Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 16:22] – [Chrome] boospyprebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2024/12/22 15:44] (aktuell) loma
Zeile 1: Zeile 1:
 ====== AD/Kerberosanbindung KDE-NEON/Ubuntuclients inkl. Loginvertrauen ====== ====== AD/Kerberosanbindung KDE-NEON/Ubuntuclients inkl. Loginvertrauen ======
  
-__Getestet mit UCS 4.4__+You would like to show your appreciation for our help 8-o. Gladly. 🙏 We thank you for your donation! 
 +[[https://www.paypal.com/donate/?hosted_button_id=JTFYJYVH37MNE|{{:virtualisierung:proxmox_kvm_und_lxc:btn_donate_lg.gif|}}]] \\ 
 +\\ 
 +In-house Apt-Repo: [[https://apt.iteas.at]] \\ 
 +GITLAB: [[https://git.osit.cc|{{:gitlab_logo.png?nolink&60|}}]]  
 +\\ 
 + 
 +__Getestet mit UCS 4.4 und 5.0__
  
 ===== Der Join selbst ===== ===== Der Join selbst =====
Zeile 43: Zeile 50:
 </code> </code>
 Weiters muss noch in der Datei ''/etc/lsb-release'' die Zeile ''DISTRIB_ID=neon'' zu ''DISTRIB_ID=Ubuntu'' umgeschrieben werden. Weiters muss noch in der Datei ''/etc/lsb-release'' die Zeile ''DISTRIB_ID=neon'' zu ''DISTRIB_ID=Ubuntu'' umgeschrieben werden.
-Verwendet man IPV6 ist in der Datei ''/etc/sysctl.d/10-ipv6-privacy.conf'' alles auf ''0'' zu stellen.+Verwendet man IPV6 ist in der Datei ''/etc/sysctl.d/10-ipv6-privacy.conf'' alles auf ''0'' zu stellen. Und noch in der Datei ''/etc/os-release'' die Zeile ''ID=neon'' zu ''ID=Ubuntu'' ändern.
 Danach geht auch der Join normal.  Danach geht auch der Join normal. 
  
-Während dem Joinprozess wird das Netzwerk getrennt und die Config des Networkmanager mit statischen Daten überschrieben. Meist möchte man das aber auf der Automatik belassen. Daher am besten danch dem Join den Networkmanager wieder auf Automatik stellen und gesetzte DNS-Einträge löschen. +Während dem Joinprozess wird das Netzwerk getrennt und die Config des Networkmanager mit statischen Daten überschrieben. Meist möchte man das aber auf der Automatik belassen. Daher am besten nach dem Join den Networkmanager wieder auf Automatik stellen und gesetzte DNS-Einträge löschen. 
  
 Um nun zu Joinen bedient mans sich der grafischen Oberläche, oder wenn man alle Variablen ausschließen möchte, nutzt man die CMD. Z.B. so: Um nun zu Joinen bedient mans sich der grafischen Oberläche, oder wenn man alle Variablen ausschließen möchte, nutzt man die CMD. Z.B. so:
 <code> <code>
-univention-domain-join-cli --username administrator --skip-login-manager --master-ip 192.168.1.9+univention-domain-join-cli --username administrator --skip-login-manager --dc-ip 192.168.1.9
 </code> </code>
-Den Benutzer den man hier verwendet muss sich per SSH am Master einloggen können und dort Rootrechte besitzen. Nur die Mitgliedschaft in der Gruppe der "Domain Admins" genügt nicht. +Den Benutzer den man hier verwendet muss sich per SSH am Master einloggen können und dort Rootrechte besitzen. Nur die Mitgliedschaft in der Gruppe der "Domain Admins" oder Administratoren genügt nicht. 
  
 ==== Wichtig für WLAN-Geräte ==== ==== Wichtig für WLAN-Geräte ====
 Mit WLAN den Join zu vollziehen kann je nach Hersteller ein Problem darstellen. Daher die Empfehlung den Join immer über Kabel durchführen. Oder wenn es kein Kabel gibt, vorher mit wpa_supplicant eine Verbindung herstellen.  Mit WLAN den Join zu vollziehen kann je nach Hersteller ein Problem darstellen. Daher die Empfehlung den Join immer über Kabel durchführen. Oder wenn es kein Kabel gibt, vorher mit wpa_supplicant eine Verbindung herstellen. 
  
 +An dieser Stelle ist noch zu erwähnen das man ein Kerberosticket (kinit) nur über eine bestehende Netzwerkverbindung beim Login bekommt. Ein Ticket manuel anlegen kann man mit dem Befehl ''kinit''. Ticket anzeigen, und wie lange es noch gültig ist mit ''klist''.
  
 ==== Mit bestehendem lokalem Benutzerprofil umziehen ==== ==== Mit bestehendem lokalem Benutzerprofil umziehen ====
 Es kann vorkommen das lokal ein Benutzer existiert wo man das Profil zum Teil, oder ganz mit übernehmen möchte. Ist das der Fall legt man einen temporären User lokal an und vergibt diesem Sudo-Rechte. Mit diesem Benutzer führt man dann den Joinprozess durch.  Es kann vorkommen das lokal ein Benutzer existiert wo man das Profil zum Teil, oder ganz mit übernehmen möchte. Ist das der Fall legt man einen temporären User lokal an und vergibt diesem Sudo-Rechte. Mit diesem Benutzer führt man dann den Joinprozess durch. 
  
-Möchte man nur einen Teil des alten Home's mit übernehmen, so benennt man dieses Verzeichnis einfach um. z.B. ''mv /home/myuser /home/myuser_old''. Nach dem Login mit seinem neuen Domainbenutzer wird wieder ein frisches Profil angelegt. ACHTUNG bei KDE. Es gibt dort eigene Mechanismen zum Erstellen von Profilen. Wer das ''/etc/skel (Benutzerprofilvorlage)'' gerne kopiert haben möchte, muss sich als erstes mit SSH am lokalem Gerät einloggen. z.B. ''ssh myuser@localhost'' Dann wird immer SKEL kopiert. +Möchte man nur einen Teil des alten Home's mit übernehmen, so benennt man dieses Verzeichnis einfach um. z.B. ''mv /home/myuser /home/myuser_old''. Nach dem Login mit seinem neuen Domainbenutzer wird wieder ein frisches Profil angelegt. **ACHTUNG bei KDE**. Es gibt dort eigene Mechanismen zum Erstellen von Profilen. Wer das ''/etc/skel (Benutzerprofilvorlage)'' gerne kopiert haben möchte, muss sich als erstes mit SSH am lokalem Gerät einloggen. z.B. ''ssh myuser@localhost'' Dann wird immer SKEL kopiert.  
 + 
 +Um sein altes Profil für sich beschreibbar zu machen, muss man die Rechte für seinen neuen Domainuser per Root setzten. z.b. 
 +<code> 
 +chown domainuser:domaingroup -R /home/myuser_old 
 +</code>
  
 ===== Einfache Sudorechte ===== ===== Einfache Sudorechte =====
Zeile 123: Zeile 136:
 </file> </file>
 Ab dem Zeitpunkt ist die Config gültig.  Ab dem Zeitpunkt ist die Config gültig. 
 +
 +Siehe auch: [[prebuilt_systems:ucs:ssh_login_in_ucs_-_wer_darf_wohin_und_memberserver_unbedingt_sichern|SSH Login in UCS - wer darf wohin und Memberserver unbedingt absichern!]]
  
 ===== Sicherheit HOME ===== ===== Sicherheit HOME =====
Zeile 199: Zeile 214:
 </code> </code>
  
 +==== Chromium: (ab 11.2024) ====
 +Chromium wurde hier unter Kubuntu 24.04 als DEB Paket von [[https://freeshell.de/phd/chromium/|Freeshell]] installiert. Das Installerscript gibt es auf der [[https://github.com/Myria-de/deb_statt_snap/blob/main/deb-chromium.sh|Githubseite des Projektes]]. 
 +
 +Folgende Datei ist zu erstellen:
 + nano /etc/chromium/policies/managed/kerberos.json
 +Mit diesem Inhalt:
 +<code json>
 +{
 +     "AuthServerAllowlist": "*.sso.uni-erlangen.de,*.party.lan,*.sso.fau.de",
 +     "AuthNegotiateDelegateAllowlist": "*.sso.uni-erlangen.de,*.party.lan,*.sso.fau.de",
 +     "ExtensionSettings": {
 +          "*": {
 +               "installation_mode": "allowed"
 +          }
 +     }
 +}
 +</code>
 + chmod 644 /etc/chromium/policies/managed/kerberos.json
 ==== Chrome ==== ==== Chrome ====
 <code> <code>
Zeile 206: Zeile 239:
 nano /etc/opt/chrome/policies/managed/kerberos.json  nano /etc/opt/chrome/policies/managed/kerberos.json 
 </code> </code>
-<code> +<code json
-{  +
-     "AuthServerWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de",  +     "AuthServerAllowlist": "*.sso.uni-erlangen.de,*.party.lan,*.sso.fau.de", 
-     "AuthNegotiateDelegateWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de" +     "AuthNegotiateDelegateAllowlist": "*.sso.uni-erlangen.de,*.party.lan,*.sso.fau.de"
 +     "ExtensionSettings":
 +          "*":
 +               "installation_mode": "allowed" 
 +          } 
 +     }
 } }
 </code> </code>
 Oder nur eine Domäne: Oder nur eine Domäne:
-<code>+<code json>
 { {
-     "AuthServerWhitelist": "ucs-sso.mydomainname", +     "AuthServerAllowlist": "ucs-sso.mydomainname", 
-     "AuthNegotiateDelegateWhitelist": "ucs-sso.mydomainname"+     "AuthNegotiateDelegateAllowlist": "ucs-sso.mydomainname"
 +     "ExtensionSettings":
 +          "*":
 +               "installation_mode": "allowed" 
 +          } 
 +     }
 } }
 </code> </code>
 <code> <code>
-chmod o+rx /etc/opt/chrome/policies/managed/kerberos.json+chmod 644 /etc/opt/chrome/policies/managed/kerberos.json
 </code> </code>
  
 Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;) Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;)
 +
 +==== Brave ====
 +Hier änderet sich lediglich der Pfad:
 + mkdir -m 755 -p /etc/brave/policies/managed
 + nano /etc/brave/policies/managed/kerberos.json
 +
 +==== Saml in Windows für IE, Edge und Chrome ====
 +
 +
 +Go to the Windows System Control Panel and open Internet Options → Security → Local Intranet → Sites → Advanced and add https://ucs-sso.xx.xx
 +
 +Als GPO ist das auch möglich: 
 +
 +**Benutzerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite -> Liste der Site zu Zonenzuweisungen**
 +
 +__Mögliche Werte sind:__
 +
 +1=Intranet \\ 
 +
 +2=Vertrauenswürdige Sites \\
 +
 +3=Internet \\ 
 +
 +4=Eingeschränkte Sites  \\
 +
 +In unserem Fall ist es die **1**. Sprich man trägt **ucs-sso.bla.lan** ein. 
  
 Quellen: Quellen: