Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2021/06/23 20:44] lomaserver_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2024/05/24 00:18] (aktuell) – [SSH Login über Kerberos und Automount aller berechtigten Netzlaufwerke] loma
Zeile 107: Zeile 107:
 </code> </code>
 Die Keytab kopiert man am Client auf ''/etc/krb5.keytab'' und muss die Rechte root:root mit 600 besitzen. Dies ist der Platz der Defaultkeytab und jegliche Anwendung die Kerberos, spricht greift drauf zu und beforzugt Kerberos als erste Auth-Möglichkeit.  Die Keytab kopiert man am Client auf ''/etc/krb5.keytab'' und muss die Rechte root:root mit 600 besitzen. Dies ist der Platz der Defaultkeytab und jegliche Anwendung die Kerberos, spricht greift drauf zu und beforzugt Kerberos als erste Auth-Möglichkeit. 
 +
 +Den Inhalt der Keytab kannst du mit
 + ktutil -k /etc/krb5.keytab list
 +auflisten. Um zu prüfen ob die Keytab richtig funktioniert, kannst du als Root die Keytab testen. z.B. mit 
 +
 + kinit -k host/pc-peter.tux.at@TUX.AT
 +
 +Damit muss du nun ein Ticket ohne Passworteingabe bekommen haben. Ist das nicht der Fall, funktioniert etwas noch nicht richtig.
  
 Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl: Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl:
 <code bash> <code bash>
 univention-s4search '(|(userPrincipalName=*)(servicePrincipalName=*))'   userPrincipalName servicePrincipalName univention-s4search '(|(userPrincipalName=*)(servicePrincipalName=*))'   userPrincipalName servicePrincipalName
 +</code>
 +
 +Essentiell ist auch noch das in der ''/etc/hosts'' der FQDN für Localhost gesetzt ist:
 +<code>
 +# Standard host addresses
 +127.0.0.1  localhost
 +::1        localhost ip6-localhost ip6-loopback
 +ff02::   ip6-allnodes
 +ff02::   ip6-allrouters
 +# This host address
 +127.0.1.1  pc-peter.tux.at pc-peter
 </code> </code>
  
Zeile 145: Zeile 164:
  
 Am Nomachine Client mußt du noch unter "Konfiguration Authentifizierung", **Kerberos ticketbasierende Authentifizierung verwenden**, auswählen. Im Untermenü nun noch die Option "**Authentifizierung weiterleiten**" Checkbox aktivieren. Ab nun wird man mit dem Kerberos Ticket automatisch eingeloggt und auch Sambalaufwerke werden wie oben beschrieben in einer virtuellen Desktopsitzung automatisch mit dem Ticket eingebunden. Am Nomachine Client mußt du noch unter "Konfiguration Authentifizierung", **Kerberos ticketbasierende Authentifizierung verwenden**, auswählen. Im Untermenü nun noch die Option "**Authentifizierung weiterleiten**" Checkbox aktivieren. Ab nun wird man mit dem Kerberos Ticket automatisch eingeloggt und auch Sambalaufwerke werden wie oben beschrieben in einer virtuellen Desktopsitzung automatisch mit dem Ticket eingebunden.
 +
 +===== Bekannte BUGS =====
 +Sollte man bei einer Maschine die Meldung bekommen das kein Display verfügbar ist, so ist die ''/etc/pam.d/nx'' wie folgt zu modifzieren:
 +<code>
 +auth include su
 +account include su
 +password include su
 +#session include su
 +session required pam_loginuid.so
 +session optional pam_env.so
 +session optional pam_umask.so
 +session required pam_unix.so
 +session optional pam_mount.so disable_interactive
 +</code>
 +Nomachine neustarten. \\
 +Danach sollte das Display verfügbar sein und auch Pammount seinen Dienst tun. [[https://help.univention.com/t/re-howto-automount-for-sambashares-on-ubuntuclients/22500|Vielen Dank an dieser Stelle an BenSommer]] der diesen Workaround erarbeitet hat.