Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2020/06/26 18:54] – loma | server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2021/02/17 22:09] – [Konfiguration des SSH-Servers und Client] loma | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Automount von Sambalaufwerken beim Login - inkl. Kerberos und Nomachine Terminalserver ====== | ====== Automount von Sambalaufwerken beim Login - inkl. Kerberos und Nomachine Terminalserver ====== | ||
- | Die Folgende | + | |
+ | {{: | ||
+ | |||
+ | |||
+ | Diese Anleitung bezieht sich auf folgende | ||
* Serverumgebung [[https:// | * Serverumgebung [[https:// | ||
Zeile 8: | Zeile 12: | ||
* Lubuntu 20.04 (LXQT) als Nomachine Workstation Enterprise | * Lubuntu 20.04 (LXQT) als Nomachine Workstation Enterprise | ||
- | Auch in Linuxumgebungen ist die Automation von Desktops voll und ganz ein Standart. Da dies aber meist nur größeren Enterpriseumgebungen vorbehalten ist, findet man im Internet hierüber sehr wenig ausführlich gute Dokumentation. Aus diesem Grund hab ich mir mal gedacht ich schreib darüber doch auch mal einen Artikel um Enterprisefeatures | + | Auch in Linuxumgebungen ist die Automation von Desktops voll und ganz ein Standard. Da dies aber meist nur größeren Enterpriseumgebungen vorbehalten ist, findet man im Internet hierüber sehr wenig ausführlich gute Dokumentation. Aus diesem Grund hab ich mir mal gedacht ich schreib darüber doch auch mal einen Artikel um dich daran auch teilhaben |
===== Voraussetzung ===== | ===== Voraussetzung ===== | ||
- | Voraussetzung ist eine laufende funktionierende [[https:// | + | Voraussetzung ist eine laufende funktionierende [[https:// |
**Überprüfung am Client** | **Überprüfung am Client** | ||
Zeile 21: | Zeile 25: | ||
bist wohl nicht richtig an deinem ActiveDirectory registiert. | bist wohl nicht richtig an deinem ActiveDirectory registiert. | ||
- | Funktioniert alles gut, ist an dieser Stelle ein kleiners | + | Funktioniert alles gut, ist an dieser Stelle ein kleines |
===== Installation und Konfiguration am Client ===== | ===== Installation und Konfiguration am Client ===== | ||
Als erstes sind ein paar Pakete zu installiern. | Als erstes sind ein paar Pakete zu installiern. | ||
< | < | ||
- | apt install libpam-mount keyutils -y | + | apt install libpam-mount |
</ | </ | ||
+ | |||
+ | Optional das Paket '' | ||
+ | |||
Dies bearbeitet die Pamconfiguration. Dies lässt du zu, oder editierst sie später manuell, falls du mal selbst Änderungen vorgenommen haben solltest. '' | Dies bearbeitet die Pamconfiguration. Dies lässt du zu, oder editierst sie später manuell, falls du mal selbst Änderungen vorgenommen haben solltest. '' | ||
< | < | ||
Zeile 51: | Zeile 58: | ||
</ | </ | ||
==== Setzten der pam_mount.conf.xml ==== | ==== Setzten der pam_mount.conf.xml ==== | ||
- | Die Standardoptionen haben bei meinen Konfigurationen immer gepasst. In diesem File trägt | + | Die Standardoptionen haben bei meinen Konfigurationen immer funktioniert. In diesem File trägst du alle Laufwerke ein die in deiner Umgebung erreichbar sind. Loggst du dich mit deinem Benutzer ein, werden automatisch alle Laufwerke in dein Home eingebunden. Beim Logout, wieder sauber getrennt. Die Funktion kann mit **Cifs, NFS4.x** und **Webdav** wissentlich umgehen. |
- | + | < | |
- | Hier nun ein Beispiel: | + | / |
+ | </ | ||
+ | Hier nun ein Beispiel | ||
<file xml pam_mount.conf.xml> | <file xml pam_mount.conf.xml> | ||
... | ... | ||
Zeile 64: | Zeile 73: | ||
... | ... | ||
</ | </ | ||
