Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.

Link zu der Vergleichsansicht

Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung
Nächste Überarbeitung		 Vorherige Überarbeitung
Letzte ÜberarbeitungBeide Seiten, nächste Überarbeitung
prebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2019/11/03 17:43] boospyprebuilt_systems:ucs:ad_kerberosanbindung_ubuntuclients_inkl._loginvertrauen [2023/04/27 20:07] – [Der Join selbst] loma
Zeile 1: Zeile 1:
 +Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\
 +[[https://www.paypal.com/cgi-bin/webscr?cmd=_s-xclick&hosted_button_id=KE592Y5993ZKW|{{:wiki:btn_donatecc_lg.gif|}}]] \\
 +\\
 +Hauseigenes Apt-Repo: [[https://apt.iteas.at]]   
 +\\
 +GITLAB Enterprise: [[https://git.osit.cc|{{:gitlab_logo.png?nolink&60|}}]] 
 +\\
 +\\
 ====== AD/Kerberosanbindung KDE-NEON/Ubuntuclients inkl. Loginvertrauen ====== ====== AD/Kerberosanbindung KDE-NEON/Ubuntuclients inkl. Loginvertrauen ======
  
Zeile 43: Zeile 51:
 </code> </code>
 Weiters muss noch in der Datei ''/etc/lsb-release'' die Zeile ''DISTRIB_ID=neon'' zu ''DISTRIB_ID=Ubuntu'' umgeschrieben werden. Weiters muss noch in der Datei ''/etc/lsb-release'' die Zeile ''DISTRIB_ID=neon'' zu ''DISTRIB_ID=Ubuntu'' umgeschrieben werden.
-Verwendet man IPV6 ist in der Datei ''/etc/sysctl.d/10-ipv6-privacy.conf'' alles auf ''0'' zu stellen.+Verwendet man IPV6 ist in der Datei ''/etc/sysctl.d/10-ipv6-privacy.conf'' alles auf ''0'' zu stellen. Und noch in der Datei ''/etc/os-release'' die Zeile ''ID=neon'' zu ''ID=Ubuntu'' ändern.
 Danach geht auch der Join normal.  Danach geht auch der Join normal. 
  
Zeile 50: Zeile 58:
 Um nun zu Joinen bedient mans sich der grafischen Oberläche, oder wenn man alle Variablen ausschließen möchte, nutzt man die CMD. Z.B. so: Um nun zu Joinen bedient mans sich der grafischen Oberläche, oder wenn man alle Variablen ausschließen möchte, nutzt man die CMD. Z.B. so:
 <code> <code>
-univention-domain-join-cli --username administrator --skip-login-manager --master-ip 192.168.1.9+univention-domain-join-cli --username administrator --skip-login-manager --dc-ip 192.168.1.9
 </code> </code>
 Den Benutzer den man hier verwendet muss sich per SSH am Master einloggen können und dort Rootrechte besitzen. Nur die Mitgliedschaft in der Gruppe der "Domain Admins" oder Administratoren genügt nicht.  Den Benutzer den man hier verwendet muss sich per SSH am Master einloggen können und dort Rootrechte besitzen. Nur die Mitgliedschaft in der Gruppe der "Domain Admins" oder Administratoren genügt nicht. 
Zeile 56: Zeile 64:
 ==== Wichtig für WLAN-Geräte ==== ==== Wichtig für WLAN-Geräte ====
 Mit WLAN den Join zu vollziehen kann je nach Hersteller ein Problem darstellen. Daher die Empfehlung den Join immer über Kabel durchführen. Oder wenn es kein Kabel gibt, vorher mit wpa_supplicant eine Verbindung herstellen.  Mit WLAN den Join zu vollziehen kann je nach Hersteller ein Problem darstellen. Daher die Empfehlung den Join immer über Kabel durchführen. Oder wenn es kein Kabel gibt, vorher mit wpa_supplicant eine Verbindung herstellen. 
 +
 +An dieser Stelle ist noch zu erwähnen das man ein Kerberosticket (kinit) nur über eine bestehende Netzwerkverbindung beim Login bekommt. Ein Ticket manuel anlegen kann man mit dem Befehl ''kinit''. Ticket anzeigen, und wie lange es noch gültig ist mit ''klist''.
  
 ==== Mit bestehendem lokalem Benutzerprofil umziehen ==== ==== Mit bestehendem lokalem Benutzerprofil umziehen ====
Zeile 127: Zeile 137:
 </file> </file>
 Ab dem Zeitpunkt ist die Config gültig.  Ab dem Zeitpunkt ist die Config gültig. 
 +
 +Siehe auch: [[prebuilt_systems:ucs:ssh_login_in_ucs_-_wer_darf_wohin_und_memberserver_unbedingt_sichern|SSH Login in UCS - wer darf wohin und Memberserver unbedingt absichern!]]
  
 ===== Sicherheit HOME ===== ===== Sicherheit HOME =====
Zeile 213: Zeile 225:
  
      "AuthServerWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de",       "AuthServerWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de", 
-     "AuthNegotiateDelegateWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de" +     "AuthNegotiateDelegateWhitelist": "*.sso.uni-erlangen.de,*.sso.fau.de", 
 +     "AuthServerAllowlist": *.sso.uni-erlangen.de,*.sso.fau.de", 
 +     "AuthNegotiateDelegateAllowlist": *.sso.uni-erlangen.de,*.sso.fau.de"
 } }
 </code> </code>
Zeile 220: Zeile 234:
 { {
      "AuthServerWhitelist": "ucs-sso.mydomainname",      "AuthServerWhitelist": "ucs-sso.mydomainname",
-     "AuthNegotiateDelegateWhitelist": "ucs-sso.mydomainname"+     "AuthNegotiateDelegateWhitelist": "ucs-sso.mydomainname", 
 +     "AuthServerAllowlist": "ucs-sso.mydomainname", 
 +     "AuthNegotiateDelegateAllowlist": "ucs-sso.mydomainname"
 } }
 </code> </code>
Zeile 228: Zeile 244:
  
 Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;) Sofern die UCR-Variable für Kerberos laut Doku gesetzt wurde ist der Login ohne Passwort mit Kerberosticket ab sofort aktiv. Die Timeouts des Webinterface sollte man wohl von 5 Minuten auf z.B. 12 Stunden mit "ucr set" stellen. ;)
 +
 +==== Brave ====
 +Hier änderet sich lediglich der Pfad:
 + /etc/brave/policies/managed/kerberos.json
 +
 +==== Saml in Windows für IE, Edge und Chrome ====
 +
 +
 +Go to the Windows System Control Panel and open Internet Options → Security → Local Intranet → Sites → Advanced and add https://ucs-sso.xx.xx
 +
 +Als GPO ist das auch möglich: 
 +
 +**Benutzerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Sicherheitsseite -> Liste der Site zu Zonenzuweisungen**
 +
 +__Mögliche Werte sind:__
 +
 +1=Intranet \\ 
 +
 +2=Vertrauenswürdige Sites \\
 +
 +3=Internet \\ 
 +
 +4=Eingeschränkte Sites  \\
 +
 +In unserem Fall ist es die **1**. Sprich man trägt **ucs-sso.bla.lan** ein. 
  
 Quellen: Quellen: