Anbindung an die LDAP-Infrastruktur des RRZE

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

In der folgenden Liste finden Sie Hilfestellungen zur Anbindung von selbstverwalteten Systemen an die LDAP-Infrastruktur des RRZE.

  • LDAP-Anbindung für Rechner mit SSSD
    Diese Anleitung beschreibt das Anlegen eines Hosteintrags zum Zugriff auf die RRZE LDAP-Server für einen selbstverwalteten Rechner und die Installation und Konfiguration des SSSD zur Benutzerauthentifizierung unter Ubuntu.
  • LDAP-Anbindung generischer Systeme
    Diese Anleitung beschreibt allgemein die Infrastruktur der RRZE LDAP-Server, um ggf eine Anbindung von eigenen Softwarepaketen realisieren zu können
  • LDAP-Gruppen
    Diese Anleitung beschreibt wie Sie automatisch befüllte oder manuell gepflegte Gruppen für Ihre Zwecke in den LDAP-Servern des RRZE bereitstellen lassen können

Dokumentation für selbstverwaltete Systeme

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Systemadministratoren bestimmt, die die jeweiligen Arbeiten in Eigenverantwortung selbst durchführen möchten.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

In der folgenden Liste finden Sie Hilfestellungen zur Anbindung von selbstverwalteten Systemen an die RRZE-Infrastruktur.

  • rrzelinux Kommandozeileninterface (CLI) (nur für IT-Betreuer) – derzeit Überführung in Produktivbetrieb
    Diese Anleitung beschreibt die Installation des rrzelinux Kommandozeileninterfaces für Administratoren nicht vom RRZE verwalteter Rechner. Dies ermöglicht es Ihnen beliebige Rechner unterhalb Ihrer DNS Domain in Eigenverantwortung an die RRZE-Infrastruktur (z. B. LDAP/Kerberos) anzubinden.
  • FAU-CA Zertifikat einbinden
    Diese Anleitung beschreibt die Installation der FAU-CA Zertifikatskette in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der FAU-CA ausgestellt wurden vertraut.
  • AutoFS
    Kurze Einführung und empfohlene Standardkonfiguration mit Beispielen
  • Paketverwaltung mit apt
    Pakete installieren, aktualisieren, von der Aktualisierung ausschließen, deinstallieren und das System sauber halten

Ubuntu Release Upgrade

Die Nachfolgende Anleitung beschreibt wie man ein Release Upgrade einer Ubuntu LTS Distribution durchführt.

Vorbereitung

Zunächst muss das System auf dem aktuellen Stand gebracht werden:

bash$ sudo apt update && apt dist-upgrade

Nachdem alle Pakete samt Kernel aktualisiert sind, ist ein Neustart des Systems notwendig:

bash$ sudo reboot

Durchführen des Release Upgrades

Es gibt zwei Möglichkeiten ein Release Upgrade durchzuführen:

    • Interactive
bash$ sudo do-release-upgrade

Beim Ändern von Konfigurationsdateien durch den Updater wird immer eine interaktive Eingabe benötigt.

    • Non-Interactive
bash$ sudo do-release-upgrade -f DistUpgradeViewNonInteractive

Das Ändern von Konfigurationsdateien erfolgt automatisch. Es wird immer die Default-Option genutzt, wenn eine Eingabe notwendig ist.

Erfahrungsgemäß funktioniert die Non-Interactive Variante gut. Wenn gewünscht wird, dass ohne Nachfragen das Release Upgrade bis zum Ende durchläuft ist diese Variante zu wählen. Falls aber eine genaue Anzeige und Nachfrage bei Änderungen gewünscht wird, sollte die Interactive Variante gewählt werden.

Falls das Kommando do-release-upgrade nicht gefunden wird, muss das Paket ubuntu-release-upgrader-core installiert werden.

bash$ sudo apt install ubuntu-release-upgrader-core

Troubleshooting

Falls der Release Upgrader abbricht liegt dies meistens an externen Ubuntu PPAs die händisch hinzugefügt wurden. Wenn dieses Problem auftritt, sollten alle PPAs unter /etc/apt/sources.list.d/ die händisch eingefügt wurden vor dem Release Upgrade deaktiviert werden.

 

Nacharbeiten

Nachdem das Release Upgrade durchgeführt wurde ist ein Neustart des Systems Notwendig:

bash$ sudo reboot

Nun kann geprüft werden, ob die nächsthöhere LTS Distribution installiert ist:

bash$ lsb_release -a

Anpassen der händisch eingefügten PPAs

Für alle händisch eingefügten Pakdt Repositiories unter /etc/apt/sources.list.d/ sind unter Umständen die URLs anzupassen.

Speziell für RRZE-Server: Saltstack anpassen / nachinstallieren für Ubuntu 18.04 bzw. 20.04

Anpassen der PPA:

Ubuntu 18.04

bash$ sudo echo "deb [arch=amd64 by-hash=no] http://homespun.rrze.uni-erlangen.de/mirror/repo.saltstack.com/py3/ubuntu/18.04/amd64/latest bionic main" > /etc/apt/sources.list.d/rrze-mirror-saltstack.list

Ubuntu 20.04

bash$ sudo echo "deb [arch=amd64 by-hash=no] http://homespun.rrze.uni-erlangen.de/mirror/repo.saltstack.com/py3/ubuntu/20.04/amd64/latest focal main" > /etc/apt/sources.list.d/rrze-mirror-saltstack.list

Saltstack Pakete installieren / aktualisieren:

bash$ sudo apt update && sudo apt install salt-minion -y

Aufruf des Saltstack Highstates.

bash$ sudo salt-highstate

Falls beim Aufruf des Highstates nicht alle States erfolgreich durchgeführt werden bitte an die Linux-Gruppe wenden.

MFA anpassen nachinstallieren für Ubuntu 20.04

Nach einem Release-Upgrade auf Ubuntu 20.04 müssen die MFA-PAM-Module an der neuen Python Version angepasst werden. Hierzu sind folgende Schritte notwendig:

bash$ sudo rm -rf /var/opt/privacyidea-venv/
bash$ sudo salt-highstate

Fehler LVMs bei Ubuntu 20.04

Falls folgende Fehlermeldung kommt:

File descriptor 3 (pipe:[326242]) leaked on vgs invocation. Parent PID 24734: grub-install
  WARNING: PV /dev/sda1 in VG system is using an old PV header, modify the VG to update.
File descriptor 3 (pipe:[326242]) leaked on vgs invocation. Parent PID 24734: grub-install
  WARNING: PV /dev/sda1 in VG system is using an old PV header, modify the VG to update.
grub-install: error: cannot find a GRUB drive for /dev/disk/by-id/cciss-3600508b1001036363520202020200002.  Check your device.map.
dpkg: error processing package grub-pc (--configure):
 installed grub-pc package post-installation script subprocess returned error exit status 1
Errors were encountered while processing:
 grub-pc

Sind folgende Schritte notwendig:

bash$ sudo vgck --update-metadata system
bash$ sudo apt upgrade

Beim letzten Befehl muss dann das richtige Volume gewählt werden (im Normalfall /dev/sda0).

 

Dokumentation für vom RRZE betreute Systeme

Als Hilfe zur Selbsthilfe bieten wir Anleitungen zu häufig wiederkehrenden Problemen als Online-Dokumentation an.
Dieser Abschnitt ist für Betreiber und Nutzer von Systemen bestimmt, die vom RRZE betreut werden.
Für detaillierte Anleitungen und Hilfestellungen lesen Sie unten weiter.

  • System Monitoring/Alerting (aktuell nur für Systeme im Server-Hosting verfügbar!)
    Überwachen (Monitoring) und Benachrichtigung (Alerting) für betreute Systeme und Dienste

Linux Build Service (OBS)

Die Linux-Gruppe betreibt für interessierte Nutzer eine lokale (im RRZE gehostete) Instanz des OpenSUSE Build Service (OBS).
OBS kann dazu genutzt werden automatisiert Pakete für verschiedene Architekturen und Distribution zu bauen und als Paketquelle bereitzustellen.

Der Linux Build Service ist erreichbar unter https://www.linux.rrze.fau.de/obs/

Diese Anleitung beschreibt einige Aspekte der Nutzung der RRZE-Instanz dieses Dienstes.
Es besteht kein Versorgungsanspruch.

 

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Voraussetzungen

Es werden grundlegende Kenntnisse im Umgang mit Ubuntu und der Kommandozeile vorausgesetzt.

