15 Jahre GNU+Linux auf dem Unternehmensdesktop

Vortragender

Paul Hänsch
Freiberuflicher IT-Berater seit ca. 2012

Triggerwarnung

Triggerwarnung

Dieser Vortrag enthält Meinungen!

ja, man kann Dinge auch anders machen
vielleicht mache ich sie später auch noch anders

Demo: Nicht-Grafischer Boot

Motivation Für den Vortrag

Eigentlich wollte ein Kollege darüber schreiben

Domainumgebung

"Das geht nur unter Windows"

Wie macht Windoze das?

1. Auf Dateien zugreifen

→ Fileserver
- SMB / CIFS
- NFS
- SSHFS

Was noch?

2. Benutzerlogins

→ PAM

→ Clients müssen das wissen!

Alle Clients!

Irgendwas Fehlt noch...

3. "Directory-Service" (aka. "Verzeichnis-Dienst")

UID-Mappings

Zusätzliche Benutzerdaten (Klarname, Heimverzeichnis, Login-Shell)

Gruppenzugehörigkeiten!

Technische Implementierung

Vergleich Windoof-Domäne:
- Active-Directory + CIFS
= LDAP + Kerberos + Samba

Passwortspeicher

/etc/shadow / LDAP / NIS / (htpasswd) Nutzen kompatible Passwortformate beim Speichern

Kerberos (Heimdal, MIT) / Samba Nutzen eigene Speicherformate
- technisch bedingt wg. CRAM-Authentifizierung

→ Hohe "Kosten" bei Experimenten (User müssen ihr PW neu eingeben)

→ Zwei redundante Passwortdatenbanken können divergieren

Passwortspeicher: Kerberos

Die Theorie

Benutzer erhalten beim Login ein "TGT"

Alle Dienste (Dateien, Verzeichnis, Web-Apps) Authentisieren den Benutzer über ein Service-Ticket

→ Vorteil: Das User-Passwort berührt niemals die Netzwerkdienste

→ Läuft ein Netzwerkdienst "Amok", kann er nicht die Credentials sammeln um andere Dienste zu beeinflussen.

Passwortspeicher: Kerberos

Die Praxis

Wie setzt man Kerberos für Applikation $XY auf?

Applikation soll auch außerhalb des Realms genutzt werden (private Laptops)
- Doch wieder Passworte!

Fallback-Methode:
- Die Applikation fragt das User-Passwort ab, holt sich das TGT, fertich!
- → Verwirft alle Versprechen und Vorteile von Kerberos
- → Behält aber allen Mehraufwand

Passwortspeicher: Kerberos

Die Praxis

Wie ändern Benutzer an der Client-Maschine ihr eigenes Passwort
- Wait, what!?

Passwortspeicher: Kerberos

Die Praxis

Inkompatibel mit /etc/shadow-Passworten

→ Technikänderung involviert Benutzer = wenig Raum für Expreimente

Redundante Passwortspeicher
- → Mögliche Divergenz wenn Dienste temporär offline sind

Alternativ: auf Shadow-Passworte verzichten

Macht das Basissystem abhängig von laufendem Kerberos-Daemon

→ Nope!

Fazit Kerberos

Im Prinzip kann man das schon machen...

Manche Betriebe machen das...

M$ macht es ja auch...
- aber nur noch widerwillig (siehe Cloud-AD, usw.)

Erfüllt eigentlich nicht alle Versprechen und Erwartungen

LDAP

Enthält die gleichen Informationen wie passwd/group/shadow

→ Einträge können Problemlos übernommen werden

Alles wird ein bisschen Komplizierter

Endlos lange User- u. Gruppen-Principals

fehlendes Tooling um mal eben Schnell...
- Gruppeneinträge anzulegen
- Passworte Zurückzusetzen
- etc.
  - shelldap ist OK

LDAP-Schema WTF!?

Fazit LDAP

Tut was es tun soll

Keine herausragenden Vorteile

Kann man das nicht einfacher haben?

NIS

Arkane Sun-Microsystems 80er-Jahre-Technik

Exportiert passwd, group u. ggf. shadow ins Netzwerk

Bitteschön. Dankeschön. Mehr wollte ich doch auch nicht!

zzgl. rpcportmap rolleyes

Die Clientsysteme

Wie war das noch gleich

Benutzerlogins
- → PAM
- → Clients müssen das wissen!
  - Alle Clients!

Clientkonfiguration

Die Klassische Lösung

Configmanagement für die Clientsysteme

Alternativ

Es gibt nur ein Clientsystem
- → PXE-Boot

PXE-Boot

dnsmasq regelt

Root-Filesystem via nfs

~~nfs~~ nbd

NFS / NBD

Vorteil NFS: Änderungen im Verzeichnis sind direkt am Client sichtbar
Nachteil NFS: Änderungen im Verzeichnis sind direkt am Client sichtbar

NBD

Client-Image muss "gebacken" werden

Client-Image im Betrieb austauschbar

Server braucht keine Root-Rechte

(Copy-on-Write pro Client)

Heimverzeichnisse

Sollen Unix-Benutzerrechte ordentlich darstellen können

NFS: Zugriffsrechte werden nur Clientseitig durchgesetzt

Samba: SMB1, ~~SMB2~~, ~~SMB3~~, SMB4

SSHFS (allerdings: keine Gerätedateien / Sockets / Fifos)

pam-mount verifiziert das Benutzerpasswort

Gruppenverzeichnisse

Client versucht beim Login alle Gruppenverzeichnisse zu mounten

→ Erfolg hängt von Berechtigungen ab

Achtung: verschiedene Benutzer pro Client möglich

SGID-Bit auf dem Gruppenverzeichnis

+ cronjob mit chgrp

Automatisierung

~~Puppet~~
~~Salt~~
GNU Make

Automatisierung

Remoteuser

Früher

Mitarbeiterinnen sollen von eigenen Geräten von remote zugreifen können

→ VPN-Lösung: PPTP, weil vorinstalliert in Windows

Laminierte VPN-Kärtchen mit Zugangsdaten

Remoteuser

Heute

Mitarbeiter bekommen eigene Notebooks

Lokaler Account mit root-Rechten

VPN-Einwahl via SSH
- SSH-Keys können bei Bedarf deaktiviert werden

kein automatischer Abgleich von Arbeitsdaten

Standorte

1 Server pro Standort

Via VPN verbunden, aber in verschiedenen IP-Netzen

Verzeichnisdienst wird auf Standortserver repliziert

→ Weitestgehend Betriebsfähig wenn VPN ausfällt

Heimverzeichnisse synchronisiert via unison

Hardware

Server, Workstations, Notebooks werden immer refurbished gekauft

aktuell zwischen 4GB u. 16GB RAM

Datenträger in Workstations bleiben ungenutzt

BIOS-Einstellungen f. PXE-Boot

Root-Server

Corona 2020: irgendwas mit Video

Distribution (aka. Download)

Live-Streaming (One-to-many)

Gruppenchat (Many-to-many)

→ Server blieb zunächst ungenutzt

Root-Server

2022: können wir mal irgendwo eine Nextcloud hinlegen?

Nextcloud-installationen für mehrere Vereine und Betriebe

→ Aufteilung in virtuelle Maschienen (systemd-nspawn)

→ gleichzeitig Hardwaredowngrade

Mittlerweile auch Web-Hosting

Planung für die Zukunft

~~Hesiod~~

libnss-extrausers

Mailinglisten

Mailhosting