Einstellungen für Thin-Client Umgebung mit mehreren Servern

german

#1

Hallo,

ich versuche eine ThinClient Umgebung mit mehreren UCS Systemen aufzusetzen.
Zu Testzwecken habe ich zwei Server:
manager: UCS DC Master (Authenticationserver, Fileserver)
node: UCS Member Server (Terminalserver)

Der ThinClient ist in Univention Admin per Richtline so eingestellt, dass er als Authentisierungs- und Fileserver den manager und als Terminalserver die node verwendet.

Möchte ich mich nun am ThinClient anmelden, so geschieht folgendes:

  • die Anmeldung ist erfolgreich
  • das Script “Linux-Arbeitsplatz” wird ausgeführt
  • das Script “/etc/univention/KDE.Session” wird ausgeführt
  • das Programm “univention-client” wird ausgeführt
    “etwas” in diesem Programm schlägt fehl, der XServer wird resettet und man gelangt wieder zur Anmeldemaske.
    Die Meldungen der Server deuten darauf hin, dass die krsh Verbindung zum Terminalserver fehlschlägt.
    Wenn ich als Terminalserver auch den manager eintrage, funktioniert die Anmeldung einwandfrei.

Gruß


#2

Nachtrag:
meine eigentliche Frage: Sind die Einstellungen so korrekt? Wie soll man generell einen UCS Server konfigurieren, dass er als Terminalserver tauglich ist? Die in der Dokumentation erwähnte Komponente “Terminal Services” findet sich nirgends.


#3

Sehr geehrter Herr von Jaduczynski,

die von Ihnen getroffenen Einstellungen wirken richtig.

Die Terminal Service Komponente von UCS besteht aus mehreren Komponenten. Für eine verteilte Terminal Service Umgebung müssen folgende Voraussetzungen erfüllt sein:

Es muss auf mindestens einem UCS Server der DHCP Dienst installiert sein.

Als Authentifizierungs-Server kommen alle Domaincontroller Systeme in Betracht, da auf ihnen der Heimdal-Kerberos Dienst ausgeführt wird.

Es muss mindestens einen UCS Server geben, auf dem die Home-Verzeichnisse der Benutzer freigegeben sind. Diese Einstellung wird während der Installation durch “Heimatverzeichnis-Freigabe erzeugen” vorgenommen.

Es muss mindestens einen UCS Server geben, auf dem bei der Installation die Komponente “Terminal Services” mit mindestens den Paketen “Thinclient Umgebung” und “KDE” installiert ist. “Thinclient Umgebung” enthält das Root-Dateisystem und den Kernel. Mit “KDE” wird auch die Unterstützung für zentrale Desktop Profile aktiviert.

Zu Ihrer Problembeschreibung:
Eine Voraussetzung für die erfolgreiche Benutzerauthentisierung über Kerberos sind synchrone Systemzeiten auf den beteiligten Rechnern. Bei Abweichungen von mehr als fünf Minuten werden Kerberos-Tickets aus Sicherheitsgründen nicht akzeptiert.

Auf einem UCS Memberserver ist es in manchen Fällen vorgekommen, dass die Datei /etc/krb5.keytab bei der Initialisierung nicht vollständig angelegt wurde. Um diesen Umstand als Ursache auszuschließen, geben Sie auf dem Memberserver als Benutzer ‘root’ den folgenden Befehl ein:

# /usr/sbin/univention-ldap-listener-ctrl resync keytab

Mit freundlichen Grüßen
Lars Rehe


#4

[quote]Auf einem UCS Memberserver ist es in manchen Fällen vorgekommen, dass die Datei /etc/krb5.keytab bei der Initialisierung nicht vollständig angelegt wurde. Um diesen Umstand als Ursache auszuschließen, geben Sie auf dem Memberserver als Benutzer ‘root’ den folgenden Befehl ein:

Code:

/usr/sbin/univention-ldap-listener-ctrl resync keytab [/quote]

Die Datei /etc/krb5.keytab existiert auf meinem System nicht und wird auch nicht durch das o.a. Kommando erzeugt.


