Domänenbeitritt Edubuntu 14.04 LTS

UCS - Univention Corporate Server
,
#1

Hallo!

Testumgebung

UCS 4.3-0: unter VMware Fusion 10.1.1 (20 GB HD, 1 GB RAM)
Apps: Domänencontroller, DHCP-Server, Druck-Server, (WordPress)
Paket-Aktualisierungen: auf aktuellen Stand vom 21.04.2018

Client(s): Edubuntu 14.04 LTS, Standardinstallation, einschl. ssh + Softwareaktualisierungen

Der Domänenbeitritt erfolgte nach der Anleitung http://docs.software-univention.de/domain-4.2.html.
Nach Ausführung von Punkt 1.2. Configuration of the System Security Services Daemon (SSSD)
werden am Client diese Dateien erwartet:

  • eine /etc/sssd/sssd.conf und
  • eine /etc/auth-client-config/profile.d/sss.

Beide Dateien wurden NICHT erzeugt.

Erfolgreich war folgendes Vorgehen:

Zuerst die Installation der Pakete mit …

#apt-get -y install sssd libnss-sss libpam-sss libsss-sudo
#apt-get -y install auth-client-config

und schließlich das wiederholte Ausführen der Befehlsfolge jeweils OHNE

DEBIAN_FRONTEND=noninteractive apt-get -y install sssd libnss-sss libpam-sss libsss-sudo
bzw.
DEBIAN_FRONTEND=noninteractive apt-get -y install auth-client-config

Damit war dann auch ein getent passwd und getent group erfolgreich
und nach abschließenden Neustart des Client auch die Domänenanmeldung am UCS.

Erst später fand ich noch diesen Beitrag …

Was mir nicht klar ist:

Wie realisiere ich auch mit den Linux-Clients sog. servergespeicherte (Roaming-) Benutzerprofile?

Mein bisheriger Gedanke war, ich nutze dafür die Kontoeinstellungen der Benutzer in der UMC > Posix (Linux/UNIX) > UNIX-Heimatverzeichnis bzw. > Heimatverzeichnisfreigabe und > Pfad zum Heimatverzeichnis
Letztere Parameter beziehen sich aber wohl eher auf NFS-Freigaben.

Kann mir hier jemand weiterhelfen, in welcher Richtung ich suchen/aggieren muss?

Vielen Dank :-)!

Dietmar

#2

Huhu,

Der reguläre Weg ist, auf dem UCS-Server eine NFS-Freigabe für /home einzurichten (über die Univention Management Console) und diese NFS-Freigabe auf dem Client auf /home zu mounten. Für die Client-Seite gibt’s da keine vorgefertigten Sachen bei Nicht-UCC-Clients; sprich das Einfachste ist ein manueller Eintrag in /etc/fstab.

Gruß
mosu

#3

Deinem Hinweis dankbar folgend Moritz,

habe ich folgendes ausgeführt:

NFS einrichten

**Am UCS-Server**

UMC > Domäne > Freigaben > Hinzufügen

    Allgemein

    > Name > homes
    > Server* > <server>.<domain>.intranet
    > Pfad* > /home
    > Besitzer des Wurzelverzeichnis der Freigabe > root
    > Besitzergruppe für das Wurzelverzeichnis der Freigabe > Domain Users

    NFS

    > NFS-Schreibzugriff < aktiviert

    Optionen

    > Für NFS-Clients exportieren (NFSv3 und NFSv4) < aktiviert
    > Für Samba-Clients exportieren < deaktiviert


UMC > Domäne > Richtlinien > Hinzufügen > Neue Richtlinie hinzufügen.
Container?   > intranet.<domain>:/policies/shares
Typ?         > Richtlinie: NFS-Freigaben

> Weiter > Grundeinstellungen - NFS-Freigaben

    > Name*        > <Name der Freigabe>
    > NFS-Freigabe > homes (<server>.<domain>.intranet)
    > Mount point  > /home


**An Edubuntu-Client(s)**

NFS-Freigaben anzeigen

    # apt-get install nfs-common

    # showmount --exports <IP des NFS-Servers>
    Export list for 192.168.xxx.xxx:
    /home    
    ...

NFS-Freigabe bei Start des Clients mounten

    # nano /etc/fstab
    ...
    192.168.xxx.xxx:/home /home nfs rw 0 0

Dies führt dazu,
dass auch kein lokales Login des Erstbenutzers mehr möglich ist
-bash: /home/diddi/.profile: Keine Berechtigung

Lösung

    # mv /home /home2
    # mkdir /home

    # nano /etc/passwd
    ...
    <benutzer>:x:1000:1000:<benutzer>,,,:/home2/<benutzer>:/bin/bash

Beim deklarieren der Richtlinie habe ich instinktiv den Container > intranet.domain:/policies/shares
gewählt, ohne sicher zu sein, ob dies richtig ist …

Damit ist der Domänenbeitritt von Edubuntu-Clients in der Testumgebung für mich gelöst,
einschl. Domänenanmeldung, servergespeicherter Benutzerprofile und einem Standarduserprofil,
welches man auf dem Client in das Verzeichnis /etc/skel schreiben kann.
Gedacht ist er perspektivisch für den Ersatz von Windows 7 Clients an einer Grundschule.
Sollte ich den gesamten Ansatz für interessierte Leser nochmals gesondert zusammenfassen?

Gruß Dietmar

#4

Huhu,

Die Richtlinie ist in Ihrem Fall überflüssig, da sie nur von Univention Corporate Clients ausgewertet wird, nicht aber von anderen Linuxen. Falls UCCs eingesetzt werden, so muss die Richtlinie mit einem der Elterncontainer der UCC-Objekte verknüpft werden.

Gruß
mosu

Mastodon