SPN-Account für NFS Server

markus_e · October 3, 2019, 6:46am

Hallo,

wie kann man unter Univention 4.4-2 einen SPN-Account für einen NFS Server (ubuntu 18.04) erstellen? Das Skript /usr/share/univention-samba4/scripts/create_spn_account.sh konnte ich leider nicht finden.

Würde die Anleitung für Univention 3 https://wiki.univention.de/index.php/NFSv4_with_UCS#Samba_4_Domain auch unter Univention 4.4-2 funktionieren?

Mit freundlichen Grüßen
Markus Eberl

SirTux · October 3, 2019, 7:00am

Das Script gibt es natürlich nur auf UCS-Systemen. Am besten auf dem DC Master die Keytab erstellen und rüberkopieren:

markus_e · October 3, 2019, 7:32am

Den Ordner univention-samba4 gibt es leider unter /usr/share/ nicht am UCS-System. Ist das Skript in einem anderen Pfad unter 4.4-2?

SirTux · October 3, 2019, 7:34am

Hast du denn überhaupt irgendwo die “App” AD-kompatibler Domain-Controller (Samba DC) installiert?

markus_e · October 3, 2019, 11:34am

danke für den Tipp. Die App habe ich vergessen zu installieren.

Weißt du wie man die Keytab direkt am Client (auch Ubuntu 18.04) erstellen kann für NFS. Derzeit erstelle ich für die Clients die Keytabs am UCS System (samba-tool domain exportkeytab) und kopiere sie anschließend auf die Clients. Was auch soweit funktioniert, aber leider etwas umständlich ist.

Viele Dank

SirTux · October 3, 2019, 12:52pm

Ich habe mir ein opsi-Paket dafür gebaut. Die erforderlichen Debian-Pakete habe ich mir von UCC geholt. Hier sind die relevanten Sektionen:

[ShellInAnIcon_install_keytab_32]
set -x
apt install %SCRIPTPATH%/keytab/python-support_1.0.15.19.201606061039_all.deb -y
apt install %SCRIPTPATH%/keytab/python-univention-heimdal_6.0.1-1.59.201606071248_i386.deb -y

[ShellInAnIcon_install_keytab_64]
set -x
apt install %SCRIPTPATH%/keytab/python-support_1.0.15.19.201606061039_all.deb -y
apt install %SCRIPTPATH%/keytab/python-univention-heimdal_6.0.1-1.59.201606071248_amd64.deb -y

[ShellInAnIcon_configure_keytab]
set -x
hostname="$(hostname)"
kvno="$(ldapsearch -x -D "$binddn$" -w "$bindpwd$" "(&(objectClass=univentionHost)(cn=$hostname))" krb5KeyVersionNumber | sed -n 's/^krb5KeyVersionNumber: \(.*\)$/\1/p')"
# Backup old keytab
[ -e /etc/krb5.keytab ] && mv /etc/krb5.keytab "/etc/krb5.keytab.old_$(date +%F-%S%M%S)"
# Dump keytab
%SCRIPTPATH%/keytab/univention-create-keytab --keytab="/etc/krb5.keytab" --principal="host/$hostname.$domainname$" --alias="host/$hostname.$domainname$" --kvno=$kvno --password="$(cat /etc/machine.secret)"

Ich habe aber nicht ganz verstanden, wieso Univention das nicht in sein Join-Tool eingebaut hat. Stattdessen ist der Aufwand dafür minimal. Stattdessen verschlimmbessern sie die Netzwerkkonfiguration.

EDIT: Siehe auch