Anbindung an die LDAP-Infrastruktur des RRZE

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

In der folgenden Liste finden Sie Hilfestellungen zur Anbindung von selbstverwalteten Systemen an die LDAP-Infrastruktur des RRZE.

LDAP-Anbindung für Rechner mit SSSD
Diese Anleitung beschreibt das Anlegen eines Hosteintrags zum Zugriff auf die RRZE LDAP-Server für einen selbstverwalteten Rechner und die Installation und Konfiguration des SSSD zur Benutzerauthentifizierung unter Ubuntu.

LDAP-Anbindung generischer Systeme
Diese Anleitung beschreibt allgemein die Infrastruktur der RRZE LDAP-Server, um ggf eine Anbindung von eigenen Softwarepaketen realisieren zu können

LDAP-Gruppen
Diese Anleitung beschreibt wie Sie automatisch befüllte oder manuell gepflegte Gruppen für Ihre Zwecke in den LDAP-Servern des RRZE bereitstellen lassen können

Dokumentation für selbstverwaltete Systeme

In der folgenden Liste finden Sie Hilfestellungen zur Anbindung von selbstverwalteten Systemen an die RRZE-Infrastruktur.

rrzelinux Kommandozeileninterface (CLI) (nur für IT-Betreuer) – derzeit Überführung in Produktivbetrieb
Diese Anleitung beschreibt die Installation des rrzelinux Kommandozeileninterfaces für Administratoren nicht vom RRZE verwalteter Rechner. Dies ermöglicht es Ihnen beliebige Rechner unterhalb Ihrer DNS Domain in Eigenverantwortung an die RRZE-Infrastruktur (z. B. LDAP/Kerberos) anzubinden.

Nutzung des RRZE Ubuntu FTP-Mirrors
Diese Anleitung beschreibt die Konfiguration des RRZE Ubuntu FTP-Mirrors in einem Ubuntu System.

FAU-CA Zertifikat einbinden
Diese Anleitung beschreibt die Installation der FAU-CA Zertifikatskette in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der FAU-CA ausgestellt wurden vertraut.

AutoFS
Kurze Einführung und empfohlene Standardkonfiguration mit Beispielen

Lokale Firewall mit IP-Tables
Einrichten einer lokalen Firewall mit IP-Tables

Paketverwaltung mit apt
Pakete installieren, aktualisieren, von der Aktualisierung ausschließen, deinstallieren und das System sauber halten

Ubuntu Release Upgrade

Die Nachfolgende Anleitung beschreibt wie man ein Release Upgrade einer Ubuntu LTS Distribution durchführt.

Vorbereitung

Zunächst muss das System auf dem aktuellen Stand gebracht werden:

bash$ sudo apt update && apt dist-upgrade

Nachdem alle Pakete samt Kernel aktualisiert sind, ist ein Neustart des Systems notwendig:

bash$ sudo reboot

Durchführen des Release Upgrades

Es gibt zwei Möglichkeiten ein Release Upgrade durchzuführen:

- Interactive

bash$ sudo do-release-upgrade

Beim Ändern von Konfigurationsdateien durch den Updater wird immer eine interaktive Eingabe benötigt.

- Non-Interactive

bash$ sudo do-release-upgrade -f DistUpgradeViewNonInteractive

Das Ändern von Konfigurationsdateien erfolgt automatisch. Es wird immer die Default-Option genutzt, wenn eine Eingabe notwendig ist.

Erfahrungsgemäß funktioniert die Non-Interactive Variante gut. Wenn gewünscht wird, dass ohne Nachfragen das Release Upgrade bis zum Ende durchläuft ist diese Variante zu wählen. Falls aber eine genaue Anzeige und Nachfrage bei Änderungen gewünscht wird, sollte die Interactive Variante gewählt werden.

Falls das Kommando do-release-upgrade nicht gefunden wird, muss das Paket ubuntu-release-upgrader-core installiert werden.

bash$ sudo apt install ubuntu-release-upgrader-core

Troubleshooting

Falls der Release Upgrader abbricht liegt dies meistens an externen Ubuntu PPAs die händisch hinzugefügt wurden. Wenn dieses Problem auftritt, sollten alle PPAs unter /etc/apt/sources.list.d/ die händisch eingefügt wurden vor dem Release Upgrade deaktiviert werden. Detaillierte Loginformationen zum Release-Upgrade sind unter /var/log/dist-upgrade/main.log zu finden.

Nacharbeiten

Nachdem das Release Upgrade durchgeführt wurde ist ein Neustart des Systems Notwendig:

bash$ sudo reboot

Nun kann geprüft werden, ob die nächsthöhere LTS Distribution installiert ist:

bash$ lsb_release -a

Anpassen der händisch eingefügten PPAs

Für alle händisch eingefügten Pakdt Repositiories unter /etc/apt/sources.list.d/ sind unter Umständen die URLs anzupassen.

Falls beim Aufruf des Highstates nicht alle States erfolgreich durchgeführt werden bitte an die Linux-Gruppe wenden.

