Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/07/07 14:14] – boospy | prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 18:36] – [Wichtig für WLAN-Geräte] boospy | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== AD/ | ====== AD/ | ||
+ | |||
+ | __Getestet mit UCS 4.4__ | ||
===== Der Join selbst ===== | ===== Der Join selbst ===== | ||
Zeile 20: | Zeile 22: | ||
</ | </ | ||
- | Der Join mit Ubuntu/ | + | Der nächste Part hier scheint mittlerweile behoben zu sein. Die Resolvconf kann bleiben wie sie ist. Ich lass das hier mal zur Info noch so stehen. DNSMASQ darf keiner laufen. |
- | < | + | |
- | rm / | + | //Der Join mit Ubuntu/ |
- | ln -s / | + | |
- | </code> | + | // rm / |
+ | // ln -s / | ||
+ | |||
Hier den DNSmasq Eintrag auskommentieren: | Hier den DNSmasq Eintrag auskommentieren: | ||
< | < | ||
nano / | nano / | ||
</ | </ | ||
- | Networkmanager neu starten. Ob man richtig am DNS hängt kann man ganz einfach mit folgenden Commando testen: | + | Networkmanager neu starten. Ob man richtig am DNS hängt kann man ganz einfach mit folgenden Commando testen. Dies funktioniert aber nur wenn man die resolv.conf so wie oben beschrieben umlinked. Wie auch schon oben erwähnt ist dies kein Muss an Desktopsystemen. |
< | < | ||
host -la $(dnsdomainname) | host -la $(dnsdomainname) | ||
Zeile 38: | Zeile 43: | ||
</ | </ | ||
Weiters muss noch in der Datei ''/ | Weiters muss noch in der Datei ''/ | ||
+ | Verwendet man IPV6 ist in der Datei ''/ | ||
Danach geht auch der Join normal. | Danach geht auch der Join normal. | ||
+ | |||
+ | Während dem Joinprozess wird das Netzwerk getrennt und die Config des Networkmanager mit statischen Daten überschrieben. Meist möchte man das aber auf der Automatik belassen. Daher am besten nach dem Join den Networkmanager wieder auf Automatik stellen und gesetzte DNS-Einträge löschen. | ||
+ | |||
+ | Um nun zu Joinen bedient mans sich der grafischen Oberläche, oder wenn man alle Variablen ausschließen möchte, nutzt man die CMD. Z.B. so: | ||
+ | < | ||
+ | univention-domain-join-cli --username administrator --skip-login-manager --master-ip 192.168.1.9 | ||
+ | </ | ||
+ | Den Benutzer den man hier verwendet muss sich per SSH am Master einloggen können und dort Rootrechte besitzen. Nur die Mitgliedschaft in der Gruppe der " | ||
+ | |||
+ | ==== Wichtig für WLAN-Geräte ==== | ||
+ | Mit WLAN den Join zu vollziehen kann je nach Hersteller ein Problem darstellen. Daher die Empfehlung den Join immer über Kabel durchführen. Oder wenn es kein Kabel gibt, vorher mit wpa_supplicant eine Verbindung herstellen. | ||
+ | |||
+ | An dieser Stelle ist noch zu erwähnen das man ein Kerberosticket (kinit) nur über eine bestehende Netzwerkverbindung beim Login bekommt. Ein Ticket manuel anlegen kann man mit dem Befehl '' | ||
+ | |||
+ | ==== Mit bestehendem lokalem Benutzerprofil umziehen ==== | ||
+ | Es kann vorkommen das lokal ein Benutzer existiert wo man das Profil zum Teil, oder ganz mit übernehmen möchte. Ist das der Fall legt man einen temporären User lokal an und vergibt diesem Sudo-Rechte. Mit diesem Benutzer führt man dann den Joinprozess durch. | ||
+ | |||
+ | Möchte man nur einen Teil des alten Home's mit übernehmen, | ||
+ | |||
+ | Um sein altes Profil für sich beschreibbar zu machen, muss man die Rechte für seinen neuen Domainuser per Root setzten. z.b. | ||
+ | < | ||
+ | chown domainuser: | ||
+ | </ | ||
+ | |||
+ | ===== Einfache Sudorechte ===== | ||
+ | [[prebuilt_systems: | ||
===== Loginvertrauen ===== | ===== Loginvertrauen ===== | ||
+ | <color # | ||
Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, | Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, | ||
Zeile 152: | Zeile 185: | ||
drwxrwx--- 24 susi | drwxrwx--- 24 susi | ||
</ | </ | ||
+ | |||
+ | ===== SAML in Firefox und Chrome ===== | ||
+ | In der erweiterten Firefox Konfiguration, | ||
+ | |||
+ | In Chrome und Chromium lässt sich das viel einfacher per Files managen. | ||
+ | |||
+ | ==== Chromium: ==== | ||
+ | Folgende Datei ist zu erstellen: | ||
+ | < | ||
+ | nano / | ||
+ | </ | ||
+ | Mit diesem Inhalt: | ||
+ | < | ||
+ | # Default settings for chromium-browser. This file is sourced by /bin/sh from | ||
+ | # / | ||
+ | |||
+ | # Options to pass to chromium-browser | ||
+ | CHROMIUM_FLAGS=" | ||
+ | </ | ||
+ | |||
+ | ==== Chrome ==== | ||
+ | < | ||
+ | mkdir -m 755 -p / | ||
+ | </ | ||
+ | < | ||
+ | nano / | ||
+ | </ | ||
+ | < | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | </ | ||
+ | Oder nur eine Domäne: | ||
+ | < | ||
+ | { | ||
+ | " | ||
+ | " | ||
+ | } | ||
+ | </ | ||
+ | < | ||
+ | chmod o+rx / | ||
+ | </ | ||
+ | |||
+ | Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;) | ||
+ | |||
+ | Quellen: | ||
+ | * https:// | ||
+ | * https:// | ||