Es werden sehr gute Kenntnisse im Paketbau und Umgang mit OBS vorausgesetzt.
Bei Problemen können wir hier wenig oder keine Beratung liefern, da dies oft mit hohem Aufwand verbunden ist.

Zugang/Login

Der Zugang zum Linux Build Service ist derzeit per Apache Konfiguration auf die folgenden Netze beschränkt:

Require ip 131.188.19.0/27
Require ip 131.188.18.0/26
Require ip 10.84.2.0/24

Um einen Login zum Linux Build Service zu erhalten wenden Sie sich mit Ihrem Anliegen (inkl. kurzer Beschreibung was Sie vorhaben) bitte an rrze-linux@fau.de
Bitte beachten Sie, dass wir den Dienst aktuell nur intern nutzen.

Pakete

Zum Einbinden von Paketquellen müssen folgende Pakete ür Ubuntu 16.04/18.04/20.04 installiert werden:

bash$ sudo apt-get install apt

Zur Verwaltung und Bau eigener Pakete müssen folgende Pakete für Ubuntu 16.04/18.04/20.04 installiert werden:

bash$ sudo apt-get install osc

Einbinden von Paketquellen

Für das Einbinden von Linux OBS Repositories werden Zugangsdaten benötigt. Diese haben nichts mit dem Login für die Online Oberfläche zu tun und können bei Bedarf unter rrze-linux@fau.de erfragt werden.

Das Folgende Beispiel zeigt exemplarisch das Vorgehen zum Einbinden des System:Net:Apache Projektes:

# 1. Create file with reference to the repo
bash$ cat /etc/apt/sources.list.d/rrze-obs.list
deb https://www.linux.rrze.fau.de/obsrepo/System%3A/Net%3A/Apache/xUbuntu_18.04/ ./

# 2. Add file containing the authentication credentials
bash$ cat /etc/apt/auth.conf.d/rrze-obs.list
machine www.linux.rrze.fau.de login {USERNAME} password {PASSWORD}

# 3. Download and add the repository to the trusted APT keys
bash$ curl -L https://{USERNAME}:{PASSWORD}@www.linux.rrze.fau.de/obsrepo/System%3A/Net%3A/Apache/xUbuntu_18.04/Release.key | apt-key add -
 % Total % Received % Xferd Average Speed Time Time Time Current
Dload Upload Total Spent Left Speed
100 1428 100 1428 0 0 95200 0 --:--:-- --:--:-- --:--:-- 95200
OK

Bau eigener Pakete

Der Linux Build Service ist erreichbar unter https://www.linux.rrze.fau.de/obs/

TODO

Command Line Interface über OSC

Der BuildService stellt mit OSC auch ein Kommandozeileninterface bereit.
Als Server-URL ist hier ebenfalls https://www.linux.rrze.fau.de/obs/ einzutragen.

LDAP-Gruppen

Das RRZE stellt LDAP-Server zur Authentifizierung von Linux-Systemen, die von IT-Betreuern in Eigenverantwortung genutzt werden können (siehe auch Installation des rrzelinux CLI Tools). Um ebenfalls eine sinnvolle Autorisierung basierend auf Gruppenmitgliedschaften nutzen zu können, bietet das RRZE die Möglichkeit Gruppen nach Ihren Vorgaben einzurichten und zu befüllen (automatisch oder manuell).

Weitere Informationen zu diesem Thema enthält auch der passende BI-Artikel unter
https://www.rrze.fau.de/2020/01/rechteverwaltung-im-idm-grueppchenbildung-leicht-gemacht/.

Beantragung

Neue Gruppen oder Änderungen bestehender Gruppen können von einem IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) per E-Mail an rrze-linux@fau.de beantragt werden.

Bitte senden Sie zur Beantragung einer neuen Gruppe immer die folgenden Angaben mit:

  1. Gruppenname nach Namensschema
  2. Regelwerk zur Befüllung der Gruppe
  3. Zu aktivierende Zielsysteme — Windows (FAUAD) und/oder Linux (linuxldap)

Wir werden Ihre Anfrage dann schnellstmöglich bearbeiten.
Genauere Erläuterungen zu den einzelnen Punkten finden Sie in den folgenden Abschnitten.