Fehler LVMs bei Ubuntu 20.04

Falls folgende Fehlermeldung kommt:

File descriptor 3 (pipe:[326242]) leaked on vgs invocation. Parent PID 24734: grub-install
  WARNING: PV /dev/sda1 in VG system is using an old PV header, modify the VG to update.
File descriptor 3 (pipe:[326242]) leaked on vgs invocation. Parent PID 24734: grub-install
  WARNING: PV /dev/sda1 in VG system is using an old PV header, modify the VG to update.
grub-install: error: cannot find a GRUB drive for /dev/disk/by-id/cciss-3600508b1001036363520202020200002.  Check your device.map.
dpkg: error processing package grub-pc (--configure):
 installed grub-pc package post-installation script subprocess returned error exit status 1
Errors were encountered while processing:
 grub-pc

Sind folgende Schritte notwendig:

bash$ sudo vgck --update-metadata system

bash$ sudo apt upgrade

Beim letzten Befehl muss dann das richtige Volume gewählt werden (im Normalfall /dev/sda0).

Dokumentation für vom RRZE betreute Systeme

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Betreiber und Nutzer von Systemen bestimmt, die vom RRZE betreut werden.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

Dokumentation für vom RRZE betreute CIP-Pools
Wie können weitere Nutzer Zugriff auf die Systeme erhalten, Software verteilt werden, Kommandos auf allen Rechnern abgesetzt werden, …

System Monitoring/Alerting (aktuell nur für Systeme im Server-Hosting verfügbar!)
Überwachen (Monitoring) und Benachrichtigung (Alerting) für betreute Systeme und Dienste

LDAP-Gruppen

Das RRZE stellt LDAP-Server zur Authentifizierung von Linux-Systemen, die von IT-Betreuern in Eigenverantwortung genutzt werden können (siehe auch Installation des rrzelinux CLI Tools). Um ebenfalls eine sinnvolle Autorisierung basierend auf Gruppenmitgliedschaften nutzen zu können, bietet das RRZE die Möglichkeit Gruppen nach Ihren Vorgaben einzurichten und zu befüllen (automatisch oder manuell).

Weitere Informationen zu diesem Thema enthält auch der passende BI-Artikel unter
https://www.rrze.fau.de/2020/01/rechteverwaltung-im-idm-grueppchenbildung-leicht-gemacht/.

Beantragung

Neue Gruppen oder Änderungen bestehender Gruppen können von einem IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) per E-Mail an rrze-linux@fau.de beantragt werden.

Neue Präfixe sind per Mail an praefix@fau.de zu beantragen.

Bitte senden Sie zur Beantragung einer neuen Gruppe immer die folgenden Angaben mit:

Gruppenname nach Namensschema
Regelwerk zur Befüllung der Gruppe
Zu aktivierende Zielsysteme — Windows (FAUAD) und/oder Linux (linuxldap)

Wir werden Ihre Anfrage dann schnellstmöglich bearbeiten.
Genauere Erläuterungen zu den einzelnen Punkten finden Sie in den folgenden Abschnitten.

Um die Übersicht für IT-Betreuer an dieser Stelle zu verbessern, ist bereits eine Weboberfläche in Erprobung, um die bestehenden Gruppen samt Regelwerken sichtbar zu machen. Es ist ebenfalls geplant schreibenden Zugriff zu ermöglichen.
Als IT-Betreuer können Sie sich mit Ihrer IdM-Kennung an unserem IT-Serviceportal anmelden und zumindest die read-only Funktionalität bereits testen.

Beispiele/Vorlagen

Hier werden kurz einige E-Mail-Beispiele aufgeführt, die Sie gerne als Vorlage verwenden können, um eine neue Gruppe oder Änderungen an einer bestehenden Gruppe an uns zu übermitteln.

Gruppe für alle Beschäftigten an Einrichtung/Präfix XYZ (Windows+Linux)

Gruppenname: xyz_employee
Regel zu Befüllung: 
    - Nutzergruppe: "Beschäftigte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows, Linux

Gruppe für alle Hilfskräfte an Einrichtung/Präfix XYZ (nur Windows)

Gruppenname: xyz_assistant
Regel zu Befüllung: 
    - Nutzertypen: 
        - "Studentische Hilfskräfte" 
        - "Wissenschaftliche Hilfskräfte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows

Gruppe für Whitelist zusammen mit OrgEinheit (nur Linux)

Gruppenname: xyz_project_x
Regel zu Befüllung: 
    - Whitelist: abcdefg, hijklmn, opqrst, uvwxyz
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Linux

1.Name

Alle Gruppennamen müssen der Bildungsregel [PRÄFIX]_[GRUPPENNAME] folgen.

Präfixe

Es handelt sich dabei um dieselben Präfixe, die auch zur Bildung von E-Mail-Adressen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.

Nur in dieser Form beim RRZE beantragte und genehmigte Präfixe sind zur Anlage von Gruppen verwendbar.

Sollten Sie noch kein Präfix besitzen, das zur Verwaltung Ihrer Gruppen verwendet werden kann, muss dieses noch per Mail an praefix@fau.de beantragt werden.

Gruppenname

Der Namensteil kann grundsätzlich frei gewählt werden, unterliegt aber folgenden Einschränkungen

Die Gesamtlänge (Präfix + ‚_‘ + Gruppenname) darf 80 Zeichen nicht überschreiten
Es dürfen keine Leer- oder Sonderzeichen verwendet werden
Sonderzeichen sind: * \ $ ! \* ' " & ( ) \[ ] { } / # + = : ; | < > ? , ä ö ü (Umlaute), ß (scharfes s)

Gruppennamen sind jederzeit änderbar.
Die Attribute gidNumber und Windows SID werden sich bei einer Umbenennung nicht ändern.

