Ticket #576 (closed Fehler: Offen)
Handling von Maschinenaccounts beim Imaging
| Reported by: | tschmitt | Owned by: | tschmitt |
|---|---|---|---|
| Priority: | major | Milestone: | 5.1.0 |
| Component: | LINBO | Version: | |
| Keywords: | Domänenbeitritt | Cc: |
Description
Beim Domänenbeitritt handeln Windows-PC und Sambaserver ein eindeutiges Passwort für den Maschinenaccount aus. Das Passwort wird clientseitig in der Registry und serverseitig im LDAP-Maschinenaccount verschlüsselt gespeichert. Stimmen die Passwörter nicht überein, kann man sich mit dem Client nicht an der Domäne anmelden.
Für das Imaging entsteht dadurch das Problem, dass nach dem Domänenbeitritt des Masters und vor der Imageerzeugung dessen Maschinenpasswort clientseitig mit einem Third-Party-Tool und serverseitig mit Bordmitteln auf einen bestimmten Wert zurückgesetzt werden muss, damit sichergestellt ist, dass sich alle Clients, die mit dem Image bespielt werden, auch an der Domäne anmelden können (siehe LINBO-Domaenenbeitritt).
Diese Methode ist umständlich und führt oft zu Fehlern.
Change History
comment:1 Changed 4 months ago by tschmitt
- Owner set to tschmitt
- Status changed from new to accepted
comment:2 Changed 4 months ago by tschmitt
Lösung mit LINBO/paedML-Bordmitteln
Damit alle mit einem bestimmten Image bespielten Clients sich an der Domäne anmelden können, reicht es aus, wenn der Hashwert des sambaNTPassword-Attributs ihres LDAP-Maschinenaccounts identisch ist mit demjenigen des Masters, der der Domäne beigetreten ist und von dem das Image erzeugt wurde.
Folgendermaßen kann das umgesetzt werden:
- Der sambaNTPassword-Hash des Master-Maschinenaccounts wird im Zuge des Image-Uploads per rsync-Skript (rsync-post-upload.sh) in eine LDIF-Datei <Imagename>.macct (z.B. win7.cloop.macct) im LINBO-Verzeichnis gesichert.
- Die LDIF-Datei enthält die uid des Accounts als Platzhalter, z.B.:
dn: uid=@@compname@@$,ou=machines,dc=paedml-linux,dc=lokal changetype: modify replace: sambaNTPassword sambaNTPassword: 0979FAFB95F6701F8BA0607FF5E621E1 -
- Synchronisiert nun ein Client mit diesem Image, fordert LINBO - nach dem Sync und vor dem Registrypatch - per rsync-Download die Datei <Imagename>.macct vom Server an.
- Damit wird auf dem Server das Skript rsync-pre-download.sh gestartet, das die dem Image zugehörige macct-Datei mit dem Rechnernamen patcht und per ldapmodify den sambaNTPassword-Hash im entsprechenden LDAP-Maschinenaccount ändert.
- Der solcherart gesyncte Rechner kann sich dann an der Samba-Domäne anmelden.
comment:3 Changed 4 months ago by tschmitt
So umgesetzt in linuxmuster-linbo 2.0.6-0, Details siehe r1271.
comment:4 follow-up: ↓ 5 Changed 2 months ago by tschmitt
- Status changed from accepted to closed
- Resolution set to Offen
comment:5 in reply to: ↑ 4 Changed 2 months ago by tschmitt
Siehe auch Vereinfachte Vorgehensweise beim Domänenbeitritt.
