Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2021/02/09 18:19] – [Installation und Konfiguration am Client] lomaserver_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2021/02/10 21:49] loma
Zeile 90: Zeile 90:
 Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm bereits eingebunden.  Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm bereits eingebunden. 
  
-==== Automount über SSH und Kerberos ==== +====SSH Login über Kerberos und Automount aller berechtigten Netzlaufwerke ===== 
-Auch da tun wir uns dank [[https://www.univention.de/produkte/ucs/|UCS]] sehr leichtWir edtieren unsere SSHD am Server und unsere Clientconfig+Sehr konfortabel ist der Login mit SSH über Kerberos. Hierbei ist lediglich die Keytab vom Univention Master Server zu exportieren. Die Keytab wird bei Kerberosanbindung/Default Domänenanbindung automatisch erstellt. Dieser Objekttyp kostet auch Stückzahl "1" der lizensierten Domänenservices.  
 +<code bash> 
 +samba-tool domain exportkeytab --principal=host/pc-peter.tux.at@TUX.AT /root/pc-peter-host.keytab 
 +</code> 
 +Die Keytab kopiert man am Client auf ''/etc/krb5.keytab'' und muss die Rechte root:root mit 600 besitzen. Dies ist der Platz der Defaultkeytab und jegliche Anwendung die Kerberos, spricht greift drauf zu und beforzugt Kerberos als erste Auth-Möglichkeit
  
-Server''/etc/ssh/sshd_config'' +Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl
-<code> +<code bash
-... +univention-s4search '(|(userPrincipalName=*)(servicePrincipalName=*))'   userPrincipalName servicePrincipalName
-GSSAPIAuthentication yes +
-GSSAPICleanupCredentials yes +
-KerberosAuthentication yes +
-KerberosOrLocalPasswd yes +
-KerberosTicketCleanup yes +
-...+
 </code> </code>
-Client: ''/etc/ssh/ssh_config'' \\+ 
 +Die Quelle des Befehls [[https://help.univention.com/t/working-with-kerberos-principals-and-keytabs/30|findest du hier]]. 
 + 
 +==== Folgenes ist damit möglich ==== 
 +  * Passwortloses login via SSH 
 +  * Mitnahme des Tickets auf andere Server 
 +  * Automatisches mounten sämtlicher Dateifreigaben (Cifs, NFS4, DAV, ...) via Kerberos über SSH, TTY, Displaymanager, was auch immer.  
 +  * Automatisches transperentes Einbinden von Laufwerken über den Dolphin Netzwerkmanger inkl. Remotemounts 
 +  * Kerberoslogin über Nomachine Enterprise 
 +  * uvm. 
 + 
 +==== Konfiguration des SSH-Servers und Client ==== 
 +Hier ist in der ''/etc/ssh/sshd_config'' lediglich folgender Eintrag zu setzten: 
 + GSSAPIAuthentication yes 
 +Alles andere kann default belassen werden. Danach den SSH Server neu starten: ''systemctl restart sshd''. Am client müssen diese zwei Zeilen aktiviert werden:
 <code> <code>
-... 
 GSSAPIAuthentication yes GSSAPIAuthentication yes
 GSSAPIDelegateCredentials yes GSSAPIDelegateCredentials yes
-... 
 </code> </code>
 Nach einem Restart des SSH-Servers, bekommst du deine Laufwerke auch darüber bequem eingebunden.  Nach einem Restart des SSH-Servers, bekommst du deine Laufwerke auch darüber bequem eingebunden.