3.Regelwerk

Das Regelwerk bestimmt, welche Kennungen der Gruppe hinzugefügt werden sollen.
Die Auswertung der hinterlegten Regeln wird durch unser IdM-System im Hintergrund erledigt und Ihre Gruppenmitgliedschaften somit automatisch aktuell gehalten.

Grundsätzlich können auch komplexe Regelwerke hinterlegt werden, in der Praxis lassen sich die meisten Anforderungen aber mit wenigen Bausteinen abdecken.
Im Folgenden werden einige der am häufigsten verwendeten Bausteine kurz vorgestellt.

Sollten Sie komplexere Anforderungen haben, besprechen Sie diese gerne mit uns persönlich oder stellen Sie Ihre Frage per E-Mail an rrze-linux@fau.de.

Organisationseinheiten

Ein grundlegender Baustein betrifft die Einschränkung auf Personen mit einer Zugehörigkeit zu Ihrer Organisationseinheit.

Gemeint ist hier letztendlich die FAU.org Nummer Ihrer Organisationseinheit (siehe auch https://www.rrze.fau.de/medien-entwicklung/daten-systemintegration/fau-org/). Manchmal wird als Synonym auch „Kostenstelle“ verwendet (obwohl das nicht ganz dasselbe ist).

Am besten ist es uns direkt Ihre FAU.org Nummer zu nennen, falls Sie diese kennen.

Normalerweise können wir auch über den Namen Ihrer Einrichtung an der FAU selbst herausfinden, wie die entsprechende FAU.org Nummer lautet.
Falls Sie sicher gehen möchten nennen Sie uns am besten beides:

Einrichtungsname und
FAU.org Nummer (falls bekannt)

Da die Organisationsstruktur an der FAU hierarchisch organisiert ist, ist es zudem wichtig anzugeben, ob jeweils die exakte Organisationseinheit oder auch alle darunter gemeint sind.

Nutzergruppen/-typen

Nach Festlegung der Organisationseinheit ist eigentlich immer eine zusätzliche Einschränkung auf einen bestimmten Personenkreis gewünscht, um beispielsweise Gruppen mit allen Mitarbeitern oder den Hilfskräften zu erstellen.

Bitte beachten Sie dazu die Übersicht der verfügbaren Nutzergruppen/Nutzertypen unter
https://www.idm.fau.de/dsms/docs/affiliations

Beachten Sie bitte die Unterscheidung zwischen Nutzergruppe (grob) und Nutzertyp (fein).

Spezialfall: Studierende

Mitglieder der Nutzergruppe „Studierende“ sind im FAU.org-Baum der Einheit „(90 00 00 00 00) Studierende“ zugeordnet.
Falls Sie eine Gruppe mit Studierenden erstellen möchten, ist eine Filterung derzeit meist nur auf Studiengänge möglich.

Kontaktieren Sie uns in jedem Fall gerne mit Ihrem Anliegen (rrze-linux@fau.de), damit wir Sie entsprechend beraten können und eine Lösung finden.

Whitelists

Hier können Sie uns eine Liste von Kennungen geben, die wir einfach als Mitglieder der Gruppe eintragen.
Das ist die unschönste Variante, da hier ständige manuelle Pflege erforderlich ist, aber manchmal lässt sich wohl nicht vermeiden.

Verknüpfen Sie die Whitelist mit zusätzlichen Kriterien, wie der Organisationseinheit und/oder den Nutzergruppen/-typen, so werden Kennungen wenigstens trotzdem automatisch aus der Gruppe entfernt, sobald beispielsweise ein Mitarbeiter Ihre Einrichtung verlässt.

Da es leider noch keine Möglichkeit gibt, als „IT-Betreuer“ die Whitelist selbst pflegen zu können, müssen Sie uns Änderungen per E-Mail an rrze-linux@fau.de mitteilen. Alle Änderungen werden dann gewöhnlich binnen einer Stunde von uns eingepflegt.

3.Zielsysteme

Alle Gruppen werden zentral in unserem IdM-System verwaltet und nach den jeweilig verknüpften Regelwerken befüllt. Das Ergebnis dieser Berechnung wird dann in den ausgewählten Zielsystemen aktualisiert.

Als Zielsysteme stehen Ihnen aktuell

die FAUAD für Windows-Systeme (ActiveDirectory) und
der LINUXLDAP für Linux-Systeme (OpenLDAP)

zur Auswahl.

Die Provisionierung der Gruppen kann nach Ihren Vorgaben in beide Zielsystem oder auch nur in ein Zielsystem erfolgen.
Diese Einstellung kann jederzeit angepasst werden.

Bitte beachten Sie, dass ein Deaktivieren und späteres Reaktivieren des Zielsystems FAUAD zur Neuanlage der Gruppe führt, wobei sich die Windows SID ändert.

RRZE-Chat

Abschaltung

Der Linux-Chat wird zum 20.12.2022 abgeschaltet.

Das RRZE stellt eine auf XMPP basierende Chatlösung bereit, die zur FAU-internen Kommunikation genutzt werden kann.

Es handelt sich hierbei nicht um eine offizielle Dienstleistung! Es besteht kein Versorgungsanspruch.

Zur Authentifizierung wird die Verwendung von Kerberos empfohlen, da viele verbreitete XMPP-Clients Passwörter im Klartext ablegen und daher ein Sicherheitsrisiko darstellen.
Für eine Liste möglicher Chat-Clients siehe Abschnitt „Empfohlene Clients„.

Als Alternative zur lokalen Installation kann auch der Web-Chat unter https://www.linux.rrze.fau.de/chat genutzt werden.
Anmeldung am Web-Chat muss mit den IdM-Zugangsdaten erfolgen.

