-domain-join |
</ | </ | ||
+ | |||
+ | Der nächste Part hier scheint mittlerweile behoben zu sein. Die Resolvconf kann bleiben wie sie ist. Ich lass das hier mal zur Info noch so stehen. DNSMASQ darf keiner laufen. | ||
+ | |||
+ | //Der Join mit Ubuntu/ | ||
+ | |||
+ | // rm / | ||
+ | // ln -s / | ||
+ | |||
+ | |||
Hier den DNSmasq Eintrag auskommentieren: | Hier den DNSmasq Eintrag auskommentieren: | ||
< | < | ||
nano / | nano / | ||
</ | </ | ||
- | Networkmanager neu starten. Ob man richtig am DNS hängt kann man ganz einfach mit folgenden Commando testen: | + | Networkmanager neu starten. Ob man richtig am DNS hängt kann man ganz einfach mit folgenden Commando testen. Dies funktioniert aber nur wenn man die resolv.conf so wie oben beschrieben umlinked. Wie auch schon oben erwähnt ist dies kein Muss an Desktopsystemen. |
< | < | ||
host -la $(dnsdomainname) | host -la $(dnsdomainname) | ||
Zeile 34: | Zeile 43: | ||
</ | </ | ||
Weiters muss noch in der Datei ''/ | Weiters muss noch in der Datei ''/ | ||
+ | Verwendet man IPV6 ist in der Datei ''/ | ||
Danach geht auch der Join normal. | Danach geht auch der Join normal. | ||
+ | |||
+ | Während dem Joinprozess wird das Netzwerk getrennt und die Config des Networkmanager mit statischen Daten überschrieben. Meist möchte man das aber auf der Automatik belassen. Daher am besten danch dem Join den Networkmanager wieder auf Automatik stellen und gesetzte DNS-Einträge löschen. | ||
+ | |||
+ | Um nun zu Joinen bedient mans sich der grafischen Oberläche, oder wenn man alle Variablen ausschließen möchte, nutzt man die CMD. Z.B. so: | ||
+ | < | ||
+ | univention-domain-join-cli --username administrator --skip-login-manager --master-ip 192.168.1.9 | ||
+ | </ | ||
+ | Den Benutzer den man hier verwendet muss sich per SSH am Master einloggen können und dort Rootrechte besitzen. Nur die Mitgliedschaft in der Gruppe der " | ||
+ | |||
+ | ==== Wichtig für WLAN-Geräte ==== | ||
+ | Mit WLAN den Join zu vollziehen kann je nach Hersteller ein Problem darstellen. Daher die Empfehlung den Join immer über Kabel durchführen. Oder wenn es kein Kabel gibt, vorher mit wpa_supplicant eine Verbindung herstellen. | ||
+ | |||
+ | |||
+ | ==== Mit bestehendem lokalem Benutzerprofil umziehen ==== | ||
+ | Es kann vorkommen das lokal ein Benutzer existiert wo man das Profil zum Teil, oder ganz mit übernehmen möchte. Ist das der Fall legt man einen temporären User lokal an und vergibt diesem Sudo-Rechte. Mit diesem Benutzer führt man dann den Joinprozess durch. | ||
+ | |||
+ | Möchte man nur einen Teil des alten Home's mit übernehmen, | ||
+ | |||
+ | ===== Einfache Sudorechte ===== | ||
+ | [[prebuilt_systems: | ||
===== Loginvertrauen ===== | ===== Loginvertrauen ===== | ||
+ | <color # | ||
Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, | Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, | ||
Zeile 148: | Zeile 179: | ||
drwxrwx--- 24 susi | drwxrwx--- 24 susi | ||
</ | </ | ||
+ | |||
+ | ===== SAML in Firefox und Chrome ===== | ||
+ | In der erweiterten Firefox Konfiguration, | ||
+ | |||
+ | In Chrome und Chromium lässt sich das viel einfacher per Files managen. | ||
+ | |||
+ | ==== Chromium: ==== | ||
+ | Folgende Datei ist zu erstellen: | ||
+ | < | ||
+ | nano / | ||
+ | </ | ||
+ | Mit diesem Inhalt: | ||
+ | < | ||
+ | # Default settings for chromium-browser. This file is sourced by /bin/sh from | ||
+ | # / | ||
+ | |||
+ | # Options to pass to chromium-browser | ||
+ | CHROMIUM_FLAGS=" | ||
+ | </ | ||
+ | |||
+ | ==== Chrome ==== | ||
+ | < | ||
+ | mkdir -m 755 -p / | ||
+ | </ | ||
+ | < | ||
+ | nano / | ||
+ | </ | ||
+ | < | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | </ | ||
+ | Oder nur eine Domäne: | ||
+ | < | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | </ | ||
+ | < | ||
+ | chmod o+rx / | ||
+ | </ | ||
+ | |||
+ | Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;) | ||
+ | |||
+ | Quellen: | ||
+ | * https:// | ||
+ | * https:// | ||