UMnieDziala.pl

Sytuacja dość prosta:trzeba dodać obraz knoppixa v.5.1.1.CD do RIS-a. Tym razem z obrazem płyty znajdującym się na serwerze NFS. Niby wszystko działa, postępuje dokładnie tak samo jak przy konfiguracji z obrazem z SMB. Teoretycznie powinno być nawet prościej, jako ze NFS jest standardowo wbudowany w większość dystrybucji. Okazuje się jednak, że w plik miniroot.gz ze strony Manty wbudowanej obsługi NFS nie ma..

Zaraz, zaraz, ja to już kiedyś robiłem. Knoppix ma do tego jakieś sprytne narzędzie do konfiguracji. Chwila googlowania i już. Okazuje się, że najprostszym i najlogiczniejszym poleceniem tworzącym od nowa plik miniroot.gz jest /etc/init.d/knoppix-terminalserver. Wita nas miłym, graficznym kreatorem, gdzie możemy pokazać, które sterowniki kart sieciowych mają być wbudowane w plik oraz tworzy strukturę katalogu /tftproot, którą w prosty sposób można skopiować do katalogu templates RiSa.

Przez dłuższy okres czasu na Linuxach używalismy winbinda do pozyskiwania informacji w linuxach o grupach i użytkownikach. Później przeszliśmy na nss_ldap, ale niestety nss_ldap nie rozwiązywał grup zagnieżdżonych, a dodatkowo wywalał się, gdy w grupie było duzo kont (tzn. więcej niz 1000), a niektóre grupy liczyły powyżej 3000 wpisów. Na szczęście w wersji 2.5.3 w końcu zadziałał parametr --with-ngroups i w końcu zadziałały grupy zagnieżdżone.

Problemem niestety dalej pozostaje nieobecność primaryGroup - tzn. grupa istnieje, ale użytkownicy nie są do niej przypisywani. Wszyscy użytkownicy w domenie, którą mają przypisaną jako primary group Domain Users. Listy dyskusyjne są tworzone z grup AD, więc jak ktoś chciał wysłać wiadomość do wszystkich, to niestety nie miał jak tego zrobić. Rozwiązaniem okazało się utworzenie nowej grupy dystrybucyjnej i dodanie do niej wszystkich głównych grup w domenie tj. studenci, pracownicy.

Innym problemem była konieczność wpisywaniana sztywno nazwy użytkownika i hasła potrzebnego do bindowania do AD w konfigu z możliwością odczytu przez każdego zalogowanego użytkownika. Udało się nam to obejść poprzez uruchomienie nscd, korzystanie z wpisu rootbinddn i ukrytego przed użytkownikami pliku ldap.secret z zapisanym hasłem. Takie rozwiązanie jednak nie pozwala użytkownikowi korzystać z poleceń typu finger lub id, przekazuje bowiem użytkownikowi tylko informację o uid-ach i gui-dach. Jako że użytkownicy są uwierzytelniani za pomocą pam_krb, po zalogowaniu mają bilet kerberosowy i mogą korzystać z SASLa z mechanizmem GSSAPI, a nss_ldap obsługuje te mechanizmy.

Poniżej parę zrzutów z działających konfiguracji:

przełączniki kompilacji do wersji 2.5.3
./configure --enable-rfc2307bis --enable-paged-results --with-ngroups=4000 --enable-mssfu-schema

plik ldap.conf
host lsd.pjwstk.edu.pl
base dc=pjwstk,dc=edu,dc=pl
rootbinddn XXXXXXXXX@pjwstk.edu.pl

use_sasl on
SASL_MECH GSSAPI
SASL_SECPROPS maxssf=0

nss_schema rfc2307bis
scope sub

nss_base_passwd ou=pracownicy,dc=pjwstk,dc=edu,dc=pl?sub
nss_base_passwd ou=studenci,dc=pjwstk,dc=edu,dc=pl?sub

nss_base_shadow ou=pracownicy,dc=pjwstk,dc=edu,dc=pl?sub
nss_base_shadow ou=studenci,dc=pjwstk,dc=edu,dc=pl?sub

nss_base_group ou=pracownicy,dc=pjwstk,dc=edu,dc=pl?sub
nss_base_group ou=studenci,dc=pjwstk,dc=edu,dc=pl?sub
nss_base_group cn=Users,dc=pjwstk,dc=edu,dc=pl?one

nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup Group

nss_map_attribute uid sAMAccountName
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_attribute gecos displayName
nss_map_attribute uniqueMember member
nss_map_attribute cn cn

pagesize 4000

nss_reconnect_tries 3
nss_reconnect_sleeptime 2
nss_reconnect_maxsleeptime 5
nss_reconnect_maxconntries 10

plik hosts
10.1.1.1 lsd.pjwstk.edu.pl. ldap.pjwstk.edu.pl pjwstk.edu.pl heroina.pjwstk.edu.pl kokaina.pjwstk.edu.pl thc.pjwstk.edu.pl mdma.pjwstk.edu.pl
10.1.1.1 thc pjwstk kokaina heroina mdma lsd ldap
10.1.1.1 forestDNSzones.pjwstk.edu.pl domainDNSzones.pjwstk.edu.pl
10.1.1.1 forestDNSzones domainDNSzones

plik krb5
[libdefaults]
default_realm = PJWSTK.EDU.PL
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

