-1

こんにちは、こんばんは、

私は実際に小さな社会の研修生として働いており、彼らが望んでいる改善の 1 つは、中央認証サーバーを持つことです。いくつかの調査の後、将来使用したい多くのツールを処理する UCS (Univention Corporate Server) を使用することにしました。そして、私の問題はここから始まります...

コンピュータの起動時に認証を行い、UCS による認証のみを行いたいです (ローミング プロファイルなどは使用しません)。ユーザーがイントラネット上でシングルサインオンできるようにするためのチケットを取得する必要があるだけです (たとえば、NAS やクラスターにアクセスするため)。univention-ldapsearch を使用すると、大量の情報を含む大きなファイルが表示されるため、UCS で LDAP サーバが実行されていることはわかっていますが、それがどの LDAP サーバであるかはわかりません。私はkerberos v5、slapd、pam(おそらく)を持っているので、SSOとユーザー認証のためのすべてです。

彼らが持ちたいのはこれです:

--> ユーザーがコンピュータを起動すると、どこからでもログイン/パスワードで接続できます。

--> ホーム ディレクトリは、メイン ユーザーのコンピューターにのみ配置する必要があります。(したがって、どこからでも接続できるという事実は、イントラネット内のデータにアクセスするためのものです)

--> イントラネット内のすべてのデバイス (ユーザーに許可されている) に SSO でアクセスできます。


今私は知っている :

 how to add a user / group. UCS is very user friendly for that, 

 that an LDAP server is running on UCS.

 that I have samba but i'm pretty sure I can do it without using it. 

知らない :

 how to set up the authentication at startup (nsss doesn't want to install on UCS and the documentation from UCS using PAM don't take missing files inside UCS -_- ...),

 Which LDAP server is running (not an openldap (no directory from them.)) 

 If it's possible to create (ONLY) if it's not the main user computer, an empty home directory and how.

誰かがこの技術に精通しているかどうかはわかりませんが、多くの点が欠けている「RTFD」よりも「チュートリアルが必要」のようなものであることを願っています。

私は異種ネットワークを持たないことを明記したいと思います。すべてのコンピューターは Linux ベースです。

誰かが私を助けることができるなら、お願いします、私は 1 つのスタートアップ接続をしようとして一日を過ごしました... (ブラウザから接続できますが、パスワードを変更するだけです。そして、中央認証が本当に必要です)。

前もって感謝します、

よろしく。

4

1 に答える 1

-1

黒蝶さん、こんにちは。

私は Univention で働いており、UCS は非常に用途が広いため、ほぼすべてのボックスを接続できることを知っています。

UCS には、密接に接続された OpenLDAP と Kerberos が付属しています (そして、PAM スタックでさえ、最終的に Kerberos を使用します)。知っておくべき重要な部分は、OpenLDAP がポート 7389 (StartTLS を使用した LDAP) および 7636 (LDAPS) で実行されていることです。Samba/AD はオプションであり、Windows( のような) クライアントを使用している場合にのみ必要です。しかし、あなたは Linux ボックスしか持っていないと言ったので、Samba/AD は必要ありません。

ここで、Linux/Unix のようなクライアントを UCS に接続する場合は、次のことを行う必要があります。 1. UCS LDAP/管理システムでクライアントのコンピュータ オブジェクトを作成します。そのための webmodule があります: http://docs.software-univention.de/manual-4.1.html#computers::hostaccounts 2. クライアントを構成します: - UCS をネームサーバーとして使用します - UCS をタイムサーバーとして使用します - LDAP クライアントを構成しますUCS を LDAP ディレクトリ サーバーとして使用する - UCS を KDC/Kerberos レルムとして使用するように Kerberos クライアントを構成する - NSS や SSSD などのある種の ID/グループ キャッシングおよびブリッジ ソフトウェアを使用する

残念ながら、すべての Linux ディストリビューションは、核心的な詳細に関して異なる動作をします。Ubuntu でこれを行う方法についての簡単なチュートリアルがあります - ほとんどがコピー & ペーストです: http://docs.software-univention.de/domain-4.1.html#ext-dom-ubuntu どの Linux ディストリビューションを使用していますか? Linux クライアントの組織で? 知っていればもっと良いアドバイスができるかもしれません。

ホーム ディレクトリについて: 「ローミング プロファイル」や共有ホーム ディレクトリが不要であることは正しく理解できていますか? それがデフォルトです。

さらにアドバイスが必要な場合は、いつでも Univention フォーラムを参照することもできます。

于 2016-04-21T07:54:31.403 に答える