Um die Übersicht für IT-Betreuer an dieser Stelle zu verbessern, ist bereits eine Weboberfläche in Erprobung, um die bestehenden Gruppen samt Regelwerken sichtbar zu machen. Es ist ebenfalls geplant schreibenden Zugriff zu ermöglichen.
Als IT-Betreuer können Sie sich mit Ihrer IdM-Kennung an unserem IT-Serviceportal anmelden und zumindest die read-only Funktionalität bereits testen.

Beispiele/Vorlagen

Hier werden kurz einige E-Mail-Beispiele aufgeführt, die Sie gerne als Vorlage verwenden können, um eine neue Gruppe oder Änderungen an einer bestehenden Gruppe an uns zu übermitteln.

Gruppe für alle Beschäftigten an Einrichtung/Präfix XYZ (Windows+Linux)

Gruppenname: xyz_employee
Regel zu Befüllung: 
    - Nutzergruppe: "Beschäftigte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows, Linux

Gruppe für alle Hilfskräfte an Einrichtung/Präfix XYZ (nur Windows)

Gruppenname: xyz_assistant
Regel zu Befüllung: 
    - Nutzertypen: 
        - "Studentische Hilfskräfte" 
        - "Wissenschaftliche Hilfskräfte"
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Windows

Gruppe für Whitelist zusammen mit OrgEinheit (nur Linux)

Gruppenname: xyz_project_x
Regel zu Befüllung: 
    - Whitelist: abcdefg, hijklmn, opqrst, uvwxyz
    - OrgEinheit: 1011120000 RRZE und darunter
Zielsysteme: Linux

1.Name

Alle Gruppennamen müssen der Bildungsregel [PRÄFIX]_[GRUPPENNAME] folgen.

Präfixe

Es handelt sich dabei um dieselben Präfixe, die auch zur Bildung von E-Mail-Adressen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.
Nur in dieser Form beim RRZE beantragte und genehmigte Präfixe sind zur Anlage von Gruppen verwendbar.

Sollten Sie noch kein Präfix besitzen, das zur Verwaltung Ihrer Gruppen verwendet werden kann, muss dieses noch beantragt werden.

Gruppenname

Der Namensteil kann grundsätzlich frei gewählt werden, unterliegt aber folgenden Einschränkungen

  • Die Gesamtlänge (Präfix + ‚_‘ + Gruppenname) darf 80 Zeichen nicht überschreiten
  • Es dürfen keine Leer- oder Sonderzeichen verwendet werden
    Sonderzeichen sind: * \ $ ! \* ' " & ( ) \[ ] { } / # + = : ; | < > ? , ä ö ü (Umlaute), ß (scharfes s)

Gruppennamen sind jederzeit änderbar.
Die Attribute gidNumber und Windows SID werden sich bei einer Umbenennung nicht ändern.

3.Regelwerk

Das Regelwerk bestimmt, welche Kennungen der Gruppe hinzugefügt werden sollen.
Die Auswertung der hinterlegten Regeln wird durch unser IdM-System im Hintergrund erledigt und Ihre Gruppenmitgliedschaften somit automatisch aktuell gehalten.
Grundsätzlich können auch komplexe Regelwerke hinterlegt werden, in der Praxis lassen sich die meisten Anforderungen aber mit wenigen Bausteinen abdecken.
Im Folgenden werden einige der am häufigsten verwendeten Bausteine kurz vorgestellt.
Sollten Sie komplexere Anforderungen haben, besprechen Sie diese gerne mit uns persönlich oder stellen Sie Ihre Frage per E-Mail an rrze-linux@fau.de.

Organisationseinheiten

Ein grundlegender Baustein betrifft die Einschränkung auf Personen mit einer Zugehörigkeit zu Ihrer Organisationseinheit.
Gemeint ist hier letztendlich die FAU.org Nummer Ihrer Organisationseinheit (siehe auch https://www.rrze.fau.de/medien-entwicklung/daten-systemintegration/fau-org/). Manchmal wird als Synonym auch „Kostenstelle“ verwendet (obwohl das nicht ganz dasselbe ist).
Am besten ist es uns direkt Ihre FAU.org Nummer zu nennen, falls Sie diese kennen.
Normalerweise können wir auch über den Namen Ihrer Einrichtung an der FAU selbst herausfinden, wie die entsprechende FAU.org Nummer lautet.
Falls Sie sicher gehen möchten nennen Sie uns am besten beides:
  • Einrichtungsname und
  • FAU.org Nummer (falls bekannt)

Da die Organisationsstruktur an der FAU hierarchisch organisiert ist, ist es zudem wichtig anzugeben, ob jeweils die exakte Organisationseinheit oder auch alle darunter gemeint sind.