Voraussetzungen

Soweit bekannt funktioniert der Kerberos Login nur mit Linux Installationen.
Für Windows-Nutzer wird der Web-Chat unter https://www.linux.rrze.fau.de/chat empfohlen.
Alternativ kann auch das „Windows Credentials“ Plugin für Pidgin verwendet werden.

Authentifizierung mit Kerberos — empfohlen!

Voraussetzung für die Nutzung der Kerberos-Authentifizierung ist eine funktionierende Grundkonfiguration von Kerberos für Ihr System. Falls noch nicht geschehen führen Sie bitte die entsprechenden Einrichtungsschritte wie beschrieben durch bevor Sie dieser Anleitung weiter folgen.

Falls Sie der Grundkonfiguration von Kerberos gefolgt sind und ihr Domain-Realm Mapping per Default auf LINUX.FAU.DE zeigt müssen Sie nichts weiter tun.

Für den Fall einer abweichenden Konfiguration stellen Sie sicher das folgendes Mapping existiert:linux-chat.rrze.fau.de ---map-to-realm---> LINUX.FAU.DE

Zertifikatscheck (FAU-CA)

Ggf. werden Sie aufgefordert dem Zertifikat des Chat-Servers zu vertrauen.
Entweder Sie prüfen die Informationen des präsentierten Zertifikats manuell oder folgen der Anleitung FAU-CA Zertifikat einbinden, um das FAU-CA-Zertifikat systemweit als vertrauenswürdig einzubinden.

DNS-Cache

Um eine evtl. ungültige DNS-Konfiguration aus dem lokalen Cache zu entfernen, sollte dieser zur Sicherheit noch geleert werden.

bash$ systemd-resolve --flush-caches

Pakete für Ubuntu 16.04/18.04

# PIDGIN
bash$ sudo apt-get -y install pidgin libsasl2-modules-gssapi-mit

# GAJIM
bash$ sudo apt-get install gajim python3-kerberos

Konfiguration

Einrichtung von System und Chat-Client.

XMPP-Client Einstellungen

Die Einstellungen für den XMPP-Client sind wie folgt vorzunehmen:

Protocol	XMPP
Username	[IdM-Benutzername]
Domain	linux-chat.rrze.fau.de
Ressource	[frei wählbar, z.B. rrze, workstation, laptop, home, …] Die Ressource bezeichnet das Gerät, von dem aus die Verbindung aufgebaut wird.
Conference-Server	conference.linux-chat.rrze.fau.de

Weitere Einstellungen sind für den Zugriff aus den FAU-Netzen nicht nötig.

Insbesondere ein evtl. vorhandenes Feld für ein Passwort muss für die Kerberos-Authentifizierung leer gelassen werden!

Für den Zugriff von außerhalb der FAU muss abweichend von der XMPP-Domain linux-chat.rrze.fau.de der Zugangsserver linux.rrze.fau.de (Port 5222) gesetzt werden. Hier ist momentan noch kein Zugang mittels Kerberos möglich.

Gruppen-Chats

Über Gruppen-Chats (sog. Multi-User-Chats oder kurz MUCs) können sich zwei oder mehr Personen austauschen.

Service: conference.linux-chat.rrze.fau.de

Gruppenchats können von jedem erstellt werden. Dazu einfach dem gewünschten Chat mit dem Chat-Client „joinen“ und ggf. die Einstellungen anpassen.

Persistente Chats bleiben bestehen (inkl. History).
Temporäre Chats werden automatisch wieder vom Server entfernt sobald der letzte Benutzer den Chat verlässt.

Kontaktlisten / Contact List (Roster) Sharing

Kontaktlisten werden — zumindest teilweise — vom Server vorgegeben (evtl. erlauben Clients auch das manuelle Pflegen von Einträgen).

Manuelle Kontaktlisten können Sie nach belieben lokal in Ihrem Chatclient pflegen. Achten Sie beim hinzufügen von Kontakten allerdings darauf immer die vollständige JID zu verwenden. Diese ist folgendermaßen aufgebaut: ${IDM-Benutzername}@linux-chat.rrze.fau.de

Serverseitige Kontaktlisten werden ausschließlich auf Basis von bestehenden Linux-Gruppen eingerichtet, die über die IdM-Gruppenverwaltung angelegt wurden.
Die Mitglieder der Kontaktliste werden entsprechend automatisch synchronisiert.

Damit nicht jeder jeden „sehen“ kann bzw. um eine gewisse Einteilung vorzugeben, können Kontaktlisten anhand von Gruppenzugehörigkeiten in unserem LDAP automatisch gepflegt werden.

Beispielsweise haben wir eine Kontaktliste „rrze_employee“ die auf der gleichnamigen LDAP-Gruppe basiert.
So können alle RRZE-Mitarbeiter sich gegenseitig leicht finden bzw. „sehen“.

Haben Sie bereits eine Gruppe, die Sie als Kontaktliste freischalten lassen möchten, so schreiben Sie bitte Ihr Anliegen mit Gruppennamen an rrze-linux@fau.de.

Paralleles Login mit mehreren Clients

Die parallele Nutzung mehrerer Chat-Clients wird unterstützt, sofern jeder Client eine eigene Ressource verwendet (siehe „XMPP-Client Einstellungen“) .
Die „Ressource“ bezeichnet dabei das Endgerät/den Standort oder Einsatzzweck des Clients und kann prinzipiell frei gewählt werden. Viele Clients wählen auch eine zufallsgenerierte Ressource.

