Integrating a Ubuntu 18.04 notebook into freeipa

Since an while I started using freeipa as my central authentication service. (Not yet fully transitioned).
To benefit not only from a centralized place to store and change credentials (Passwords, One-Time-Pads, Keys) but so Single-Sign-On the (mobile) desktop must be integrated too.

Install and configure freeipa

For the ipa-client I followed mostly this howto. With admin credentials execute sudo apt-get install freeipa-client
Make sure, your DNS reursor can resolv DNS-Entries inside your IPA-Domain and the hostname is a fully qualified domain name (fqdn).

After that, you should be able to install the freeipa-client by executing sudo ipa-client-install –mkhomedir –server=ipaserver.domain.name –domain domain.name and answer if you want to continue with yes.
Later there is a ipa-user needed, that is able to enrol new computer, that’s it.

Implement the small „mkhomedir-bugfix“:

Name: activate mkhomedir 
Default: yes Priority: 900
Session-Type: Additional
Session: required
pam_mkhomedir.so umask=0022 skel=/etc/skel

in the file /usr/share/pam-configs/mkhomedir and then execute pam-auth-update and enable mkhomedir.

Also make sure that the file /etc/nsswitch.conf contains the following lines:

passwd:         compat sss
group: compat sss

After a reboot, you should be able to login with any ipa-user that the ipa rules allow. If the username is an already existing local user, delete the local user and chown the data to the „new“ user before login in.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Kommentare deaktiviert für Integrating a Ubuntu 18.04 notebook into freeipa

Installing Debian on a Qnap TS-253A

I was a bit unhappy with the Qnap QTS-System on my TS-253A, but still like the hardware (upgraded to 8GB memory).
I thought more than once if I could simply install Debian on that box, but could not find any hints (only for other models), but was afraid that the NAS might be locked down.

A few days ago I decided to try it, and it was really simple:

  • Put the Netinstall image on a usb pendrive
  • Connected a Keyboard, a display (hdmi) and internet access over wired ethernet to the TS-253A
  • Entered the Bios and booted from the pendrive
  • Everything else went as smooth like every other box. I used the 512MB DOM for the /boot partition.

System is running now with KVM/libvirt and the first two local VMs (router/firewall and one for the cnc machine), more to come 😀

Veröffentlicht unter Allgemein | Verschlagwortet mit , , , | Kommentare deaktiviert für Installing Debian on a Qnap TS-253A

Preview of the next topics

I just wanted to give you an idea, what topics are expected in the (near) future.

I stared renovating my „IT-infrastructure“, so some posts will come from that direction, but most posts I expect will come from my new working corner. I wanted to do more hardware stuff, so I had a nice shopping spree and bought myself a small set of cheap test equipment (Rigol and Siglent), a cheap cnc machine (mainly for isolation milling, fast prototypes), an anycubic i3 3d printer and a soldering station.
So I guess there will be some posts how I set up the stuff, how I connect it to my Linux machines and later how my first hardware/microcontroller projects will work.

Veröffentlicht unter Allgemein | Verschlagwortet mit | Kommentare deaktiviert für Preview of the next topics

Updates

I want to announce two changes:

  • I „deprecate“ the Radkarte. I use it only seldom for myself in the last two years, so there is no development and the bugs are open waaaaay to long. Since building the maps is automated, I will generate new releases every week until there is some „major problem“ or someone who wants to become the maintainer.
  • I removed the language selection. Since I felt the need to translate everything, that prevented me from publishing some smaller bits. In the future I’ll post in english or german, as I like (or I think it’s best for the „audience“).