Nutzergruppen/-typen

Nach Festlegung der Organisationseinheit ist eigentlich immer eine zusätzliche Einschränkung auf einen bestimmten Personenkreis gewünscht, um beispielsweise Gruppen mit allen Mitarbeitern oder den Hilfskräften zu erstellen.
Bitte beachten Sie dazu die Übersicht der verfügbaren Nutzergruppen/Nutzertypen unter
https://www.idm.fau.de/dsms/docs/affiliations

Beachten Sie bitte die Unterscheidung zwischen Nutzergruppe (grob) und Nutzertyp (fein).

Spezialfall: Studierende

Mitglieder der Nutzergruppe „Studierende“ sind im FAU.org-Baum der Einheit „(90 00 00 00 00) Studierende“ zugeordnet.
Falls Sie eine Gruppe mit Studierenden erstellen möchten, ist eine Filterung derzeit meist nur auf Studiengänge möglich.

Kontaktieren Sie uns in jedem Fall gerne mit Ihrem Anliegen (rrze-linux@fau.de), damit wir Sie entsprechend beraten können und eine Lösung finden.

Whitelists

Hier können Sie uns eine Liste von Kennungen geben, die wir einfach als Mitglieder der Gruppe eintragen.
Das ist die unschönste Variante, da hier ständige manuelle Pflege erforderlich ist, aber manchmal lässt sich wohl nicht vermeiden.

Verknüpfen Sie die Whitelist mit zusätzlichen Kriterien, wie der Organisationseinheit und/oder den Nutzergruppen/-typen, so werden Kennungen wenigstens trotzdem automatisch aus der Gruppe entfernt, sobald beispielsweise ein Mitarbeiter Ihre Einrichtung verlässt.

Da es leider noch keine Möglichkeit gibt, als „IT-Betreuer“ die Whitelist selbst pflegen zu können, müssen Sie uns Änderungen per E-Mail an rrze-linux@fau.de mitteilen. Alle Änderungen werden dann gewöhnlich binnen einer Stunde von uns eingepflegt.

3.Zielsysteme

Alle Gruppen werden zentral in unserem IdM-System verwaltet und nach den jeweilig verknüpften Regelwerken befüllt. Das Ergebnis dieser Berechnung wird dann in den ausgewählten Zielsystemen aktualisiert.

Als Zielsysteme stehen Ihnen aktuell

  • die FAUAD für Windows-Systeme (ActiveDirectory) und
  • der LINUXLDAP für Linux-Systeme (OpenLDAP)

zur Auswahl.

Die Provisionierung der Gruppen kann nach Ihren Vorgaben in beide Zielsystem oder auch nur in ein Zielsystem erfolgen.
Diese Einstellung kann jederzeit angepasst werden.

Bitte beachten Sie, dass ein Deaktivieren und späteres Reaktivieren des Zielsystems FAUAD zur Neuanlage der Gruppe führt, wobei sich die Windows SID ändert.

RRZE-Chat

Das RRZE stellt eine auf XMPP basierende Chatlösung bereit, die zur FAU-internen Kommunikation genutzt werden kann.

Es handelt sich hierbei nicht um eine offizielle Dienstleistung! Es besteht kein Versorgungsanspruch.

Zur Authentifizierung wird die Verwendung von Kerberos empfohlen, da viele verbreitete XMPP-Clients Passwörter im Klartext ablegen und daher ein Sicherheitsrisiko darstellen.
Für eine Liste möglicher Chat-Clients siehe Abschnitt „Empfohlene Clients„.

Als Alternative zur lokalen Installation kann auch der Web-Chat unter https://www.linux.rrze.fau.de/chat genutzt werden.


Voraussetzungen

Soweit bekannt funktioniert der Kerberos Login nur mit Linux Installationen.
Für Windows-Nutzer wird der Web-Chat unter https://www.linux.rrze.fau.de/chat empfohlen.
Alternativ kann auch das „Windows Credentials“ Plugin für Pidgin verwendet werden.

Authentifizierung mit Kerberos — empfohlen!