- | Die User Root, Sddm und NX werden ignoriert. Sprich diese machen keine Mountabfrage. Macht ja auch keinen Sinn. Der große Vorteil: Angabe von Passwort und Benutzer sind natürlich nicht notwendig. Um das kümmert sich LDAP/ | + | Die User Root, Sddm und NX werden ignoriert. Sprich diese machen keine Mountabfrage. Macht ja auch keinen Sinn. **Der große Vorteil:** Angabe von Passwort und Benutzer sind natürlich nicht notwendig. Um das kümmert sich LDAP/ |
Macht man das ganze mit PAM ohne Kerberos, könnte man jetzt wieder paranoid reagieren und sagen, "ja die Passworteingabe wird ja beim Login PAM übergeben, das ist doch unsicher!" | Macht man das ganze mit PAM ohne Kerberos, könnte man jetzt wieder paranoid reagieren und sagen, "ja die Passworteingabe wird ja beim Login PAM übergeben, das ist doch unsicher!" | ||
- | Hier noch ein Beispiel für Wedav, CIFS und NFS. In dieser Konfig gehen diese beiden | + | Hier noch ein Beispiel für Wedav, CIFS und NFS. In dieser Konfig gehen diese nicht über Kerberos. |
<file xml pam_mount.conf.xml> | <file xml pam_mount.conf.xml> | ||
... | ... | ||
Zeile 75: | Zeile 84: | ||
<volume fstype=" | <volume fstype=" | ||
</ | </ | ||
- | Du kannst schon erkennen, das der Mechanismus sehr mächtig ist. Die Manpage ist hier sehr ausführlich. Mit ein wenig Zeit und tun, kannst du dir hier etwas schönes bauen. | + | Du kannst schon erkennen, das der Mechanismus sehr mächtig ist. [[https:// |
< | < | ||
man pam_mount.conf | man pam_mount.conf | ||
</ | </ | ||
- | Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm | + | Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm bereits eingebunden. |
- | ==== Automount über SSH und Kerberos ==== | + | ===== SSH Login über Kerberos |
- | Auch da tun wir uns dank [[https://www.univention.de/produkte/ucs/|UCS]] sehr leicht. Wir edtieren unsere SSHD am Server | + | Sehr konfortabel ist der Login mit SSH über Kerberos. Hierbei ist lediglich die Keytab vom Univention Master Server zu exportieren. Die Keytab wird bei Kerberosanbindung/Default Domänenanbindung automatisch erstellt. Dieser Objekttyp kostet auch Stückzahl " |
+ | <code bash> | ||
+ | samba-tool domain exportkeytab --principal=host/pc-peter.tux.at@TUX.AT | ||
+ | </ | ||
+ | Die Keytab kopiert man am Client auf ''/ | ||
- | Server: ''/ | + | Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl: |
- | < | + | < |
- | ... | + | univention-s4search ' |
- | GSSAPIAuthentication yes | + | |
- | GSSAPICleanupCredentials yes | + | |
- | KerberosAuthentication yes | + | |
- | KerberosOrLocalPasswd yes | + | |
- | KerberosTicketCleanup yes | + | |
- | ... | + | |
</ | </ | ||
- | Client: ''/ | + | |
+ | Die Quelle des Befehls [[https:// | ||
+ | |||
+ | ==== Folgenes ist damit möglich ==== | ||
+ | * Passwortloses login via SSH | ||
+ | * Mitnahme des Tickets auf andere Server | ||
+ | * Automatisches mounten sämtlicher Dateifreigaben (Cifs, NFS4, DAV, ...) via Kerberos über SSH, TTY, Displaymanager, | ||
+ | * Automatisches transperentes Einbinden von Laufwerken über den Dolphin Netzwerkmanger inkl. Remotemounts | ||
+ | * Kerberoslogin über Nomachine Enterprise | ||
+ | * uvm. | ||
+ | |||
+ | ==== Konfiguration des SSH-Servers und Client ==== | ||
+ | Hier ist in der ''/ | ||
+ | GSSAPIAuthentication yes | ||
+ | Alles andere kann default belassen werden. Danach den SSH Server neu starten: '' | ||
< | < | ||
- | ... | ||
GSSAPIAuthentication yes | GSSAPIAuthentication yes | ||
GSSAPIDelegateCredentials yes | GSSAPIDelegateCredentials yes | ||
- | ... | ||
</ | </ | ||
- | Nach einem Restart des SSH-Servers, | + | Nach einem Restart des SSH-Servers, |
+ | |||
+ | Meinen Beitrag im Forum [[https:// |