Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
| Beide Seiten, vorherige Überarbeitung Vorherige Überarbeitung | |||
|
server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2020/06/26 19:18] loma |
server_und_serverdienste:automount_von_sambalaufwerken_beim_login_-_inkl._kerberos_und_nomachine_terminalserver [2020/06/26 19:31] (aktuell) loma |
||
|---|---|---|---|
| Zeile 4: | Zeile 4: | ||
| - | Diese Anleitung bezieht sich auf folgende Konzelation: | + | Diese Anleitung bezieht sich auf folgende Konstellation: |
| * Serverumgebung [[https://www.univention.de/produkte/ucs/|Univention Corporate Server]] auf Debian Basis (Active Directory/LDAP/Kerberos) | * Serverumgebung [[https://www.univention.de/produkte/ucs/|Univention Corporate Server]] auf Debian Basis (Active Directory/LDAP/Kerberos) | ||
| Zeile 12: | Zeile 12: | ||
| * Lubuntu 20.04 (LXQT) als Nomachine Workstation Enterprise | * Lubuntu 20.04 (LXQT) als Nomachine Workstation Enterprise | ||
| - | Auch in Linuxumgebungen ist die Automation von Desktops voll und ganz ein Standart. Da dies aber meist nur größeren Enterpriseumgebungen vorbehalten ist, findet man im Internet hierüber sehr wenig ausführlich gute Dokumentation. Aus diesem Grund hab ich mir mal gedacht ich schreib darüber doch auch mal einen Artikel um Enterprisefeatures auch zu dir zu bringen. | + | Auch in Linuxumgebungen ist die Automation von Desktops voll und ganz ein Standard. Da dies aber meist nur größeren Enterpriseumgebungen vorbehalten ist, findet man im Internet hierüber sehr wenig ausführlich gute Dokumentation. Aus diesem Grund hab ich mir mal gedacht ich schreib darüber doch auch mal einen Artikel um dich daran auch teilhaben zu lassen. |
| ===== Voraussetzung ===== | ===== Voraussetzung ===== | ||
| - | Voraussetzung ist eine laufende funktionierende [[https://www.univention.de/produkte/ucs/|UCS4.4.x Umgebung]] inkl. Kerberos. Sollest du eine andere Umgebung mit als AD/LDAP benutzen ist das selbstverständlich auch ok. Hast das nicht [[https://docs.software-univention.de/handbuch-4.4.html|installiere dir diese mal schnell]]. | + | Voraussetzung ist eine laufende funktionierende [[https://www.univention.de/produkte/ucs/|UCS4.4.x Umgebung]] inkl. Kerberos. Solltest du eine andere Umgebung als AD/LDAP benutzen ist das selbstverständlich auch ok. Hast du das nicht, [[https://docs.software-univention.de/handbuch-4.4.html|installiere dir diese mal schnell nach]]. |
| **Überprüfung am Client** | **Überprüfung am Client** | ||
| Zeile 25: | Zeile 25: | ||
| bist wohl nicht richtig an deinem ActiveDirectory registiert. | bist wohl nicht richtig an deinem ActiveDirectory registiert. | ||
| - | Funktioniert alles gut, ist an dieser Stelle ein kleiners Helferlein zu erwähnen. Installiere dir gleich ''krb5-auth-dialog'' nach. Das erneuert bequem deine Tickets. Immer dann wenn du wo dein Passwort eingeben sollest, z.B. wenn du deinen Bildschirm entsperrst. | + | Funktioniert alles gut, ist an dieser Stelle ein kleines Helferlein zu erwähnen. Installiere dir gleich ''krb5-auth-dialog'' nach. Das erneuert bequem deine Tickets im laufenden Betrieb. Immer dann wenn du wo dein Passwort eingeben sollest, z.B. wenn du deinen Bildschirm entsperrst. |
| ===== Installation und Konfiguration am Client ===== | ===== Installation und Konfiguration am Client ===== | ||
| Zeile 55: | Zeile 55: | ||
| </code> | </code> | ||
| ==== Setzten der pam_mount.conf.xml ==== | ==== Setzten der pam_mount.conf.xml ==== | ||