Voraussetzung für die Nutzung der Kerberos-Authentifizierung ist eine funktionierende Grundkonfiguration von Kerberos für Ihr System. Falls noch nicht geschehen führen Sie bitte die entsprechenden Einrichtungsschritte wie beschrieben durch bevor Sie dieser Anleitung weiter folgen.

Falls Sie der Grundkonfiguration von Kerberos gefolgt sind und ihr Domain-Realm Mapping per Default auf LINUX.FAU.DE zeigt müssen Sie nichts weiter tun.

Für den Fall einer abweichenden Konfiguration stellen Sie sicher das folgendes Mapping existiert:
linux-chat.rrze.fau.de ---map-to-realm---> LINUX.FAU.DE

Zertifikatscheck (FAU-CA)

Ggf. werden Sie aufgefordert dem Zertifikat des Chat-Servers zu vertrauen.
Entweder Sie prüfen die Informationen des präsentierten Zertifikats manuell oder folgen der Anleitung FAU-CA Zertifikat einbinden, um das FAU-CA-Zertifikat systemweit als vertrauenswürdig einzubinden.

DNS-Cache

Um eine evtl. ungültige DNS-Konfiguration aus dem lokalen Cache zu entfernen, sollte dieser zur Sicherheit noch geleert werden.

bash$ systemd-resolve --flush-caches

Pakete für Ubuntu 16.04/18.04

# PIDGIN
bash$ sudo apt-get -y install pidgin libsasl2-modules-gssapi-mit
# GAJIM
bash$ sudo apt-get install gajim python3-kerberos

Konfiguration

Einrichtung von System und Chat-Client.

XMPP-Client Einstellungen

Die Einstellungen für den XMPP-Client sind wie folgt vorzunehmen:

Protocol XMPP
Username [IdM-Benutzername]
Domain linux-chat.rrze.fau.de
Ressource [frei wählbar, z.B. rrze, workstation, laptop, home, …]
Die Ressource bezeichnet das Gerät, von dem aus die Verbindung aufgebaut wird.
Conference-Server
conference.linux-chat.rrze.fau.de

Weitere Einstellungen sind für den Zugriff aus den FAU-Netzen nicht nötig.

Insbesondere ein evtl. vorhandenes Feld für ein Passwort muss für die Kerberos-Authentifizierung leer gelassen werden!


Für den Zugriff von außerhalb der FAU muss abweichend von der XMPP-Domain linux-chat.rrze.fau.de der Zugangsserver linux.rrze.fau.de (Port 5222) gesetzt werden. Hier ist momentan noch kein Zugang mittels Kerberos möglich.

 

 

Gruppen-Chats

Über Gruppen-Chats (sog. Multi-User-Chats oder kurz MUCs) können sich zwei oder mehr Personen austauschen.

Service: conference.linux-chat.rrze.fau.de

Gruppenchats können von jedem erstellt werden. Dazu einfach dem gewünschten Chat mit dem Chat-Client „joinen“ und ggf. die Einstellungen anpassen.

Persistente Chats bleiben bestehen (inkl. History).
Temporäre Chats werden automatisch wieder vom Server entfernt sobald der letzte Benutzer den Chat verlässt.

 

Kontaktlisten / Contact List (Roster) Sharing

Kontaktlisten werden — zumindest teilweise — vom Server vorgegeben (evtl. erlauben Clients auch das manuelle Pflegen von Einträgen).

Manuelle Kontaktlisten können Sie nach belieben lokal in Ihrem Chatclient pflegen. Achten Sie beim hinzufügen von Kontakten allerdings darauf immer die vollständige JID zu verwenden. Diese ist folgendermaßen aufgebaut: ${IDM-Benutzername}@linux-chat.rrze.fau.de

Serverseitige Kontaktlisten werden ausschließlich auf Basis von bestehenden Linux-Gruppen eingerichtet, die über die IdM-Gruppenverwaltung angelegt wurden.
Die Mitglieder der Kontaktliste werden entsprechend automatisch synchronisiert.

Damit nicht jeder jeden „sehen“ kann bzw. um eine gewisse Einteilung vorzugeben, können Kontaktlisten anhand von Gruppenzugehörigkeiten in unserem LDAP automatisch gepflegt werden.

Beispielsweise haben wir eine Kontaktliste „rrze_employee“ die auf der gleichnamigen LDAP-Gruppe basiert.
So können alle RRZE-Mitarbeiter sich gegenseitig leicht finden bzw. „sehen“.