Um das Ziel einer Nachricht eindeutig zu bestimmen, bildet der Server eine Zieladresse in der Form
Benutzername@Domain/Resource

Erfolgt ein Login auf eine bereits angemeldete Ressource, so wird die bestehende Verbindung getrennt.

Empfohlene Clients

Hier eine kleine Liste von Anwendungen, die wir zumindest schon einmal selbst getestet haben.
Kein Anspruch auf Vollständigkeit oder Funktionalität.

Mobile: Apple/iOS

Monal (https://monal.im/)

Mobile: Android

Conversations (https://conversations.im/)
~~Pix-Art Messenger (https://jabber.pix-art.de/)~~
Blabber.im (https://blabber.im/ – Nachfolger von Pix-Art Messenger)

Desktop: Apple/Mac OS

Adium (https://adium.im/)

Desktop: Linux

Gajim (https://gajim.org) — bringt von Haus aus mehr Features mit und ist etwas moderner als Pidgin, gut in Gnome integriert
Pidgin (https://pidgin.im/) — Klassiker, durch Plugins leicht erweiterbar
- vorkompilierte Plugin-Sammlung für Linux: pidgin-plugins-linux-2.12.tar.xz
  (einfach Dateien nach ~/.purple/plugins entpacken, benötigt Pidgin 2.12)
- enthält Support für
  - XEP-0363: HTTP File Upload (jabber_http_file_upload.so, Quelle: https://github.com/Junker/purple-xmpp-http-upload)
  - XEP-0280: Message Carbos (carbons-0.2.2.so, Quelle: https://github.com/gkdr/carbons)
  - XEP-0184: Message Receipts (xmpp-receipts.so, Quelle: https://app.assembla.com/spaces/pidgin-xmpp-receipts/documents)
  - XEP-0384: OMEMO Encryption (lurch.so, Quelle: https://github.com/gkdr/lurch)

Desktop: Windows

Gajim (https://gajim.org) — kein Kerberos Support
Pidgin (https://pidgin.im/) — kein Kerberos Support

Spezielle Server-Einstellungen

Hier werden einige spezielle Einstellungen des Chat-Servers dokumentiert, die evtl. auch bei der Nutzung zu beachten sind.

Zustellung von Nachrichten an alle angemeldeten Ressourcen

Entgegen dem Standard-Verhalten wurde der Server so konfiguriert, dass Nachrichten an einen Benutzer immer an alle angemeldeten Clients des Benutzers (Ressourcen) weitergeleitet werden. Auf diese weise kann eine Synchronisation der Chat-Verläufe auf allen parallel angemeldeten Clients erreicht werden.

Diese Einstellung ignoriert evtl. vergebene Prioritäten auf die angemeldeten Ressourcen, mit Ausnahme von „-1“ (keine Zustellung).

(Referenz: route.all-resources/route.really-all-resources)

Supportete XMPP-Features

Das XMP-Protokoll besitzt zahlreiche Erweiterungen, welche nicht von allen Clients unterstützt werden.
Für Interessierte sind hier einige Informationen über die wichtigsten Erweiterungen zusammengetragen, welche auch von unserem Chat-Server unterstützt werden.

Der Web-Chat unter https://www.linux.rrze.fau.de/chat unterstützt alle aufgeführten Erweiterungen.

XEP-0363: HTTP File Upload

Unterstützt für das Hochladen von Dateien auf den Server und liefert einen Link zum erneuten Download der Datei.
Dies ist vor allem deshalb praktisch, da der oder die Empfänger der Datei nicht zum Zeitpunkt des Versendens online sein muss. Der Chatverlauf wird nach Upload der Datei einen Link enthalten unter dem diese auch zu einem späteren Zeitpunkt wieder heruntergeladen werden kann.

Derzeit ist der Upload von Dateien auf eine Größe von maximal 25MB beschränkt.
Die Dateien werden gelöscht, sobald der Speicherplatz zur neige geht oder der Chat-Server neu gestartet wird.

Siehe auch https://xmpp.org/extensions/xep-0363.html

——————–

Aktuelle Einschränkung:
Die Download Links funktionieren nur innerhalb des Uni-Netzes. Das liegt aber nur an der Generierung des Links, was mit dem nächsten Update behoben wird.
Ersetzt man „https://linux-chat.rrze.fau.de:7443/“ durch „https://linux.rrze.fau.de/chat/“ so funktioniert es auch von außerhalb des Uni-Netzes.

Update (25.7.2019): Die Download Links werden jetzt korrekt generiert, so dass der Download auch außerhalb des Uninetzes funktioniert.

XEP-0313: Message Archive Management

Unterstützt das Abrufen und Konfigurieren eine Nachrichtenprotokolls auf dem Chat-Server.
Clients können so den Verlauf eines Gesprächs Abrufen und Anzeigen, auch wenn das Gespräch mit einem anderen Client/auf einem anderen Gerät stattgefunden hat.

Derzeit werden alle Chat-Nachrichten der letzten 90 Tage im Archiv des Servers gespeichert und sind durch die Clients abrufbar.

Siehe auch https://xmpp.org/extensions/xep-0313.html

XEP-0280: Message Carbons

Unterstützt das Senden von Nachrichtenkopien an parallel eingeloggte Clients des selben Benutzers.
So kann der Nachrichtenverlauf auf allen Clients (Ressourcen) synchron gehalten werden.

