Hallo,
wie kann man unter Univention 4.4-2 einen SPN-Account für einen NFS Server (ubuntu 18.04) erstellen? Das Skript /usr/share/univention-samba4/scripts/create_spn_account.sh
konnte ich leider nicht finden.
Würde die Anleitung für Univention 3 https://wiki.univention.de/index.php/NFSv4_with_UCS#Samba_4_Domain auch unter Univention 4.4-2 funktionieren?
Mit freundlichen Grüßen
Markus Eberl
SirTux
October 3, 2019, 7:00am
2
Das Script gibt es natürlich nur auf UCS-Systemen. Am besten auf dem DC Master die Keytab erstellen und rüberkopieren:
Hallo,
ich möchte gerne einen NFS4 Export erstellen. Diesen möchte ich dann auf unterschiedlichen Systemen mounten um z.B. Benutzern den Zugriff auf das Home-Verzeichnis zu gewähren aber auch andere Verzeichnisse die sowohl für einzelne Benutzer als auch für Webservices bereitgestellt werden sollen.
Derzeit finde ich keine hilfreichen oder funktionierenden Informationen wie so ein NFS4 Export erstellt bzw gemounted werden kann.
Ich habe gegooglet und hier mehrere Informationen gefunden die ab…
Den Ordner univention-samba4
gibt es leider unter /usr/share/
nicht am UCS-System. Ist das Skript in einem anderen Pfad unter 4.4-2?
SirTux
October 3, 2019, 7:34am
4
Hast du denn überhaupt irgendwo die “App” AD-kompatibler Domain-Controller (Samba DC) installiert?
danke für den Tipp. Die App habe ich vergessen zu installieren.
Weißt du wie man die Keytab direkt am Client (auch Ubuntu 18.04) erstellen kann für NFS. Derzeit erstelle ich für die Clients die Keytabs am UCS System (samba-tool domain exportkeytab) und kopiere sie anschließend auf die Clients. Was auch soweit funktioniert, aber leider etwas umständlich ist.
Viele Dank
SirTux
October 3, 2019, 12:47pm
6
Ich habe mir ein opsi-Paket dafür gebaut. Die erforderlichen Debian-Pakete habe ich mir von UCC geholt. Hier sind die relevanten Sektionen:
[ShellInAnIcon_install_keytab_32]
set -x
apt install %SCRIPTPATH%/keytab/python-support_1.0.15.19.201606061039_all.deb -y
apt install %SCRIPTPATH%/keytab/python-univention-heimdal_6.0.1-1.59.201606071248_i386.deb -y
[ShellInAnIcon_install_keytab_64]
set -x
apt install %SCRIPTPATH%/keytab/python-support_1.0.15.19.201606061039_all.deb -y
apt install %SCRIPTPATH%/keytab/python-univention-heimdal_6.0.1-1.59.201606071248_amd64.deb -y
[ShellInAnIcon_configure_keytab]
set -x
hostname="$(hostname)"
kvno="$(ldapsearch -x -D "$binddn$" -w "$bindpwd$" "(&(objectClass=univentionHost)(cn=$hostname))" krb5KeyVersionNumber | sed -n 's/^krb5KeyVersionNumber: \(.*\)$/\1/p')"
# Backup old keytab
[ -e /etc/krb5.keytab ] && mv /etc/krb5.keytab "/etc/krb5.keytab.old_$(date +%F-%S%M%S)"
# Dump keytab
%SCRIPTPATH%/keytab/univention-create-keytab --keytab="/etc/krb5.keytab" --principal="host/$hostname.$domainname$" --alias="host/$hostname.$domainname$" --kvno=$kvno --password="$(cat /etc/machine.secret)"
Ich habe aber nicht ganz verstanden, wieso Univention das nicht in sein Join-Tool eingebaut hat. Stattdessen ist der Aufwand dafür minimal. Stattdessen verschlimmbessern sie die Netzwerkkonfiguration.
EDIT: Siehe auch
Hi,
at the moment I try to get some UCC experiences with the “new” join client. Unluckily the client doesn’t create a host keytab for kerberizing services like SSH. It would be very nice if this functionality could be implemented.
In the meantime: How can I do this myself?
Cheers,
SirTux