Installationshandbuch:DebianLinux

Aus Arktur
Version vom 2. Januar 2006, 17:39 Uhr von Schoffer (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche
Nach Meinung des Autors ist diese Seite fertig. Es wäre schön, wenn ausgiebige Tests durch viele Nutzer eventuell noch vorhandene Fehler beseitigen helfen.


Clients mit Debian-Linux und Knoppix

Überlegungen und Ziele

Ziel dieses Abschnittes ist es, Clients mit dem Betriebssystem Debian-Linux bzw. Knoppix an den Arktur-Schulserver anzubinden. Leider unterscheidet sich die Installation von Debian-Linux grundsätzlich von SuSE-Linux, weswegen hier eine zusätzliche Installationsanleitung notwendig wurde. Diese Anleitung wurde wenige Male (aber erfolgreich) mit Debian-Linux, aber erst einmal (aber auch erfolgreich) mit Knoppix getestet.

Erklärt werden die Useranmeldung über LDAP, Einbinden von /homes per NFS und dir Problematik der group-IDs.

Kurz zur Frage: Warum Debian? Es ist eindeutig schwieriger zu installieren als SuSE, Knoppix oder Ubuntu. Es belohnt allerdings mit einer enormen Stabilität sowie Einfachheit in der Softwareinstallation und -verwaltung.

Problem der Installation: Obwohl die Installation als Client von Arktur nicht schwieriger als sonst ist, gibt es für den lokalen Rechner Sicherheitsprobleme. Näheres dazu unter: Probleme und Lösungsversuche.

LDAP installieren

Es wird hier davon ausgegangen, dass Sie (mindestens) ein minimales Debian-Linux installiert haben, so dass eine Netzwerkverbindung zu Arktur besteht. Installieren Sie nun das Paket libnss-ldap mit

aptitude install libnss-ldap
oder
apt-get install libnss-ldap

Sollten Sie das Paket schon installiert haben oder die Konfiguration wiederholen müssen, können Sie die folgende Zeile eingeben:

dpkg-reconfigure libnss-ldap

Nun müssen Sie folgende Eintragungen tätigen: LDAP-Server Host-Adresse

192.168.0.1

DN (distinguished name) der Suchbasis

dc=Domänenname_von_Arktur_bis_zum_ersten_Punkt,c=de

Welche LDAP-Version soll genutzt werden?

3

Datenbank benötigt Login

Nein

Konfiguration nur für den Eigentümer les-/schreibbar machen

Nein

Benutzeranmeldung per LDAP

Damit der Debian-Client auch wirklich die Anmeldung über Arktur macht, müssen noch einige Konfigurationsdateien angepasst werden. Ändern Sie die angegebene Datei folgendermaßen ab:

 /etc/nsswitch.conf:
 -----------------------------
 # /etc/nsswitch.conf
 passwd:         compat ldap
 group:          compat ldap
 shadow:         compat ldap

 hosts:          files dns
 networks:       files

 protocols:      db files
 services:       db files
 ethers:         db files
 rpc:            db files

 netgroup:       nis

In den folgenden Dateien spielt die Reihenfolge der Zeilen eine wichtige Rolle. Außerdem ist zu beachten, dass in den schon vorhandenen Zeilen das Wort sufficient eingesetzt werden muss. Tauchen Merkwürdigkeiten beim Anmelden auf (X startet nicht, weil user gdm nicht existiert; Passwort soll zweimal eingegeben werden; ...), liegt das meist an vertauschten Zeilen.

/etc/pam.d/common-account:
-----------------------------
account sufficient      pam_ldap.so
account sufficient      pam_unix.so
/etc/pam.d/common-auth:
-----------------------------
auth    sufficient      pam_ldap.so
auth    sufficient      pam_unix.so nullok_secure
/etc/pam.d/common-password
-----------------------------
password   sufficient   pam_unix.so nullok obscure min=4 max=8 md5
password   sufficient   pam_ldap.so
/etc/pam.d/common-session
-----------------------------
session sufficient      pam_ldap.so
session sufficient      pam_unix.so

Diese Änderungen werden ohne Neustart sofort übernommen. Der erste Test sollte aber erst nach der NFS-Konfiguration erfolgen.


