Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung
Vorhergehende Überarbeitung
satellite:ad_wizard [2020/11/30 17:43 CET] – +feddisch chrsatellite:ad_wizard [2020/12/07 15:22 CET] (aktuell) chr
Zeile 1: Zeile 1:
 ====== Active Directory-Authentifizierung ====== ====== Active Directory-Authentifizierung ======
  
-===== Wizard =====+{{ :satellite:handbuch:wizards:02_systemkonfiguration_modul_hinzufuegen_ad.png?450|}}Zur vereinfachten Einrichtung der Authentifizierung mittels Active Directory steht ein Wizard((Wizard: Einrichtungshilfe zur geführten Einrichtung, hier einer Konfiguration.)) zur Verfügung. Sie erreichen ihn durch Klick auf das blaue „+Hinzufügen“-Symbol rechts neben der Anzeige „Active Directory-Authentifizierung.“
  
-{{ :satellite:handbuch:wizards:02_systemkonfiguration_modul_hinzufuegen_ad.png?450|}}Zur vereinfachten Einrichtung der Authentifizierung mittels Active Directory steht ein Wizard((Wizard: Einrichtungshilfe zur geführten Einrichtung, hier einer Konfiguration.)) zur Verfügung. Sie ereichen ihn durch Klick auf das blaue „+Hinzufügen“-Symbol rechts neben der Anzeige „Active Directory-Authentifizierung.“ +===== Serverangaben =====
- +
-==== Serverangaben ====+
  
 {{ :satellite:handbuch:wizards:04_serverangaben.png?300|}}Neben der Adresse des AD-Servers wird ein Benutzer ohne besondere Rechte benötigt, über den das Active Directory (AD) angesprochen werden kann. Sie können dieser Benutzerkennung sicherheitshalber die Rechte zur Anmeldung entziehen; er muss nur einen LDAP-Bind ausführen und nach anderen Nutzern suchen können. Ansonsten sollte er wich nur in derselben Domäne wie anmeldende Nutzende befinden. Ebenso sollte Ihnen die zur Anfrage notwendige Suchbasis bekannt sein. {{ :satellite:handbuch:wizards:04_serverangaben.png?300|}}Neben der Adresse des AD-Servers wird ein Benutzer ohne besondere Rechte benötigt, über den das Active Directory (AD) angesprochen werden kann. Sie können dieser Benutzerkennung sicherheitshalber die Rechte zur Anmeldung entziehen; er muss nur einen LDAP-Bind ausführen und nach anderen Nutzern suchen können. Ansonsten sollte er wich nur in derselben Domäne wie anmeldende Nutzende befinden. Ebenso sollte Ihnen die zur Anfrage notwendige Suchbasis bekannt sein.
Zeile 25: Zeile 23:
  
 Zusätzlich stehen Ihnen weitere ja/nein-Optionen zur Verfügung: Zusätzlich stehen Ihnen weitere ja/nein-Optionen zur Verfügung:
-  * uid-Nummern generieren: Der satellitenserver generiert selbst numerische IDs für Nutzer, anstatt diese aus dem LDAP zu extrahieren. Wenn aktiviert, generiert der Satellitenserver nummerische IDs für die Benutzer, anstatt diese aus dem LDAP/AD zu extrahieren.+  * uid-Nummern generieren: Der satellitenserver generiert selbst numerische IDs für Nutzer, anstatt diese aus dem LDAP/AD zu extrahieren.
   * Numerischen Account-Namen muss ein 's' vorangestellt werden: Gewisse ältere Login-Manager (KDM) können nicht mit nur aus Ziffern bestehenden Accountnamen umgehen. Bei Aktivierung muss beim Login mit Ziffern-Username ein „s“ vorangestellt werden. Die Option hat keine Auswirkung, falls keine numerischen Namen verwendet werden.   * Numerischen Account-Namen muss ein 's' vorangestellt werden: Gewisse ältere Login-Manager (KDM) können nicht mit nur aus Ziffern bestehenden Accountnamen umgehen. Bei Aktivierung muss beim Login mit Ziffern-Username ein „s“ vorangestellt werden. Die Option hat keine Auswirkung, falls keine numerischen Namen verwendet werden.
   * SSL: SSL-gesicherte Verbindung zwischen Satellitenserver (Proxy). Die Verbindung zwischen Client und Proxy wird in jedem Fall mit SSL abgewickelt.   * SSL: SSL-gesicherte Verbindung zwischen Satellitenserver (Proxy). Die Verbindung zwischen Client und Proxy wird in jedem Fall mit SSL abgewickelt.
  
-Eventuell zur Validierung zusätzlich erforderliche (Intermediate-)Zertifikate können Sie einfach in das untenstehende gleichbenannte Textfeld einkopieren.+Eventuell zur Validierung zusätzlich erforderliche (Intermediate-)**Zertifikate** können Sie einfach in das untenstehende gleichbenannte Textfeld einkopieren.
  