| - | Die Standardoptionen haben bei meinen Konfigurationen immer gepasst. In diesem File trägt alle Laufwerke ein die in deiner Umgebung erreichbar sind. Loggst du dich mit deinem Benutzer ein, werden automatisch alle Laufwerke in dein Home eingebunden. Beim Logout, wieder sauber getrennt. Die Funktion kann mit **Cifs, NFS4.x** und **Webdav** wissentlich umgehen. | + | Die Standardoptionen haben bei meinen Konfigurationen immer funktioniert. In diesem File trägst du alle Laufwerke ein die in deiner Umgebung erreichbar sind. Loggst du dich mit deinem Benutzer ein, werden automatisch alle Laufwerke in dein Home eingebunden. Beim Logout, wieder sauber getrennt. Die Funktion kann mit **Cifs, NFS4.x** und **Webdav** wissentlich umgehen. |
| - | Hier nun ein Beispiel: | + | Hier nun ein Beispiel mit Samba/Windowslaufwerken: |
| <file xml pam_mount.conf.xml> | <file xml pam_mount.conf.xml> | ||
| ... | ... | ||
| Zeile 68: | Zeile 68: | ||
| ... | ... | ||
| </file> | </file> | ||
| - | Die User Root, Sddm und NX werden ignoriert. Sprich diese machen keine Mountabfrage. Macht ja auch keinen Sinn. Der große Vorteil: Angabe von Passwort und Benutzer sind natürlich nicht notwendig. Um das kümmert sich LDAP/Kerberos von UCS erledigt beim Loginvorgang den Rest. | + | Die User Root, Sddm und NX werden ignoriert. Sprich diese machen keine Mountabfrage. Macht ja auch keinen Sinn. **Der große Vorteil:** Angabe von Passwort und Benutzer sind natürlich nicht notwendig. Um das kümmert sich LDAP/Kerberos von UCS, und erledigt beim Loginvorgang den Rest. |
| Macht man das ganze mit PAM ohne Kerberos, könnte man jetzt wieder paranoid reagieren und sagen, "ja die Passworteingabe wird ja beim Login PAM übergeben, das ist doch unsicher!". Ja das stimmt schon wenn man es aus technischer Sicht ganz genau betrachten würde, ist das so. Aber das lass ich jetzt mal im Raum so stehen :-x | Macht man das ganze mit PAM ohne Kerberos, könnte man jetzt wieder paranoid reagieren und sagen, "ja die Passworteingabe wird ja beim Login PAM übergeben, das ist doch unsicher!". Ja das stimmt schon wenn man es aus technischer Sicht ganz genau betrachten würde, ist das so. Aber das lass ich jetzt mal im Raum so stehen :-x | ||
| - | Hier noch ein Beispiel für Wedav, CIFS und NFS. In dieser Konfig gehen diese beiden nicht über Kerberos. | + | Hier noch ein Beispiel für Wedav, CIFS und NFS. In dieser Konfig gehen diese nicht über Kerberos. |
| <file xml pam_mount.conf.xml> | <file xml pam_mount.conf.xml> | ||
| ... | ... | ||
| Zeile 79: | Zeile 79: | ||
| <volume fstype="cifs" server="servername.bla.at" options="vers=3.0" path="Organisation" mountpoint="~/Organisation" /> | <volume fstype="cifs" server="servername.bla.at" options="vers=3.0" path="Organisation" mountpoint="~/Organisation" /> | ||
| </file> | </file> | ||
| - | Du kannst schon erkennen, das der Mechanismus sehr mächtig ist. Die Manpage ist hier sehr ausführlich. Mit ein wenig Zeit und tun, kannst du dir hier etwas schönes bauen. | + | Du kannst schon erkennen, das der Mechanismus sehr mächtig ist. [[https://de.wikipedia.org/wiki/Manpage|Die Manpage]] ist hier sehr ausführlich. Mit ein wenig Zeit und tun, kannst du dir hier etwas schönes bauen. |
| <code> | <code> | ||
| man pam_mount.conf | man pam_mount.conf | ||
| </code> | </code> | ||
| - | Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm (getestet) bereits eingebunden. | + | Ab diesem Zeitpunkt bekommst du deine Laufwerke beim Login über dem Displaymanager SDDM oder Lightdm bereits eingebunden. |
| ==== Automount über SSH und Kerberos ==== | ==== Automount über SSH und Kerberos ==== | ||
| Zeile 105: | Zeile 105: | ||
| ... | ... | ||
| </code> | </code> | ||
| - | Nach einem Restart des SSH-Servers, bekommst man seine Laufwerke auch darüber bequem eingebunden. | + | Nach einem Restart des SSH-Servers, bekommst du deine Laufwerke auch darüber bequem eingebunden. |