Benutzer-Werkzeuge

Webseiten-Werkzeuge


manton:virtualisierung:gastsystem

Tipps für Gastsysteme

LDAP mit autofs -> Samba/NFS

  • notwendige Pakete für Debian: autofs-ldap,libpam-ldap,libnss-ldap,libpam-mount1),smb-client,ldap-utils,nscld,cifs-ultis,account-service2)
    $ apt-get install autofs-ldap libpam-ldap libpam-mount smb-client ldap-utils nscld cifs-ultis account-service
  • zu konfigurierende Dateien:
    • /etc/automaster (/cifs /etc/auto.smb –timeout=300) → Samba/NFS-zugriff
    • /etc/pam_ldap.conf,/etc/libnss-ldap.conf → ldap-config
    • /etc/pam_ldap.secret,/etc/libnss-ldap.secret → ldap-pw
    • /etc/pam.d/common-session („session optional pam_mount.so“) → automount
    • /etc/pam.d/common-auth („auth optional pam_mount.so“) → automount (unter ldap…, Reihenfolge ist wichtig!)

      Die Einträge common-session/common-auth werden meistens vom System schon eingetragen, man sollte sie allerdings noch mal überprüfen.

    • /etc/nsswich.conf → automount | Bsp:
      ###########################################################################
       
      # /etc/nsswitch.conf
      #
      # Example configuration of GNU Name Service Switch functionality.
      # If you have the `glibc-doc-reference' and `info' packages installed, try:
      # `info libc "Name Service Switch"' for information about this file.
       
      # pre_auth-client-config # passwd:         compat
      passwd: files ldap
      # pre_auth-client-config # group:          compat
      group: files ldap
      # pre_auth-client-config # shadow:         compat
      shadow: files ldap
       
      hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
      networks:       files
       
      protocols:      db files
      services:       db files
      ethers:         db files
      rpc:            db files
       
      # pre_auth-client-config # netgroup:       nis
      netgroup: nis
      ######################################################################
    • /etc/security/pam_mount.conf.xml
      <!-- NFS: / %%NFSSERVER%% ersetzen -->
      <volume gid="1002-1003" fstype="nfs4" server="%%NFSSERVER%%" path="/HIN/%(USER)" mountpoint="~" />
      <volume gid="1001" fstype="nfs4" server="%%NFSSERVER%%" path="/F/IN/M/%(USER)" mountpoint="~" />
       
      <!-- falls NFS nicht geht/erwünscht dann mit SAMBA vielleicht -->
      <!-- SAMBA/CIFS:  / %%SAMBASERVER%% ersetzen -->
      <volume user="*" fstype="cifs" server="%%SAMBASERVER%%" path="%(DOMAIN_USER)" mountpoint="/home/%(DOMAIN_USER)" options="sec=ntlm,nodev,nosuid" />
      <!-- nach Logout aushängen -->
      <logout wait="20000" hup="1" term="1" kill="1" />
      <!-- Mount-Ordner wieder löschen -->
      <mkmountpoint enable="1" remove="true" />
    • für Samba/NFS-Laufwerke sollte man ggf. noch die Einträge in der /etc/hosts anpassen

Bei NFS-Laufwerken müssen die Clients sich im gleichen Subnetz mit dem NFS-Laufwerk sein. Das Standard-Gateway sollte auch gleich sein (man kann stattdessen evtl. auch eine extra route anlegen)

Shutdown/Reboot-Button verbergen

Create a .pkla file in /etc/polkit-1/localauthority/50-local.d (say disable-shutdown.pkla), containing:3)

[Disable Shutdown, etc.]
Identity=unix-user:*
Action=org.freedesktop.login1.reboot-multiple-sessions;org.freedesktop.login1.power-off-multiple-sessions;org.freedesktop.login1.suspend-multiple-sessions;org.freedesktop.login1.hibernate-multiple-sessions
ResultAny=no
ResultInactive=no
ResultActive=no

x11vnc als Systemd-Dienst

  • Erlaubt die Anmeldung am System per XDMCP über Subnetze hinweg, jedoch sind die Nutzfunktionen eingeschränkt (z.B. keine Videowiedergabe)
  • eine Service-Datei /lib/systemd/system/x11vnc.service anlegen mit folgendem Inhalt:
    [Unit]
    Description="x11vnc"
    Requires=display-manager.service
    After=display-manager.service
     
    [Service]
    Type=forking
    ExecStart=/usr/bin/x11vnc -xkb -noxrecord -noxfixes -noxdamage -auth guess -rfbauth /etc/x11vnc.pass -forever -rfbport 5900 -bg -o /var/log/x11vnc.log
    Restart=on-failure
    RestartSec=10
     
    [Install]
    WantedBy=multi-user.target
  • damit nicht jeder PC Zugriff auf die VNC-Ausgabe hat erzeugt man mit x11vnc -storepasswd /etc/x11vnc.pass ein Passwort 4)
  • den systemd-Dienst noch starten (als Dienst wird x11vnc neugestartet nach dem Zurücksetzen/Logout des X11-Systems)
    $ sudo systemctl deamon-reload # neueinlesen der configs
    $ sudo systemctl enable x11vnc.service # eintragen in den Autostart
    $ sudo systemctl start x11vnc.service # starten des dienstes
1)
automount bei Anmeldung
2)
Falls das Paket nicht installiert ist kommt es zu einer Verzögerung bis das Passwort eingegeben werden kann
3)
Askubuntu.com [1]
4)
Dies ist keinesfalls ein sehr sicherer Schutz und wird hier wegen dem Anwendungsfall (PC-Pool) verwendet, es ist meistens besser den x11vnc-Dienst mit einer ssh-Verbindung zu starten wenn benötigt und anschließend wieder zu beenden
manton/virtualisierung/gastsystem.txt · Zuletzt geändert: 2016/02/26 15:55 von manton