  
-=== Attribute anpassen ===+==== Attribute anpassen ====
  
 {{ :satellite:handbuch:wizards:04a_serverangaben_aufklappteil.png?300|}}Per Klick auf die Schaltfläche „Attribute anpassen“ können die Standardwerte einiger Attribute überschrieben werden, falls Sie beispielsweise 'cn' oder 'userPrincipalName' anstelle 'sAMAccountName' verwenden wollen, der Netzlaufwerkspfad des Users nicht in 'homeDirectory' gespeichert ist usw.  {{ :satellite:handbuch:wizards:04a_serverangaben_aufklappteil.png?300|}}Per Klick auf die Schaltfläche „Attribute anpassen“ können die Standardwerte einiger Attribute überschrieben werden, falls Sie beispielsweise 'cn' oder 'userPrincipalName' anstelle 'sAMAccountName' verwenden wollen, der Netzlaufwerkspfad des Users nicht in 'homeDirectory' gespeichert ist usw. 
Zeile 41: Zeile 39:
  
  
-==== Verbindungsprüfung ====+===== Verbindungsprüfung =====
  
 {{ :satellite:handbuch:wizards:05_testquery.png?300|}}{{ :satellite:handbuch:wizards:05_pruefe_verbindung.png?300|}}Nach Klick auf „Weiter“ wird zuerst versucht, eine Verbindung zum Server aufzubauen. Bitte achten Sie auf eventuell ausgegebene Problemmeldungen. Bei fehlgeschlagener Validierung des Serverzertifikates wird der Fingerprint des Zertifikates zur Validierung benutzt. Beachten Sie auch, daß dieses Verfahren nicht genutzt werden kann, wenn ein Loadbalancer eingesetzt wird und die dahinterliegenden Server unterschiedliche Zertifikate aufweisen. {{ :satellite:handbuch:wizards:05_testquery.png?300|}}{{ :satellite:handbuch:wizards:05_pruefe_verbindung.png?300|}}Nach Klick auf „Weiter“ wird zuerst versucht, eine Verbindung zum Server aufzubauen. Bitte achten Sie auf eventuell ausgegebene Problemmeldungen. Bei fehlgeschlagener Validierung des Serverzertifikates wird der Fingerprint des Zertifikates zur Validierung benutzt. Beachten Sie auch, daß dieses Verfahren nicht genutzt werden kann, wenn ein Loadbalancer eingesetzt wird und die dahinterliegenden Server unterschiedliche Zertifikate aufweisen.
Zeile 50: Zeile 48:
  
  
-==== Weitere Angaben ====+===== Weitere Angaben =====
  
 {{ :satellite:handbuch:wizards:07_optionen.png?300|}}Abschließend können eingige weitere Einstellungen konfiguriert werden: {{ :satellite:handbuch:wizards:07_optionen.png?300|}}Abschließend können eingige weitere Einstellungen konfiguriert werden:
  
-=== Startskript-Credentials ===+==== Startskript-Credentials ====
  
   * „Zugangsdaten des Nutzers an Startskript der Veranstaltung übergeben“: Wenn aktiviert, wird Username und Passwort des angemeldeten Users an das Startskript der userseitig gewählten Veranstaltung übergeben (Anwendung siehe [[client:bwlehrpool-suite#startskript|hier]]). Dies ermöglicht die geskriptete, automatisierte Nutzung weiterer Dienste ohne erneute Eingabe der Credentials.    * „Zugangsdaten des Nutzers an Startskript der Veranstaltung übergeben“: Wenn aktiviert, wird Username und Passwort des angemeldeten Users an das Startskript der userseitig gewählten Veranstaltung übergeben (Anwendung siehe [[client:bwlehrpool-suite#startskript|hier]]). Dies ermöglicht die geskriptete, automatisierte Nutzung weiterer Dienste ohne erneute Eingabe der Credentials. 
Zeile 60: Zeile 58:
 <note important>Die Nutzung dieser Option kann nur empfohlen werden, wenn Sie der Personengruppe, die Veranstaltungen bearbeiten kann, Vertrauen entgegenbringen!</note> <note important>Die Nutzung dieser Option kann nur empfohlen werden, wenn Sie der Personengruppe, die Veranstaltungen bearbeiten kann, Vertrauen entgegenbringen!</note>
  