Haben Sie bereits eine Gruppe, die Sie als Kontaktliste freischalten lassen möchten, so schreiben Sie bitte Ihr Anliegen mit Gruppennamen an rrze-linux@fau.de.

 

Paralleles Login mit mehreren Clients

Die parallele Nutzung mehrerer Chat-Clients wird unterstützt, sofern jeder Client eine eigene Ressource verwendet (siehe „XMPP-Client Einstellungen“) .
Die „Ressource“ bezeichnet dabei das Endgerät/den Standort oder Einsatzzweck des Clients und kann prinzipiell frei gewählt werden. Viele Clients wählen auch eine zufallsgenerierte Ressource.

Um das Ziel einer Nachricht eindeutig zu bestimmen, bildet der Server eine Zieladresse in der Form
Benutzername@Domain/Resource

Erfolgt ein Login auf eine bereits angemeldete Ressource, so wird die bestehende Verbindung getrennt.

 

Empfohlene Clients

Hier eine kleine Liste von Anwendungen, die wir zumindest schon einmal selbst getestet haben.
Kein Anspruch auf Vollständigkeit oder Funktionalität.

Mobile: Apple/iOS

Mobile: Android

Desktop: Apple/Mac OS

Desktop: Linux

Desktop: Windows

 

Spezielle Server-Einstellungen

Hier werden einige spezielle Einstellungen des Chat-Servers dokumentiert, die evtl. auch bei der Nutzung zu beachten sind.

Zustellung von Nachrichten an alle angemeldeten Ressourcen

Entgegen dem Standard-Verhalten wurde der Server so konfiguriert, dass Nachrichten an einen Benutzer immer an alle angemeldeten Clients des Benutzers (Ressourcen) weitergeleitet werden. Auf diese weise kann eine Synchronisation der Chat-Verläufe auf allen parallel angemeldeten Clients erreicht werden.

Diese Einstellung ignoriert evtl. vergebene Prioritäten auf die angemeldeten Ressourcen, mit Ausnahme von „-1“ (keine Zustellung).

(Referenz: route.all-resources/route.really-all-resources)

 

Supportete XMPP-Features

Das XMP-Protokoll besitzt zahlreiche Erweiterungen, welche nicht von allen Clients unterstützt werden.
Für Interessierte sind hier einige Informationen über die wichtigsten Erweiterungen zusammengetragen, welche auch von unserem Chat-Server unterstützt werden.

Der Web-Chat unter https://www.linux.rrze.fau.de/chat unterstützt alle aufgeführten Erweiterungen.

 

XEP-0363: HTTP File Upload

Unterstützt für das Hochladen von Dateien auf den Server und liefert einen Link zum erneuten Download der Datei.
Dies ist vor allem deshalb praktisch, da der oder die Empfänger der Datei nicht zum Zeitpunkt des Versendens online sein muss. Der Chatverlauf wird nach Upload der Datei einen Link enthalten unter dem diese auch zu einem späteren Zeitpunkt wieder heruntergeladen werden kann.

Derzeit ist der Upload von Dateien auf eine Größe von maximal 25MB beschränkt.
Die Dateien werden gelöscht, sobald der Speicherplatz zur neige geht oder der Chat-Server neu gestartet wird.

Siehe auch https://xmpp.org/extensions/xep-0363.html

——————–

Aktuelle Einschränkung:
Die Download Links funktionieren nur innerhalb des Uni-Netzes.  Das liegt aber nur an der Generierung des Links, was mit dem nächsten Update behoben wird.
Ersetzt man „https://linux-chat.rrze.fau.de:7443/“ durch „https://linux.rrze.fau.de/chat/“ so funktioniert es auch von außerhalb des Uni-Netzes.

Update (25.7.2019): Die Download Links werden jetzt korrekt generiert, so dass der Download auch außerhalb des Uninetzes funktioniert.

 

XEP-0313: Message Archive Management

Unterstützt das Abrufen und Konfigurieren eine Nachrichtenprotokolls auf dem Chat-Server.
Clients können so den Verlauf eines Gesprächs Abrufen und Anzeigen, auch wenn das Gespräch mit einem anderen Client/auf einem anderen Gerät stattgefunden hat.

Derzeit werden alle Chat-Nachrichten der letzten 90 Tage im Archiv des Servers gespeichert und sind durch die Clients abrufbar.

