Forskjell mellom versjoner av «Fedora-TS mot sentral tjener»

Fra GNUskole
Hopp til navigering Hopp til søk
(Justering av autentiseringsoppsett for F13.)
 
Linje 15: Linje 15:
 
=== Autentisering via LDAP  ===
 
=== Autentisering via LDAP  ===
  
Du må gjerne bruke det grafiske brukergrensesnittet i F13 til å sette opp LDAP. Da må du også sette opp kryptering av autentiseringen. Hvis du ikke ønsker å bruke det kan du skrive:<br>
+
Du må gjerne bruke det grafiske brukergrensesnittet i F til å sette opp LDAP. Da må du også sette opp kryptering av autentiseringen. Hvis du ikke ønsker å bruke det kan du skrive:<br>  
<pre>authconfig --enablesssd --enablesssdauth --updateall</pre>
+
<pre>authconfig --enablesssd --enablesssdauth --updateall</pre>  
 
+
Du må selv sette opp filen /etc/sssd/sssd.conf til å likne på dette (du finner det meste nederst i filen):<br>  
Du må selv sette opp filen /etc/sssd/sssd.conf til å likne på dette (du finner det meste nederst i filen):<br>
+
<pre>[domain/default]
 
 
<pre>
 
[domain/default]
 
 
auth_provider = ldap
 
auth_provider = ldap
 
cache_credentials = True
 
cache_credentials = True
Linje 27: Linje 24:
 
#ldap_tls_reqcert = demand      # Sett til Never om du ikke vil bruke TLS (kryptering).
 
#ldap_tls_reqcert = demand      # Sett til Never om du ikke vil bruke TLS (kryptering).
 
debug_level = 0
 
debug_level = 0
enumerate = True                # Viktig sak frem til en bug i sssd blir fikset.
 
 
ldap_schema = rfc2307
 
ldap_schema = rfc2307
 
krb5_realm = EXAMPLE.COM
 
krb5_realm = EXAMPLE.COM
Linje 33: Linje 29:
 
chpass_provider = ldap
 
chpass_provider = ldap
 
id_provider = ldap
 
id_provider = ldap
min_id = 500                    # Her må du tenke litt. Hvis du har brukere/grupper med UID/GID < 1000 må du sette det her!
+
min_id = 500                    # Her må du tenke litt. Hvis du har brukere/grupper med UID/GID &lt; 1000 må du sette det her!
 
ldap_uri = ldap://ldap.minmaskin.lan
 
ldap_uri = ldap://ldap.minmaskin.lan
 
krb5_kdcip = kerberos.example.com
 
krb5_kdcip = kerberos.example.com
 
ldap_tls_cacertdir = /etc/openldap/cacerts
 
ldap_tls_cacertdir = /etc/openldap/cacerts
</pre>
+
</pre>  
<br>
+
<br>  
  
==== Test om autentisering via ldaps virker ====
+
==== Test om autentisering via ldaps virker ====
  
 
En kjekk kommando for å sjekke om TLS eller SSL er satt ordentlig opp på klient (og tjener):<br>  
 
En kjekk kommando for å sjekke om TLS eller SSL er satt ordentlig opp på klient (og tjener):<br>  
Linje 50: Linje 46:
 
...om du bare vil ha opplysningene om en bruker (ikke alle&nbsp;:-).<br>  
 
...om du bare vil ha opplysningene om en bruker (ikke alle&nbsp;:-).<br>  
  
Om det ikke virker får du en feilmelding som faktisk er mulig å forstå, slik at du vet hva du bør rette på. ldapsearch-kommandoen forholder seg til /etc/openldap/ldap.conf-filen.<br>
+
Om det ikke virker får du en feilmelding som faktisk er mulig å forstå, slik at du vet hva du bør rette på. ldapsearch-kommandoen forholder seg til /etc/openldap/ldap.conf-filen.
 
 
=== Autentisering via NIS (men det vil du ikke!)  ===
 
 
 
Den "enkle" måten (via kommandolinjen i Fedora/CentOS):
 
 
 
system-config-authentication --enablenis --nisdomain=minskole.nis --nisserver=nis.mintjener.no --updateall
 
 
 
==== GUI-måten på Fedora  ====
 
 
 
Gå inn i system-menyen og velg "Administrasjon / Autentisering". Der kan du velge NIS og fylle ut "minskole.nis" som NIS-domene (eller det navnet du har på NIS-tjeneren din) og ip-adressen til NIS-tjeneren.
 
 
 
==== "Den mer oppdragende"-måten i konsoll  ====
 
 
 
Føy til i /etc/yp.conf, hvis du vil autentisere fra en annen tjener som kjører NIS...
 
 
 
domain minskole.nis server 192.168.0.254
 
ypserver 192.168.0.254
 
 
 
Du må også føye til "nis" bak passwd, shadow og group i /etc/nsswitch.conf
 
<pre>passwd:      files nis
 
shadow:        files nis
 
group:          files nis
 
</pre>
 
Kjør kommandoene for å restarte tjenesten...<br>
 
 
 
service ypbind restart
 
chkconfig ypbind on
 
  
 
Skriv "id brukernavn" for å se om det virker.  
 
Skriv "id brukernavn" for å se om det virker.  

Nåværende revisjon fra 30. sep. 2011 kl. 09:37

Hvis du har en sentral tjener og/eller flere TSer

Oppsett hvis du har en egen NFS-filtjener

Føy til i /etc/fstab hvis du har hjemmeområdene liggende på en annen tjener (som deler ut /home med NFS)...

192.168.0.254:/home	/home	nfs	defaults	0 0

Kjør kommandoen for å montere hjemmeområdene...

$ mount -a

Oppsett hvis du har en egen autentiserings-tjener

Autentisering via LDAP

Du må gjerne bruke det grafiske brukergrensesnittet i F til å sette opp LDAP. Da må du også sette opp kryptering av autentiseringen. Hvis du ikke ønsker å bruke det kan du skrive:

authconfig --enablesssd --enablesssdauth --updateall

Du må selv sette opp filen /etc/sssd/sssd.conf til å likne på dette (du finner det meste nederst i filen):

[domain/default]
auth_provider = ldap
cache_credentials = True
ldap_id_use_start_tls = True     # Sett til False om du ikke vil bruke TLS (kryptering).
#ldap_tls_reqcert = demand       # Sett til Never om du ikke vil bruke TLS (kryptering).
debug_level = 0
ldap_schema = rfc2307
krb5_realm = EXAMPLE.COM
ldap_search_base = dc=minmaskin,dc=lan
chpass_provider = ldap
id_provider = ldap
min_id = 500                     # Her må du tenke litt. Hvis du har brukere/grupper med UID/GID < 1000 må du sette det her!
ldap_uri = ldap://ldap.minmaskin.lan
krb5_kdcip = kerberos.example.com
ldap_tls_cacertdir = /etc/openldap/cacerts


Test om autentisering via ldaps virker

En kjekk kommando for å sjekke om TLS eller SSL er satt ordentlig opp på klient (og tjener):

ldapsearch -x -ZZ

...eller...

ldapsearch -x -ZZ '(uid=enbruker)'

...om du bare vil ha opplysningene om en bruker (ikke alle :-).

Om det ikke virker får du en feilmelding som faktisk er mulig å forstå, slik at du vet hva du bør rette på. ldapsearch-kommandoen forholder seg til /etc/openldap/ldap.conf-filen.

Skriv "id brukernavn" for å se om det virker.

Oppsett hvis du har en egen CUPS-tjener

Kjør kommandoen

echo "BrowsePoll 192.168.0.254:631" >> /etc/cups/cups.conf
service cups restart