-=== Einbindung Homeverzeichnis ===+==== Einbindung Homeverzeichnis ====
  
 Diese Einstellungen legen fest, wie Netzwerklaufwerke inkl. des UserHomeverzeichnisses an bzw. in Virtuelle Maschinen durchgereicht werden. In älteren bwLehrpool-Versionen wurde dazu die Funktionalität der VMWare-„shared folders“ eingesetzt; dies führte jedoch bei einigen Dateiservern zu Problemen. Der empfohlene „Native Modus“ funktioniert deutlich besser, benötigt jedoch für Windows-VMs smb/cifs als Netzwerkdateisystem und die Einbindung der openslx.exe [[client:neue_vm_anlegen#registry|womöglich im Autostart]] sowie unter Linux die Verwendung der Linux-Dienstskripte. In den bwLehrpool-Vorlagen sind in der Regel openslx.exe bzw. die Linuxskripte vorinstalliert und eingebunden. Diese Einstellungen legen fest, wie Netzwerklaufwerke inkl. des UserHomeverzeichnisses an bzw. in Virtuelle Maschinen durchgereicht werden. In älteren bwLehrpool-Versionen wurde dazu die Funktionalität der VMWare-„shared folders“ eingesetzt; dies führte jedoch bei einigen Dateiservern zu Problemen. Der empfohlene „Native Modus“ funktioniert deutlich besser, benötigt jedoch für Windows-VMs smb/cifs als Netzwerkdateisystem und die Einbindung der openslx.exe [[client:neue_vm_anlegen#registry|womöglich im Autostart]] sowie unter Linux die Verwendung der Linux-Dienstskripte. In den bwLehrpool-Vorlagen sind in der Regel openslx.exe bzw. die Linuxskripte vorinstalliert und eingebunden.
  
-=== Domänenname ===+==== Domänenname ====
  
 Der im Normalfall automatisch ermittelte Domänenname läßt sich hier überschreiben. Der im Normalfall automatisch ermittelte Domänenname läßt sich hier überschreiben.
  
-=== Laufwerksbuchstabe ===+==== Laufwerksbuchstabe ====
  
 … gibt den in Windows-VMs verwendeten Laufwerksbuchstaben wieder, unter dem das Home-Netzwerkverzeichnis eingebunden wird (Vorgabe: H). Sollte der angegebene Laufwerksbuchstabe innerhalb der VM nicht verfügbar sein, wird auf einen anderen ausgewichen. … gibt den in Windows-VMs verwendeten Laufwerksbuchstaben wieder, unter dem das Home-Netzwerkverzeichnis eingebunden wird (Vorgabe: H). Sollte der angegebene Laufwerksbuchstabe innerhalb der VM nicht verfügbar sein, wird auf einen anderen ausgewichen.
  
-=== Mount-Optionen ===+==== Mount-Optionen ====
  
 Folgende Einstellungen kommen nur bei Linuxsystemen sowohl im MiniLinux als auch in VMs zum Tragen: Folgende Einstellungen kommen nur bei Linuxsystemen sowohl im MiniLinux als auch in VMs zum Tragen:
Zeile 82: Zeile 80:
 Wenn beide Felder leer sind werden verschiedene Optionen automatisch durchprobiert. Wenn beide Felder leer sind werden verschiedene Optionen automatisch durchprobiert.
  
-=== Kein Homeverzeichnis eingebunden ===+==== Kein Homeverzeichnis eingebunden ====
  
 Die standardmäßig erfolgende Warnmeldung an Nutzende, wenn kein Netzwerkhomeverzeichnis innerhalb der VM erfolgen konnte, kann hier deaktiviert werden. Die standardmäßig erfolgende Warnmeldung an Nutzende, wenn kein Netzwerkhomeverzeichnis innerhalb der VM erfolgen konnte, kann hier deaktiviert werden.
  
-=== Folder Redirection ===+==== Folder Redirection ====
  
 Experimentelle Funktion, biegt nach Start der VM die hier ausgewählten Verzeichnisse auf das Netzwerkhome des angemeldeten Nutzers um. Da hierbei undokumentierte Windowseinstellungen zur Laufzeit umgebogen werden, kann zukünftiges Funktionieren unter neuen Windowsversionen bzw. nach Updates nicht garantiert werden. Wir empfehlen, falls nötig diese Verzeichnisse auf den oben vorgegebenen Home-Laufwerksbuchstaben zu konfigurieren. Experimentelle Funktion, biegt nach Start der VM die hier ausgewählten Verzeichnisse auf das Netzwerkhome des angemeldeten Nutzers um. Da hierbei undokumentierte Windowseinstellungen zur Laufzeit umgebogen werden, kann zukünftiges Funktionieren unter neuen Windowsversionen bzw. nach Updates nicht garantiert werden. Wir empfehlen, falls nötig diese Verzeichnisse auf den oben vorgegebenen Home-Laufwerksbuchstaben zu konfigurieren.
  
-==== Endbestätigung ====+===== Endbestätigung =====
  
 {{ :satellite:handbuch:wizards:12_modul_ende.png?400|}}Das war's. {{ :satellite:handbuch:wizards:12_modul_ende.png?400|}}Das war's.
Zeile 97: Zeile 95:
  
  
 +
 +([[satellitenserver_erstkonfiguration#systemkonfiguration_auswaehlen|zurück zur Systemkonfiguration]])
Drucken/exportieren