[realms]
PJWSTK.EDU.PL = {
kdc = 10.1.1.10
kdc = 10.1.1.1
kdc = 10.1.1.2
admin_server = 10.1.1.10
}

[domain_realm]
.pjwstk.edu.pl = PJWSTK.EDU.PL
pjwstk.edu.pl = PJWSTK.EDU.PL

[login]
krb4_convert = true
krb4_get_tickets = true

potrzbene paczki w debianie
do kompilacji: gcc g++ make
inne: libldap2 libldap2-dev libkrb5-dev

Po długiej walce z keytabami w końcu okazało się, że narzędzie do tworzenia keytabów, czyli ktpass w W2k3SP1 po prostu nie działa. Na szczęście firma css-security napisala program (css_adkadmin), który może być bezpośrednio wykorzystywany z poziomu Linuxa i który radzi sobie z generacją kont w AD dla hostów i usług linuxowych, a także z wyciąganiem keytabów. Co ciekawe, Microsoft w dokumencie "Windows Security and Directory Services Guide for Unix v1.0" w ogóle nie wspomina o ktpass, polecając tylko css_adkadmin.

Korzystanie z programu jest w miarę miłe, trzeba mieć tylko wcześniej skonfigurowanego kerberosa i mieć ticket na użytkownika, który ma uprawnienia do zakładania kont w AD (ew. można jawnie podać nazwę użytkownika i hasło). Jedynym zgrzytem jest to, że keytaby są domyślnie generowane z encrypcją RC4 (która jest domyślna dla W2k3) zamiast DES-a (domyślnego dla W2k i wcześniejszych i kompatybilnego z Linuxami), co wymusza stosowanie flagi +desonly w opcji ank.

  Pstryku wpadł na pomysł zeby wrzucić linuxa na RISa. Po krótkim 3h googlowaniu wyszło na to że da się to zrobić. I wyszło jeszcze jedno - RIS odpala wszystkie opcje z menu systemów jako obrazy pxe - oznacza to że można wyrzucić RISa i odpalać instalki tylko za pomocą tftp, ew. że można go zostawić i wrzucić obrazy innych systemów wykorzystujących pxe.
 Powracjąc do tematu postanowiliśmy zainstalować KNOPPIXA.Pełen opis instalacji po angielsku znajduję się na stronie http://knoppix.manty.net/.
Ja zrobiłem tak(korzystając z KNOPPIXA 3.8.1):

1. Zgrałem całą zawartość CD do katalogu(ew. można  tylko katalog KNOPPIX z plikiem KNOPPIX).
2. Utworzyłem katalogi w katalogach obrazu RISa - KNOPPIX\i386\templates\pxelinux.cfg.
3. Z katalogu boot\isolinux zgrałem kernela - czyli plik linux do katalogu KNOPPIX\i386\templates.
4. Dorzuciłem do KNOPPIX\i386\templates zmodyfikowany initrd - można sciągnąć ze strony http://knoppix.manty.net/.
5. Zassałem PXELinuxa (linuxLoader dla pxe) - można sciągnąć z http://syslinux.zytor.com/pxe.php.
6. Z PXELinuxa przekopiowałem plik pxelinux.0 do katalogu KNOPPIX\i386\templates.
7. W katalogu KNOPPIX\i386\templates\pxelinux.cfg utworzyłem plik default o następującej zawartości:

display whatever.txt
default knoppix
prompt 1
timeout 1
LABEL knoppix
KERNEL linux
APPEND secure nfsdir=//10.2.2.30/knoppix lang=en ramdisk_size=100000 init=/etc/init apm=power-off nomce vga=791 initrd=miniroot.gz quiet BOOT_IMAGE=knoppix

8. W katalogu templates plik pselinux.sif o zawartości:

[OSChooser]
 Description = "Knoppix netrun"
 Help = "Knoopix terminal from cifs."
 LaunchFile = "Setup\English\Images\pxelinux\i386\templates\pxelinux.0"
 ImageType = Flat
 Version="1.01"

 I już - linux się odpala :). Duży problem może stanowic jednak montowanie share z katalogiem cdromu. Rozwiązanie tego problemu zajeło mi 12h, z czego 2h spęddziliśmy razem z Pstrykiem. Wnioski: share musi być anonimowy - tzn. musmy mieć odblokowane konto gościa, zmienić w polisach możliwość logowania się użytkowników sieciowych, włączyć shary sieciowe, dodać share do anonimowych, włączyć przechodzenie uprawnień everyone na anonymous - i spróbować z innego linuxa podpiąć się poleceniem mount.cifs. U nas na nieszczęście mount.smbfs działało bez problemu, a mount.cifs już nie - przyczyna  - złe przechodzenie polis które wyłączyło usawienia zezwalające logować się użytkowników sieciowym.

  Status instalacji WinXP działa na GX270, W2k GX100, KNOPPIX wszędzie, SYMANTEC GHOST na wybranych stacjach (tzn. bez gigabitowych LOM - a przynajmniej nie na GX270, bo na D600 tak).