#5

ich habe die keytab nun mit folgendem Kommando selbst kopiert:

/usr/sbin/univention-scp /etc/machine.secret node1\$@manager.camerloher.de:/var/lib/univention-heimdal/node1 /etc/krb5.keytab

Jetzt funktioniert die Anmeldung am Terminalserver.
Nun interessiert mich natürlich der Grund, warum die Datei nicht von ldap-listener erstellt wird.
Anbei der Auszug aus der LDAP Datenbank betreffend des Terminalservers:

# node1, clustifix-nodes, computers, visionalive
dn: cn=node1,cn=clustifix-nodes,cn=computers,o=visionalive
univentionServerRole: member
description: Clustifix Knoten 1
krb5PrincipalName: host/node1.visionalive.de@VISIONALIVE.DE
macAddress: 00:16:e6:40:b1:56
loginShell: /bin/bash
uidNumber: 2006
krb5KDCFlags: 126
krb5MaxRenew: 604800
univentionInventoryNumber: 1
sn: node1
univentionNetworkLink: cn=default,cn=networks,o=visionalive
homeDirectory: /dev/null
uid: node1$
krb5MaxLife: 86400
gidNumber: 5007
univentionServerInstallationText: 0
objectClass: top
objectClass: person
objectClass: univentionHost
objectClass: univentionMemberServer
objectClass: krb5Principal
objectClass: krb5KDCEntry
objectClass: posixAccount
objectClass: shadowAccount
objectClass: univentionPolicyReference
objectClass: sambaSamAccount
sambaSID: S-1-5-21-2299585778-3326405312-572184588-5012
sambaPrimaryGroupSID: S-1-5-21-2299585778-3326405312-572184588-11015
displayName: node1
sambaPwdMustChange: 2147483647
sambaAcctFlags: [W          ]
aRecord: 10.11.0.215
cn: node1
univentionServerInstallationProfile: VA-Node
univentionServerReinstall: 0
krb5Key:: MCWhIzAhoAMCARChGgQYFZ6wfCzlzl6GaKTlAlsmtbW6s+Y7+PGP
krb5Key:: MCWhIzAhoAMCAQWhGgQY38h5PqcaXahJwb+/Xm16CEZ/HKjfRmiF
krb5Key:: MB2hGzAZoAMCARehEgQQ/UeI40FNbV61orM9efB+Iw==
krb5Key:: MBWhEzARoAMCAQOhCgQIH6RrnpJDBHU=
krb5Key:: MBWhEzARoAMCAQKhCgQIH6RrnpJDBHU=
krb5Key:: MBWhEzARoAMCAQGhCgQIH6RrnpJDBHU=
krb5KeyVersionNumber: 14
sambaPwdCanChange: 1157108209
sambaLMPassword: F8087A39ACA2282DC215A719316F914A
sambaNTPassword: 3E870EEF9B17C7D253A0023C78865DEB
sambaPwdLastSet: 1157108209
univentionPolicyReference: cn=node1,cn=policies,o=visionalive
univentionPolicyReference: cn=node1,cn=repository,cn=update,cn=policies,o=visionalive
univentionPolicyReference: cn=node1_uv0,cn=packages,cn=update,cn=policies,o=visionalive
univentionPolicyReference: cn=node1_uv0,cn=ldap,cn=policies,o=visionalive

#6

Sehr geehrter Herr von Jaduczynski,

durch ein Timing-Problem kann es während des Join-Vorgangs bei der Initialisierung des “Keytab”-Listener-Moduls passieren, dass die Datei auf dem Memberserver nicht erstellt wird. Wir haben bereits einen Problembericht in unserer Fehlerdatenbank und werden mit einer der nächsten Versionen ein korrigiertes Paket ausliefern.

Mit freundlichen Grüßen
Lars Rehe