Commit d376b4f6 authored by Sarah Kriesch's avatar Sarah Kriesch 🏆

Add Kerberos section

parent d8fcf8a1
......@@ -96,7 +96,7 @@ citestyle=alphabetic
Somit soll auch die Pflege/ Wartung der Systeme erleichtert werden.
\chapter{Salt}
\section{Einführung}
Salt ist eine OpenSource Konfigurations-Management Software und
Salt ist eine Open-Source Konfigurations-Management Software und
Remote Code Execution Engine, welche uns ein automatisches
Deployment der vorgesehenen Pakete ermöglicht.\\
Die von der Firma SaltStack geschriebene Software besteht im
......@@ -200,8 +200,6 @@ citestyle=alphabetic
der Salt-Master mit Hilfe von gpg das Passwort aus der PGP-Message lesen.\\
Eine ausführliche Anleitung wurde dazu als Blog-Artikel veröffentlicht:
\url{https://sarah-julia-kriesch.eu/2019/03/09/password-security-with-gpg-in-salt-on-opensuse-leap-15-0/}
\section{Salt-Minion}
Der Salt-Minion ist die Clientseitige Software, welche auf den
automatisch zu konfigurierenden Linux-Rechnern installiert werden
......@@ -263,7 +261,7 @@ citestyle=alphabetic
Konfigurationsdateien zu extrahieren entwickelten
wir ein Shellskript, welches diese Information aus den
Ordnernamen unter /usr/local/jetbrains extrahiert.
\subsection{VisualStudio Code}
\subsection{Visual Studio Code}
Neben den JetBrains IDEs erfreut sich auch VisualStudio Code
immer größerer Beliebtheit. Da dieses, im Gegensatz zu
VisualStudio, OpenSource-Softare ist, wollten wir auch dieses
......@@ -284,6 +282,58 @@ citestyle=alphabetic
seperat auszuführen und somit den Schlüssel
hinzuzufügen.\cite{github:zypper}
\chapter{Kerberos}
Kerberos wird zur Authentifizierung mit dem Active Directory gebraucht.
Genauso ist dieser Dienst zur Ticket-Generierung beim Drucken und zur
Geldabbuchung bei den Studenten-Accounts benötigt. \\
Weil zur Benutzer-Authentifizierung nicht nur die Datei krb5.conf
konfiguriert werden und zusätzlich der SSSD-Client eingerichtet werden muss,
werden neben dem Kerberos-Formula noch das SSSD-Formula, das Samba-Formula
und das PAM-Formula gebraucht.
\section{SSSD-Formula}
Der SSSD-Client ist die Grundlage des Usermanagements und der
Systemauthentifizierung am Active Directory auf den Linux-Clients.
Das sssd-Formula wurde bisher nur mit Debian, Ubuntu und Red Hat getestet.
Deshalb musste in der Datei map.jinja Suse als Betriebssystemkategorie
hinzugefügt werden. Genauso wurde dort sssd als notwendiges Paket mit
seinem Daemon als service mit angegeben. \\
Leider wurde dieses Formula bisher auch nur mit LDAP verwendet und dafür
bereitgestellt. Auch hier mussten die Konfigurationen dann erweitert werden.
Hier kann man die Möglichkeit der einfachen Erweiterbarkeit der sssd.conf
mit eigenen Parametern positiv hervorheben. Somit war es möglich den Eintrag
ldap durch ad zu ersetzen und weitere Optionen mit anzugeben, die dann mit
übernommen wurden. \\
Damit der SSSD-Daemon funktioniert, werden keytab-Dateien gebraucht, die
mit dem Kerberos-Formula mit eingebunden werden können.
\section{Kerberos-Formula}
Das Kerberos-Formula wird schon für openSUSE angeboten. Allerdings wird
mit der Option kerberos.keytab nur die Einbindung schon existierender
keytab-Dateien mit angeboten, so dass sich der Benutzer für die
unterschiedlichen Dienste im Netzwerk, wie z.B. ssh und cifs mit unseren
Windows-Laufwerken, automatisch direkt anmelden kann. Als Minimum wird die
Standard-Datei krb5.keytab gebraucht. Leider haben unsere Administratoren
die Anforderung, dass diese keytab-Dateien automatisch mit der ersten
Anmeldung unseres Benutzers mit angelegt werden. \\
Dafür wird noch eine Konfiguration des samba-clients und folgende Befehle
automatisiert gebraucht: \\
\fbox{net ads join -U ${Benutzer}%${Passwort} \\
net ads list \\
net ads kerberos \\
net ads keytab add cifs ipp nfs ftp ssh http -U ${Benutzer}}
Weil man so eine automatische Generierung der keytab-Dateien mit dem
Kerberos-Formula als ToDo in der Zukunft geplant hatte, wurde dieses
Feature von uns implementiert und mit in die keytab.sls integriert. \\
Außerdem ist wie das SSSD-Formula dieses Formula auf LDAP statt Active Directory
ausgelegt, weshalb ein Kerberos-Paket für Active Directory mit in der Liste
für Suse-Systeme aufgenommen wurde. Genauso konnte hier die Liste der
Parameter für die Konfigurationen ohne Probleme angepasst und erweitert
werden. Die notwendigen Daten wurden von den Admins bereit gestellt.
\section{Samba-Formula}
Der Benutzer vom Kerberos kann ohne Samba-Konfiguration nicht
funktionieren. Deshalb wurde noch das Samba-Formula mit hinzugefügt.
\section{PAM-Formula}
Das Windows-Laufwerk wurde bisher mit PAM und der Datei pam_mount_conf.xml
mit Hilfe von cifs gemountet. Diese Datei wird mit dem PAM-Formula mit
eingebunden und konfiguriert.
\chapter{openSUSE Image}
Damit ein möglichst aufwandsarmer Update-Vorgang durchgeführt werden
kann, sollen die Linux-Rechner ein openSUSE image von einem PXE-Server
......
Markdown is supported
0% or
You are about to add 0 people to the discussion. Proceed with caution.
Finish editing this message first!
Please register or to comment