Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen der Seite angezeigt.
Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung Nächste Überarbeitung | Vorherige Überarbeitung Nächste ÜberarbeitungBeide Seiten, nächste Überarbeitung | ||
server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2020/06/26 19:31] – loma | server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2024/01/16 11:12] – loma | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
====== Automount von Sambalaufwerken beim Login - inkl. Kerberos und Nomachine Terminalserver ====== | ====== Automount von Sambalaufwerken beim Login - inkl. Kerberos und Nomachine Terminalserver ====== | ||
+ | Du möchtest dich gerne für unsere Hilfe erkenntlich zeigen 8-o. Gerne. Wir bedanken uns bei dir für deine Spende! LOL \\ | ||
+ | [[https:// | ||
+ | \\ | ||
+ | Hauseigenes Apt-Repo: [[https:// | ||
+ | \\ | ||
+ | GITLAB Enterprise: [[https:// | ||
+ | \\ | ||
+ | \\ | ||
{{: | {{: | ||
+ | \\ | ||
+ | \\ | ||
+ | |||
Zeile 8: | Zeile 19: | ||
Als Clients kommen folgende Systeme getestet zum Einsatz: | Als Clients kommen folgende Systeme getestet zum Einsatz: | ||
- | * KDE Neon 18.04 mit [[https:// | + | * KDE Neon 20.04 mit [[https:// |
* Ubuntu 18.04/20.04 Server (über SSH) | * Ubuntu 18.04/20.04 Server (über SSH) | ||
* Lubuntu 20.04 (LXQT) als Nomachine Workstation Enterprise | * Lubuntu 20.04 (LXQT) als Nomachine Workstation Enterprise | ||
Zeile 32: | Zeile 43: | ||
apt install libpam-mount davfs2 keyutils -y | apt install libpam-mount davfs2 keyutils -y | ||
</ | </ | ||
+ | |||
+ | Optional das Paket '' | ||
+ | |||
Dies bearbeitet die Pamconfiguration. Dies lässt du zu, oder editierst sie später manuell, falls du mal selbst Änderungen vorgenommen haben solltest. '' | Dies bearbeitet die Pamconfiguration. Dies lässt du zu, oder editierst sie später manuell, falls du mal selbst Änderungen vorgenommen haben solltest. '' | ||
< | < | ||
Zeile 56: | Zeile 70: | ||
==== Setzten der pam_mount.conf.xml ==== | ==== Setzten der pam_mount.conf.xml ==== | ||
Die Standardoptionen haben bei meinen Konfigurationen immer funktioniert. In diesem File trägst du alle Laufwerke ein die in deiner Umgebung erreichbar sind. Loggst du dich mit deinem Benutzer ein, werden automatisch alle Laufwerke in dein Home eingebunden. Beim Logout, wieder sauber getrennt. Die Funktion kann mit **Cifs, NFS4.x** und **Webdav** wissentlich umgehen. | Die Standardoptionen haben bei meinen Konfigurationen immer funktioniert. In diesem File trägst du alle Laufwerke ein die in deiner Umgebung erreichbar sind. Loggst du dich mit deinem Benutzer ein, werden automatisch alle Laufwerke in dein Home eingebunden. Beim Logout, wieder sauber getrennt. Die Funktion kann mit **Cifs, NFS4.x** und **Webdav** wissentlich umgehen. | ||
+ | < | ||
+ | / | ||
+ | </ | ||
Hier nun ein Beispiel mit Samba/ | Hier nun ein Beispiel mit Samba/ | ||
<file xml pam_mount.conf.xml> | <file xml pam_mount.conf.xml> | ||
Zeile 85: | Zeile 101: | ||
Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm bereits eingebunden. | Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm bereits eingebunden. | ||
- | ==== Automount über SSH und Kerberos ==== | + | ===== SSH Login über Kerberos |
- | Auch da tun wir uns dank [[https://www.univention.de/produkte/ucs/|UCS]] sehr leicht. Wir edtieren unsere SSHD am Server | + | Sehr konfortabel ist der Login mit SSH über Kerberos. Hierbei ist lediglich die Keytab vom Univention Master Server zu exportieren. Die Keytab wird bei Kerberosanbindung/Default Domänenanbindung automatisch erstellt. Dieser Objekttyp kostet auch Stückzahl " |
+ | <code bash> | ||
+ | samba-tool domain exportkeytab --principal=host/pc-peter.tux.at@TUX.AT | ||
+ | </ | ||
+ | Die Keytab kopiert man am Client auf ''/ | ||
- | Server: ''/ | + | Um am UCS Masterserver zu sehen welche Principal es der Zeit gibt, verwendest du diesen Befehl: |
- | < | + | < |
- | ... | + | univention-s4search ' |
- | GSSAPIAuthentication yes | + | |
- | GSSAPICleanupCredentials yes | + | |
- | KerberosAuthentication yes | + | |
- | KerberosOrLocalPasswd yes | + | |
- | KerberosTicketCleanup yes | + | |
- | ... | + | |
</ | </ | ||
- | Client: ''/ | + | |
+ | Die Quelle des Befehls [[https:// | ||
+ | |||
+ | ==== Folgenes ist damit möglich ==== | ||
+ | * Passwortloses login via SSH | ||
+ | * Mitnahme des Tickets auf andere Server | ||
+ | * Automatisches mounten sämtlicher Dateifreigaben (Cifs, NFS4, DAV, ...) via Kerberos über SSH, TTY, Displaymanager, | ||
+ | * Automatisches transperentes Einbinden von Laufwerken über den Dolphin Netzwerkmanger inkl. Remotemounts | ||
+ | * Kerberoslogin über Nomachine Enterprise | ||
+ | * uvm. | ||
+ | |||
+ | ==== Konfiguration des SSH-Servers und Client ==== | ||
+ | Hier ist in der ''/ | ||
+ | GSSAPIAuthentication yes | ||
+ | Alles andere kann default belassen werden. Danach den SSH Server neu starten: '' | ||
< | < | ||
- | ... | ||
GSSAPIAuthentication yes | GSSAPIAuthentication yes | ||
GSSAPIDelegateCredentials yes | GSSAPIDelegateCredentials yes | ||
- | ... | ||
</ | </ | ||
- | Nach einem Restart des SSH-Servers, | + | Nach einem Restart des SSH-Servers, |
+ | |||
+ | Meinen Beitrag im Forum [[https:// | ||
+ | |||
+ | ==== Login am NX Terminalserver via Kerberos ==== | ||
+ | Um dies zu ermöglichen mußt du am NXServer ein paar kleine Configänderungen in der ''/ | ||
+ | < | ||
+ | EnableNXKerberosAuthentication 1 | ||
+ | NXGssapiLibraryPath "/ | ||
+ | NXKerberosLibraryPath "/ | ||
+ | </ | ||
+ | Nun noch den Server neu starten: '' | ||
+ | |||
+ | Am Nomachine Client mußt du noch unter " | ||
+ | |||
+ | ===== Bekannte BUGS ===== | ||
+ | Sollte man bei einer Maschine die Meldung bekommen das kein Display verfügbar ist, so ist die ''/ | ||
+ | < | ||
+ | auth include su | ||
+ | account include su | ||
+ | password include su | ||
+ | #session include su | ||
+ | session required pam_loginuid.so | ||
+ | session optional pam_env.so | ||
+ | session optional pam_umask.so | ||
+ | session required pam_unix.so | ||
+ | session optional pam_mount.so disable_interactive | ||
+ | </ | ||
+ | Nomachine neustarten. \\ | ||
+ | Danach sollte das Display verfügbar sein und auch Pammount seinen Dienst tun. [[https:// |