Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung
prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 14:57] boospyprebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2020/04/10 17:43] – [Loginvertrauen] loma
Zeile 34: Zeile 34:
 nano /etc/NetworkManager/NetworkManager.conf nano /etc/NetworkManager/NetworkManager.conf
 </code> </code>
-Networkmanager neu starten. Ob man richtig am DNS hängt kann man ganz einfach mit folgenden Commando testen:+Networkmanager neu starten. Ob man richtig am DNS hängt kann man ganz einfach mit folgenden Commando testen. Dies funktioniert aber nur wenn man die resolv.conf so wie oben beschrieben umlinked. Wie auch schon oben erwähnt ist dies kein Muss an Desktopsystemen. 
 <code> <code>
 host -la $(dnsdomainname) host -la $(dnsdomainname)
Zeile 45: Zeile 45:
 Verwendet man IPV6 ist in der Datei ''/etc/sysctl.d/10-ipv6-privacy.conf'' alles auf ''0'' zu stellen. Verwendet man IPV6 ist in der Datei ''/etc/sysctl.d/10-ipv6-privacy.conf'' alles auf ''0'' zu stellen.
 Danach geht auch der Join normal.  Danach geht auch der Join normal. 
 +
 +Während dem Joinprozess wird das Netzwerk getrennt und die Config des Networkmanager mit statischen Daten überschrieben. Meist möchte man das aber auf der Automatik belassen. Daher am besten nach dem Join den Networkmanager wieder auf Automatik stellen und gesetzte DNS-Einträge löschen. 
 +
 +Um nun zu Joinen bedient mans sich der grafischen Oberläche, oder wenn man alle Variablen ausschließen möchte, nutzt man die CMD. Z.B. so:
 +<code>
 +univention-domain-join-cli --username administrator --skip-login-manager --master-ip 192.168.1.9
 +</code>
 +Den Benutzer den man hier verwendet muss sich per SSH am Master einloggen können und dort Rootrechte besitzen. Nur die Mitgliedschaft in der Gruppe der "Domain Admins" oder Administratoren genügt nicht. 
 +
 +==== Wichtig für WLAN-Geräte ====
 +Mit WLAN den Join zu vollziehen kann je nach Hersteller ein Problem darstellen. Daher die Empfehlung den Join immer über Kabel durchführen. Oder wenn es kein Kabel gibt, vorher mit wpa_supplicant eine Verbindung herstellen. 
 +
 +An dieser Stelle ist noch zu erwähnen das man ein Kerberosticket (kinit) nur über eine bestehende Netzwerkverbindung beim Login bekommt. Ein Ticket manuel anlegen kann man mit dem Befehl ''kinit''. Ticket anzeigen, und wie lange es noch gültig ist mit ''klist''.
 +
 +==== Mit bestehendem lokalem Benutzerprofil umziehen ====
 +Es kann vorkommen das lokal ein Benutzer existiert wo man das Profil zum Teil, oder ganz mit übernehmen möchte. Ist das der Fall legt man einen temporären User lokal an und vergibt diesem Sudo-Rechte. Mit diesem Benutzer führt man dann den Joinprozess durch. 
 +
 +Möchte man nur einen Teil des alten Home's mit übernehmen, so benennt man dieses Verzeichnis einfach um. z.B. ''mv /home/myuser /home/myuser_old''. Nach dem Login mit seinem neuen Domainbenutzer wird wieder ein frisches Profil angelegt. **ACHTUNG bei KDE**. Es gibt dort eigene Mechanismen zum Erstellen von Profilen. Wer das ''/etc/skel (Benutzerprofilvorlage)'' gerne kopiert haben möchte, muss sich als erstes mit SSH am lokalem Gerät einloggen. z.B. ''ssh myuser@localhost'' Dann wird immer SKEL kopiert. 
 +
 +Um sein altes Profil für sich beschreibbar zu machen, muss man die Rechte für seinen neuen Domainuser per Root setzten. z.b.
 +<code>
 +chown domainuser:domaingroup -R /home/myuser_old
 +</code>
 +
 +===== Einfache Sudorechte =====
 +[[prebuilt_systems:ucs:ucs_und_sudo_auf_ubuntu-clients|UCS und Sudo auf Ubuntu-Clients]]
  
 ===== Loginvertrauen ===== ===== Loginvertrauen =====
 +<color #FF0000>Dieser Teil ist optional, bitte lese diesen genau durch und entscheide selbst was für dich relevant ist.</color>
  
 Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, können sich alle User in der Domäne auf Clients einloggen. Dies ist sehr unschön. Für Ubuntu/Linuxclients die also die volle Domänenanbindung mit Kerberos und SSO geniesen, bedient man sich ganz einfach PAM.  Bindet man einen Linuxclient per LDAP an kann man alle Benutzer mit einem Realm bestimmen. Somit können sich auch nur diese User auf der Maschine einloggen. Bedient man sich aber der Kerberosanbindung, können sich alle User in der Domäne auf Clients einloggen. Dies ist sehr unschön. Für Ubuntu/Linuxclients die also die volle Domänenanbindung mit Kerberos und SSO geniesen, bedient man sich ganz einfach PAM. 
Zeile 102: Zeile 129:
 </file> </file>
 Ab dem Zeitpunkt ist die Config gültig.  Ab dem Zeitpunkt ist die Config gültig. 
 +
 +Siehe auch: [[prebuilt_systems:ucs:ssh_login_in_ucs_-_wer_darf_wohin_und_memberserver_unbedingt_sichern|SSH Login in UCS - wer darf wohin und Memberserver unbedingt absichern!]]
  
 ===== Sicherheit HOME ===== ===== Sicherheit HOME =====
Zeile 158: Zeile 187:
 drwxrwx--- 24 susi     susi-maingroup  4096 Jun 14 12:54 susi/ drwxrwx--- 24 susi     susi-maingroup  4096 Jun 14 12:54 susi/
 </code> </code>
 +
 +===== SAML in Firefox und Chrome =====
 +In der erweiterten Firefox Konfiguration, diese ist erreichbar über die Eingabe von **about:config** in der Firefox Adresszeile, muss bei der Option **network.negotiate-auth.trusted-uris** und **network.negotiate-auth.delegation-uris** die Adresse des Identity Providers eingetragen werden, also in der Standardeinstellung **ucs-sso.domainname**.
 +
 +In Chrome und Chromium lässt sich das viel einfacher per Files managen.
 +
 +==== Chromium: ====
 +Folgende Datei ist zu erstellen:
 +<code>
 +nano /etc/chromium-browser/default
 +</code>
 +Mit diesem Inhalt:
 +<code>
 +# Default settings for chromium-browser. This file is sourced by /bin/sh from
 +# /usr/bin/chromium-browser
 +
 +# Options to pass to chromium-browser
 +CHROMIUM_FLAGS="--auth-server-whitelist=ucs-sso.mydomainname --auth-negotiate-delegate-whitelist=ucs-sso.mydomainname"
 +</code>
 +
 +==== Chrome ====
 +<code>
 +mkdir -m 755 -p /etc/opt/chrome/policies/managed
 +</code>
 +<code>
 +nano /etc/opt/chrome/policies/managed/kerberos.json 
 +</code>
 +<code>
 +
 +     "AuthServerWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de", 
 +     "AuthNegotiateDelegateWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de" 
 +}
 +</code>
 +Oder nur eine Domäne:
 +<code>
 +{
 +     "AuthServerWhitelist": "ucs-sso.mydomainname",
 +     "AuthNegotiateDelegateWhitelist": "ucs-sso.mydomainname"
 +}
 +</code>
 +<code>
 +chmod o+rx /etc/opt/chrome/policies/managed/kerberos.json
 +</code>
 +
 +Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;)
 +
 +==== Saml in Windows für IE, Edge und Chrome ====
 +
 +
 +Go to the Windows System Control Panel and open Internet Options → Security → Local Intranet → Sites → Advanced and add https://ucs-sso.xx.xx
 +
 +Als GPO ist das auch möglich: 
 +
 +**Benutzerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite -> Liste der Site zu Zonenzuweisungen**
 +
 +__Mögliche Werte sind:__
 +
 +1=Intranet \\ 
 +
 +2=Vertrauenswürdige Sites \\
 +
 +3=Internet \\ 
 +
 +4=Eingeschränkte Sites  \\
 +
 +In unserem Fall ist es die **1**. Sprich man trägt **ucs-sso.bla.lan** ein. 
 +
 +Quellen:
 +  * https://www.anleitungen.rrze.fau.de/betriebssysteme/linux/kerberos-und-websso/
 +  * https://docs.software-univention.de/handbuch-4.4.html#domain:saml