Siehe auch https://xmpp.org/extensions/xep-0280.html

——————–

Für Pidgin gibt es ein entsprechendes Plugin zum Download unter https://github.com/gkdr/carbons/releases
oder direkt per Shell mit

bash$ wget https://github.com/gkdr/carbons/releases/download/v0.2.2/carbons-0.2.2.so -O ~/.purple/plugins/carbons-0.2.2.so

XEP-0184: Message Receipts

Ermöglicht das Anfordern einer Empfangsbestätigung vom Empfänger einer Nachricht.
Clients können so das erfolgreiche Empfangen einer Nachricht anzeigen (z.B. mittels Häkchen).

Siehe auch https://xmpp.org/extensions/attic/xep-0184-1.0.html

XEP-0384: OMEMO Encryption

Ermöglicht Ende-zu-Ende Verschlüsselung in 1-zu-1 Chats.

Siehe auch https://xmpp.org/extensions/xep-0384.html

XEP-0048: Bookmarks

Ermöglicht das Speichern von Bookmarks aus Webseiten und Multi-User-Chaträume (MUCs).
So wird z.B. das automatische Beitreten zu MUCs (auto-join) beim Login ermöglicht.

Siehe auch https://xmpp.org/extensions/xep-0048.html

Pidgin Gnome Keyring

Speichert Passwörter verschlüsselt im Gnome Keyring ab. Damit wird die Klartext Speicherung in der accounts.xml Datei verhindert.

bash$ sudo apt install pidgin-gnome-keyring

Pidgin Encryption

Verschlüsselung mittels RSA-Keys. Plugin generiert, tauscht aus und verwaltet RSA-Keys zur Verschlüsselung. Gegenseite muss Plugin installiert haben.

bash$ sudo apt install pidgin-encryption

Pidgin Windows Credentials

Pidigin öffnen und „Extras“ => „Plugins“ auswählen
Im dann erscheinenden Fenster das Plugin „Windows Credentials“ auswählen und aktivieren
„Plugin konfigurieren“ auswählen
Im dann erscheinenden Fenster den Haken bei „Clear plaintext passwords from memory“ setzen
Die beiden Fenster (Windows Credentials und Erweiterungen) mit Klick auf „Schließen“ schließen

Ab jetzt wird das Chat-Passwort verschlüsselt im Windows-Passwort-Store gespeichert.
Wer das genannte Plugin „Windows Credentials“ in seinem installierten Pidgin nicht finden kann bitte bei der Windows-Gruppe melden.

Dokumentation für vom RRZE betreute CIP-Pools

Diese FAQ ist für Betreiber und Nutzer von CIP-Pool Systemen bestimmt, die vom RRZE betreut werden.

Wie können weitere Personen einen Benutzer-Login/Admin-Login auf den betreuten Systemen erhalten?
Falls Sie einen Login benötigen, so wenden Sie sich bitte direkt an den Betreiber des jeweiligen Systems.
Wir bitten von direkten Anfragen an das RRZE abzusehen. Die Systeme gehören dem jeweiligen Betreiber und werden lediglich vom RRZE betreut. Das Freischalten weiterer Nutzer kann dementsprechend nur durch eindeutige Anweisung des Betreibers erfolgen.
—
Zur Freischaltung weitere Kennungen benötigen wir einen entsprechenden Auftrag (zB per Mail) des Betreibers mit der jeweiligen Kennung und der hinzuzufügenden Gruppenzugehörigkeit.

Welche Rechte können vergeben werden?
In der Regel besteht die Infrastruktur der betreuten Systeme aus einem Management-Server und den daran angebundenen Clients.
Zur Rechteverwaltung werden zwei Gruppen herangezogen:
→${PREFIX}_sudo für administrativen Zugang zum Management-Server und allen Clients (per sudo)
→${PREFIX}_all für Zugang mit normalen Benutzerrechten zu allen Clients.
—
Jegliche Rechtevergabe auf die betreuten Systeme kann nur durch eindeutige Anweisung des Betreibers erfolgen.

Wie können zusätzliche Ubuntu-Pakete auf allen Systemen installiert werden?
Zu installierende Pakete aus den Ubuntu Paketquellen können auf direkte Anweisung des Betreibers (am besten per Mail an rrze-linux@fau.de) automatisch auf alle Systeme verteilt werden.
Eine Übersicht aller verfügbaren Pakete erhalten Sie unter https://packages.ubuntu.com/de/

Wie können Dateien/Programme, die nicht in der Ubuntu Paketverwaltung enthalten sind, auf alle Systeme verteilt werden?
Um auf einfache Weise beliebige Dateien auf die lokale Festplatte aller Systeme zu verteilen steht auf dem Management-Server das Verzeichnis /data/dist zur Verfügung.
Der Inhalt dieses Verzeichnisses wird einmal stündlich auf alle Clients synchronisiert. Das Zielverzeichnis auf den Clients ist ebenfalls /data/dist/.
—
Um diesen Dienst nutzen zu können benötigen Sie administrativen Zugang zum Management-Server.
Diese Aufgabe können wir nur für Sie übernehmen, falls der Betreiber einen entsprechenden Premium-Supportvertrag abgeschlossen hat, der die Verteilung generischer Software umfasst.

Ich möchte eine Software verteilen, die auf dem jeweiligen Zielsystem erst übersetzt werden muss. Wie gehe ich vor?
In der Regel ist es nicht nötig die Software auf jedem Zielrechner erneut zu übersetzen, solange alle Zielrechner den gleichen Soft- und Hardwarestand haben. In CIP-Pools ist das üblicherweise der Fall.
Und so gehen Sie vor:
1. Installieren Sie die benötigen Bibliotheken aus den Ubuntu Paketquelle wie oben beschrieben (siehe →Wie können zusätzliche Ubuntu-Pakete auf allen Systemen installiert werden?)
2. Übersetzen Sie die Software auf einem der Clients
3. Verteilen Sie das Ergebnis wie oben beschrieben vom Management-Server auf alle anderen Clients (siehe →Wie können Dateien/Programme, die nicht in der Ubuntu Paketverwaltung enthalten sind, auf alle Systeme verteilt werden?).
—
Um diesen Dienst nutzen zu können benötigen Sie administrativen Zugang zum Management-Server.
Diese Aufgabe können wir nur für Sie übernehmen, falls der Betreiber einen entsprechenden Premium-Supportvertrag abgeschlossen hat, der die Verteilung generischer Software umfasst

Wie kann ich Befehle auf allen System gleichzeitig absetzen?
In der Regel können Sie hierfür die dsh (Distributed Shell) einsetzen. Diese können Sie auf Ihrem Rechner installieren und dann per SSH-Verbindung Kommandos auf einer Liste von Zielrechnern absetzen.
Für Einzelheiten zur Verwendung lesen Sie http://manpages.ubuntu.com/manpages/bionic/man1/dsh.1.html
Wichtig:
Nutzen Sie zum Absetzen der Befehle am besten einen der CIP-Pool Rechner.
Dies ermöglicht Ihnen die anderen Rechner ohne Eingabe eines Passwortes zu erreichen (via Kerberos).
—
Um diesen Dienst nutzen zu können benötigen Sie Zugang als Benutzer oder – je nach Art des abzusetzenden Befehls – auch administrativen Zugang auf die betreuten Systeme.
Falls der Betreiber einen entsprechenden Premium-Supportvertrag abgeschlossen hat, können wir diese Aufgabe auch für Sie übernehmen.

Die bisherigen Lösungen reichen für mein Anliegen nicht aus. Welche Möglichkeiten gibt es noch?
Kontaktieren Sie uns gerne unter rrze-linux@fau.de mit einer kurzen Beschreibung Ihres Anliegens und ggf. einer Begründung warum die beschriebenen Lösung nicht ausreichend sind.
Wir werden Ihr Anliegen dann prüfen und uns mit einem Lösungsvorschlag bei Ihnen melden.
—
Bei Anfragen betreffend Leistungen, die bereits durch bestehende Angebote abgedeckt sind, werden wir lediglich auf diese verweisen. (z.B. Verteilung generischer Software -> Premium-Modell)

Verwendung von Adressbereichen

An dieser Stelle sollen die Verwendung von Adressbereichen öffentlich dokumentiert werden, so dass Mitarbeiter des RRZE sowie auch externe Administratoren in der Lage sind reservierte Bereiche zu meiden bzw. frei nutzbare Bereiche bestimmungsgemäß zu verwenden.

Benutzer und Gruppen

Dokumentation von verschiedenen reservierten Bereichen in Bezug auf die Vergabe von uidNumber und gidNumber.

Grundsätzlich darf kein Bereich einfach verwendet werden, auch wenn dieser als „–frei–“ gekennzeichnet ist.

Nur grün hinterlegte Adressbereiche stehen zur freien Verwendung durch lokale Administratoren zur Verfügung!

Legende

SYSTEM RESERVED	Dieser Bereich wird durch das Betriebssystem selbst verwendet, um Benutzer/Gruppen für Systemdienste anzulegen.
RRZE RESERVED	Dieser Bereich wird vom RRZE genutzt.
FUTURE RESERVED	Dieser Bereich ist für zukünftige Anforderungen reserviert. Auch wenn der Bereich grundsätzlich als frei anzusehen ist, kann dieser in Zukunft einer festen Verwendung zugeordnet werden. Sie dürfen diesen Bereich deshalb keinesfalls ohne Absprache mit dem RRZE einfach verwenden.

Benutzer (uidNumber)

Bereich	Beschreibung	Größe	Verwendung	PAM
0	root		SYSTEM RESERVED
1-999	pseudo-users	1.000	SYSTEM RESERVED
1.000-1.999	lokale Benutzer	1.000	freie Vergabe durch Systemadministrator
2.000-9.999	— frei —		FUTURE RESERVED	K E R B E R O S
10.000-65.533	RRZE-BV (legacy)		RRZE RESERVED
65.534	„nobody“-Benutzer		SYSTEM RESERVED
65.535-79.999	RRZE-BV (legacy)		RRZE RESERVED
80.000-89.999	— frei —		FUTURE RESERVED
90.000-99.999	Kursverwaltung (COMA)	10.000	RRZE RESERVED
100.000-109.999	RRZE-BV (legacy)		RRZE RESERVED
110.000-199.999	— frei —		FUTURE RESERVED
200.000-209.999	RRZE-BV (legacy)		RRZE RESERVED
210.000-249.999	High Performance Computing (HPC)	40.0000	RRZE RESERVED
250.000-299.999	RRZE-BV (legacy)		RRZE RESERVED
300.000-	IdM		RRZE RESERVED
4.294.705.152 -4.294.967.295	High Performance Computing (HPC)	262.144 (2^18)	RRZE RESERVED

Gruppen (gidNumber)