Zwei Änderungen:

  • Ich werde bei der Radkarte keine neuen Änderungen vornehmen. Solange es funktioniert, gibt es jedoch weiter die wöchentlichen Aktualisierungen. Falls einer übernehmen möchte, bitte Melden.
  • Gibt keine Auswahl zwischen Deutsch und Englisch mehr, einfach in Zukunft in der mir gerade passend erscheinenden Sprache.
Veröffentlicht unter Allgemein | Verschlagwortet mit , | 5 Kommentare

Debian 9/stretch als freeipa client

Freeipa ist eine bequeme Möglichkeit im Linux/Unix-Umfeld eine zentrale Verwaltung von Benutzer und Zugriffsrechte mittels Kerberos, LDAP und Zertifikatsmanagement zu realisieren.
Da es jedoch unter Debian noch nicht den freeipa-client gibt (wie bei Centos/Fedora/Ubuntu), der die Einrichtung übernimmt, muss etwas mehr selber Hand angelegt werden.

Voraussetzungen

  • Der Hostname sollte den vollständigen Domainnamen enthalten, und der Domainname sollte der/einer der von freeipa verwalteten Domains sein.
  • Die DNS-Server die von freeipa verwaltet werden sollten genutzt werden

Installation:

Nach der folgenden [Anleitung](https://arstechnica.com/civis/viewtopic.php?t=1163042)

Auf den freeipa-Server

kinit admin
ipa host-add --ip-address=IP-des-neues-Clients hostnamen-mit-fqdn
ipa host-add-managedby --hosts=ipa.server.domain hostnamen-mit-fqdn
ipa-getkeytab -s ipa.server.domain -p host/ hostnamen-mit-fqdn -k /tmp/name.keytab

Bei weiteren IP-Adressen (z.B. IPv4 und IPv6), kann die im Webinterface bei den Zonen ergänzt werden.

Admin

Kopieren der Datei in /tmp vom ipa-Server beim client nach /etc/krb5.keytab

Auf dem neuen Client

aptitude install sssd krb5-user
Dabei falls nicht automatisch erkannt den REALM richtig eingeben.

Die beiden folgenden Zeilen in der /etc/ssh/sshd.conf einfügen für die automatische Verteilung der SSH-Keys:

AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys
AuthorizedKeysCommandUser nobody

Optional auch Login über Kerberos ermöglichen indem man GSSAPIAuthentication ermöglicht

Die /etc/krb5.conf kontrollieren, sollte grob wie folgt aussehen (mit NAME = Kerberos-Realm):

[libdefaults]
canonicalize = true
default_realm = NAME
dns_lookup_realm = false
dns_lookup_kdc = true
rdns = false
ticket_lifetime = 24h
forwardable = true
udp_preference_limit = 0
default_ccache_name = KEYRING:persistent:%{uid}

[realms]
NAME = {
kdc = freeipa.server.domain:88
master_kdc = freeipa.server.domain:88
admin_server = freeipa.server.domain:749
default_domain = name
}

[domain_realm]
.name = NAME
name = NAME
name = NAME

[dbmodules]
NAME = {
db_library = ipadb.so
}

die /etc/sssd/sssd.conf sollte etwa so aussehen:

[sssd]
services = sudo, nss, pam, ssh
domains = auth.doppelgrau.de
config_file_version = 2
#debug_level = 7

[domain/name]
#debug_level = 0x07F0
cache_credentials = True
krb5_store_password_if_offline = True
ipa_domain = name
id_provider = ipa
auth_provider = ipa
access_provider = ipa
chpass_provider = ipa
ipa_server = ipa.server.domain

[nss]
memcache_timeout = 600
homedir_substring = /home

[pam]
#debug_level = 7

[sudo]
#debug_level = 7

[ssh]

chmod 600 /etc/sssd/sssd.conf ausführen

Für automatische homedirs: aptitude install libpam-mkhomedir
Die Datei /usr/share/pam-configs/mkhomedir mit folgenden Inhalt anlegen

Name: Create home directory during login
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel

pam-auth-update ausführen

Danach am einfachsten reboot, damit alles sicher übernommen wird.

Veröffentlicht unter Allgemein | Verschlagwortet mit , , | Kommentare deaktiviert für Debian 9/stretch als freeipa client

Radkarte: Updates

After I received some error reports, I updated the used programs (spliter and mkgmap). Hope that helps. The maps are still generated every week.

Veröffentlicht unter Allgemein | Verschlagwortet mit | Kommentare deaktiviert für Radkarte: Updates