Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 17:11] boospyprebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 17:21] – [SAML in Firefox und Chrome] boospy
Zeile 67: Zeile 67:
  
 ===== Loginvertrauen ===== ===== Loginvertrauen =====
-**Dieser Teil ist optional, bitte lese diesen genau durch und entscheide selbst was für dich relevant ist.**+<color #FF0000>Dieser Teil ist optional, bitte lese diesen genau durch und entscheide selbst was für dich relevant ist.</color>
  
 Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, können sich alle User in der Domäne auf Clients einloggen. Dies ist sehr unschön. Für Ubuntu/Linuxclients die also die volle Domänenanbindung mit Kerberos und SSO geniesen, bedient man sich ganz einfach PAM.  Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, können sich alle User in der Domäne auf Clients einloggen. Dies ist sehr unschön. Für Ubuntu/Linuxclients die also die volle Domänenanbindung mit Kerberos und SSO geniesen, bedient man sich ganz einfach PAM. 
Zeile 181: Zeile 181:
  
 ===== SAML in Firefox und Chrome ===== ===== SAML in Firefox und Chrome =====
-In der erweiterten Firefox Konfiguration, diese ist erreichbar über die Eingabe von about:config in der Firefox Adresszeile, muss bei der Option network.negotiate-auth.trusted-uris die Adresse des Identity Providers eingetragen werden, also in der Standardeinstellung ucs-sso.domainname.+In der erweiterten Firefox Konfiguration, diese ist erreichbar über die Eingabe von **about:config** in der Firefox Adresszeile, muss bei der Option **network.negotiate-auth.trusted-uris** und **network.negotiate-auth.delegation-uris** die Adresse des Identity Providers eingetragen werden, also in der Standardeinstellung **ucs-sso.domainname**.
  
-https://www.anleitungen.rrze.fau.de/betriebssysteme/linux/kerberos-und-websso/+In Chrome und Chromium lässt sich das viel einfacher per Files managen.
  
-https://docs.software-univention.de/handbuch-4.4.html#domain:saml+==== Chromium: ==== 
 +Folgende Datei ist zu erstellen: 
 +<code> 
 +nano /etc/chromium-browser/default 
 +</code> 
 +Mit diesem Inhalt: 
 +<code> 
 +# Default settings for chromium-browser. This file is sourced by /bin/sh from 
 +# /usr/bin/chromium-browser 
 + 
 +# Options to pass to chromium-browser 
 +CHROMIUM_FLAGS="--auth-server-whitelist=ucs-sso.mydomainname --auth-negotiate-delegate-whitelist=ucs-sso.mydomainname" 
 +</code> 
 + 
 +==== Chrome ==== 
 +<code> 
 +mkdir -m 755 -p /etc/opt/chrome/policies/managed 
 +</code> 
 +<code> 
 +nano /etc/opt/chrome/policies/managed/kerberos.json  
 +</code> 
 +<code> 
 +{  
 +     "AuthServerWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de",  
 +     "AuthNegotiateDelegateWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de"  
 +
 +</code> 
 +Oder nur eine Domäne: 
 +<code> 
 +
 +     "AuthServerWhitelist": "ucs-sso.mydomainname", 
 +     "AuthNegotiateDelegateWhitelist": "ucs-sso.mydomainname" 
 +
 +</code> 
 +<code> 
 +chmod o+rx /etc/opt/chrome/policies/managed/kerberos.json 
 +</code> 
 + 
 +Quellen: 
 +  * https://www.anleitungen.rrze.fau.de/betriebssysteme/linux/kerberos-und-websso/ 
 +  * https://docs.software-univention.de/handbuch-4.4.html#domain:saml