Bereich	Beschreibung	Größe	Verwendung
0	root	1	SYSTEM RESERVED
1-999	system allocated groups	1.000	SYSTEM RESERVED
1.000-1.999	lokale Gruppen	1.000	freie Vergabe durch Systemadministrator (TODO: cleanup wm_pfir [1202])
2.000-4.999	— frei —		FUTURE RESERVED
5.000-5.999	RRZE-BV (legacy)		RRZE RESERVED
6.000-9.999	— frei —		FUTURE RESERVED
10.000-28.999	RRZE-BV (legacy)		RRZE RESERVED
29.000-37.999	— frei —		FUTURE RESERVED
38.000-49.999	RRZE-BV (legacy)		RRZE RESERVED
50.000-79.999	— frei —		FUTURE RESERVED
80.000-89.999	High Performance Computing (HPC)	10.000	RRZE RESERVED
90.000-90.999	Windows-Gruppe	10.000	RRZE RESERVED
91.000-91.999	Kursverwaltung (COMA)	1.000	RRZE RESERVED
92.000-99.000	— frei —		FUTURE RESERVED
100.000-	IdM		RRZE RESERVED
4.294.705.152 -4.294.967.295	High Performance Computing (HPC)	262.144 (2^18)	RRZE RESERVED

IPv6 Leitfaden

Hier sollen Informationen zur Nutzung von IPv6 an der FAU gesammelt werden.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Voraussetzungen

Es werden Kenntnisse im Umgang mit Linux und Netzwerken vorausgesetzt.

Pakete

Die folgender Pakete müssen installiert werden.

Einrichtung

{TODO}

Tests

Aktuelle DUID herausfinden

Der folgende one-liner kann dazu benutzt werden die aktuell verwendete DUID des Systems herauszufinden.
Diese wird zB benötigt, um einen entsprechenden DHCP-Eintrag zu beantragen.

bash$ for i in $(sudo find /var/lib/NetworkManager/ /var/lib/dhcp -name *.lease?); do grep client-id $i; done | sed -e 's/^[[:space:]]*//' | uniq

Nutzung des RRZE Ubuntu FTP-Mirrors

Das RRZE empfiehlt die Nutzung des RRZE Ubuntu FTP-Mirrors, um

nicht abhängig von der Verfügbarkeit externer Paketquellen zu sein
die Verteilung von Paketen an viele Clients bei beschränkter Bandbreite der Internetanbindung zu beschleunigen
und die offiziellen Ubuntu-Paketserver nicht unnötig zu belasten

Diese Anleitung beschreibt die Konfiguration eines Ubuntu-Clients für die Nutzung des RRZE Ubuntu FTP-Mirrors.

Vorbereitung

Voraussetzungen

Es werden grundlegende Kenntnisse im Umgang mit Linux und der APT-Paketverwaltung vorausgesetzt.

Pakete

Es müssen keine zusätzlichen Pakete installiert werden

Einrichtung

Um den RRZE Ubuntu FTP-Mirror zu nutzen müssen lediglich die entsprechenden Einträge in der Datei /etc/apt/sources.list angepasst werden.

Bevor Änderungen vorgenommen werden, sollte die Originaldatei gesichert werden:

bash$ cp /etc/apt/sources.list /etc/apt/sources.list.orig

Die nötigen Ersetzungen können dann mit folgenden Befehlen durchgeführt werden:

bash$ sed -i "s/de\.archive\.ubuntu\.com/ftp.fau.de/" /etc/apt/sources.list
bash$ sed -i "s/ports\.ubuntu\.com/ftp.fau.de\/ubuntu-ports/" /etc/apt/sources.list

Absichtlich ausgenommen ist security.ubuntu.com, so dass die neuesten Sicherheitsupdates immer direkt vom Ubuntu Server bezogen werden können.

Test

Ein Update der Paketquellen sollte – mit Ausnahme von security.ubuntu.com – eine Ausgabe liefern, die ausschließlich ftp.uni-erlangen.de als Quelle angibt.

bash$ apt-get update
Hit:2 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic InRelease             
Get:3 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates InRelease [88.7 kB]
Get:16 http://security.ubuntu.com/ubuntu bionic-security InRelease [83.2 kB]        
Get:17 http://security.ubuntu.com/ubuntu bionic-security/main amd64 DEP-11 Metadata [204 B]
Get:18 http://security.ubuntu.com/ubuntu bionic-security/universe amd64 DEP-11 Metadata [9,412 B]
Get:19 http://security.ubuntu.com/ubuntu bionic-security/universe DEP-11 64x64 Icons [16.3 kB]
Get:5 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/main amd64 Packages [438 kB]
Get:6 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/main i386 Packages [389 kB]
Get:7 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/main amd64 DEP-11 Metadata [192 kB]
Get:8 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/main DEP-11 48x48 Icons [47.1 kB]
Get:9 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/main DEP-11 64x64 Icons [89.9 kB]
Get:10 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/universe i386 Packages [570 kB]
Get:11 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/universe amd64 Packages [575 kB]
Get:12 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/universe amd64 DEP-11 Metadata [194 kB]
Get:13 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/universe DEP-11 48x48 Icons [178 kB]
Get:14 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/universe DEP-11 64x64 Icons [298 kB]
Get:15 http://ftp.uni-erlangen.de/pub/mirrors/ubuntu bionic-updates/multiverse amd64 DEP-11 Metadata [2,464 B]
Fetched 3,176 kB in 6s (557 kB/s)              
Reading package lists... Done