Einbinden von /homes per NFS

Damit auf dem Client auch auf homes, tmp und pub zugegriffen werden kann, sind nur geringe Änderungen erforderlich. Die Datei /etc/fstab wird nur um einen Eintrag erweitert:

192.168.0.1:/home       /home   nfs     defaults  0  0

Hat man lokale User eingerichtet und möchte, dass das auch so bleibt, muss jetzt zunächst der Abschnitt Probleme und Lösungsversuche abgearbeitet werden!

Haben Sie keine lokalen User eingerichtet (Vorsicht: Debian macht das während der Installation, ohne dass Sie sich dagegen wehren können!), müsste "/home" leer sein, sodass mit dem Befehl

mount /home

alle Verzeichnisse sofort eingebunden werden. Notfalls kann man mit

deluser NAME
rm -R /home/NAME

den Benutzer NAME auch vorher noch vollständig aus dem System entfernen. Das Einbinden von /home geschieht ab jetzt bei jedem Neustart des Systems automatisch. Der Debian-Client ist nun bereit zur Arbeit im Netz.


Probleme und Lösungsversuche

Die aufgeführten Lösungsversuche sind eher unter alpha einzustufen! Das System funktioniert auch ohne deren Anwendung!


Schlecht gewählte group-IDs

Debian hält sich bei der Vergabe der group-IDs leider nicht an die LSB (Linux Standard Base), so dass ein Lehrer beispielsweise nun statt in der Gruppe Lehrer in der Gruppe crontab landet. Sind alle Benutzer friedlich (oder hinreichend unwissend), ist das kein Problem. Das kann aber insofern problematisch sein, als ein User durch diesen Umstand in den Besitz von Rechten kommt, die er nicht haben sollte!

Daher kann man auf die folgende Art und Weise versuchen, das Problem zu beheben: Alle Gruppennummern ab 100 sollten geändert werden:

Vorher bitte ein Backup der Datei anlegen ! (cp /etc/group /etc/group.alt)

/etc/group
-----------------------------
...
users:x:200:
crontab:x:201:
Debian-exim:x:202:
ssh:x:203:
lpadmin:x:204:
messagebus:x:205:
dirmngr:x:206:
hal:x:207:
camera:x:208:
scanner:x:209:
saned:x:210:
gdm:x:211:
snort:x:212:
mysql:x:213:

Lokale Benutzer

In diesem Abschnitt werden Vor- und Nachbereitungen dafür getroffen, dass lokale IDs und Verzeichnisse nicht mit denen von LDAP und NFS kollidieren.

Sollten schon lokale Benutzer angelegt worden sein, so müssen die GIDs der jeweiligen Nutzer in der Datei /etc/passwd korrigiert werden. (Spätestens hier ist das Backup group.alt sehr gut zu gebrauchen!)

In der Datei /etc/adduser.conf stehen Vorgaben für das Anlegen neuer User. Sie sollte bei Verwendung von lokalen Benutzern ebenfalls angepasst werden, um zukünftige Überschneidungen zu vermeiden:

DHOME=/home-local
FIRST_SYSTEM_UID=0
LAST_SYSTEM_UID=99
FIRST_SYSTEM_GID=0
LAST_SYSTEM_GID=99
FIRST_UID=500
LAST_UID=999
FIRST_GID=500
LAST_GID=999
USERS_GID=200


In der Datei /etc/passwd steht, wie das Benutzerverzeichnis eines lokalen Benutzers heißt. Hier müssen alle Einträge der Form /home/heinz (falls der Benutzer heinz heißt) in /home-local/heinz geändert werden.
Danach muss das Verzeichnis /home mittels

mv /home /home-local

umbenannt werden.

adduser.conf
-----------------------------
DHOME=/home-local

Danach wird ein neues Verzeichnis /home erstellt:

mkdir /home

Zum Schluss wird in die fstab der schon beschriebene Eintrag geschrieben. Nach einem Neustart des Rechners sollte alles funktionieren.



zurück | Hauptseite
Meine Werkzeuge
Namensräume

Varianten
Aktionen
Navigation
Dokumentation
Entwicklung
Werkzeuge