Siehe auch https://xmpp.org/extensions/xep-0313.html

 

XEP-0280: Message Carbons

Unterstützt das Senden von Nachrichtenkopien an parallel eingeloggte Clients des selben Benutzers.
So kann der Nachrichtenverlauf auf allen Clients (Ressourcen) synchron gehalten werden.

Siehe auch https://xmpp.org/extensions/xep-0280.html

——————–

Für Pidgin gibt es ein entsprechendes Plugin zum Download unter https://github.com/gkdr/carbons/releases
oder direkt per Shell mit

bash$ wget https://github.com/gkdr/carbons/releases/download/v0.2.2/carbons-0.2.2.so -O ~/.purple/plugins/carbons-0.2.2.so

 

XEP-0184: Message Receipts

Ermöglicht das Anfordern einer Empfangsbestätigung vom Empfänger einer Nachricht.
Clients können so das erfolgreiche Empfangen einer Nachricht anzeigen (z.B. mittels Häkchen).

Siehe auch https://xmpp.org/extensions/attic/xep-0184-1.0.html

 

XEP-0384: OMEMO Encryption

Ermöglicht Ende-zu-Ende Verschlüsselung in 1-zu-1 Chats.

Siehe auch https://xmpp.org/extensions/xep-0384.html

 

XEP-0048: Bookmarks

Ermöglicht das Speichern von Bookmarks aus Webseiten und Multi-User-Chaträume (MUCs).
So wird z.B. das automatische Beitreten zu MUCs (auto-join) beim Login ermöglicht.

Siehe auch https://xmpp.org/extensions/xep-0048.html

 

Pidgin Gnome Keyring

Speichert Passwörter verschlüsselt im Gnome Keyring ab. Damit wird die Klartext Speicherung in der accounts.xml Datei verhindert.

bash$ sudo apt install pidgin-gnome-keyring

Pidgin Encryption

Verschlüsselung mittels RSA-Keys. Plugin generiert, tauscht aus und verwaltet RSA-Keys zur Verschlüsselung. Gegenseite muss Plugin installiert haben.

bash$ sudo apt install pidgin-encryption

 

Pidgin Windows Credentials

  • Pidigin öffnen und „Extras“ => „Plugins“ auswählen
  • Im dann erscheinenden Fenster das Plugin „Windows Credentials“ auswählen und aktivieren
  • „Plugin konfigurieren“ auswählen
  • Im dann erscheinenden Fenster den Haken bei „Clear plaintext passwords from memory“ setzen
  • Die beiden Fenster (Windows Credentials und Erweiterungen) mit Klick auf „Schließen“ schließen

Ab jetzt wird das Chat-Passwort verschlüsselt im Windows-Passwort-Store gespeichert.
Wer das genannte Plugin „Windows Credentials“ in seinem installierten Pidgin nicht finden kann bitte bei der Windows-Gruppe melden.

 

 

Dokumentation für vom RRZE betreute CIP-Pools

Diese FAQ ist für Betreiber und Nutzer von CIP-Pool Systemen bestimmt, die vom RRZE betreut werden.

  • Wie können weitere Personen einen Benutzer-Login/Admin-Login auf den betreuten Systemen erhalten?
    Falls Sie einen Login benötigen, so wenden Sie sich bitte direkt an den Betreiber des jeweiligen Systems.
    Wir bitten von direkten Anfragen an das RRZE abzusehen. Die Systeme gehören dem jeweiligen Betreiber und werden lediglich vom RRZE betreut. Das Freischalten weiterer Nutzer kann dementsprechend nur durch eindeutige Anweisung des Betreibers erfolgen.

    Zur Freischaltung weitere Kennungen benötigen wir einen entsprechenden Auftrag (zB per Mail) des Betreibers mit der jeweiligen Kennung und der hinzuzufügenden Gruppenzugehörigkeit.
  • Welche Rechte können vergeben werden?
    In der Regel besteht die Infrastruktur der betreuten Systeme aus einem Management-Server und den daran angebundenen Clients.
    Zur Rechteverwaltung werden zwei Gruppen herangezogen:
    ${PREFIX}_sudo für administrativen Zugang zum Management-Server und allen Clients (per sudo)
    ${PREFIX}_all für Zugang mit normalen Benutzerrechten zu allen Clients.

    Jegliche Rechtevergabe auf die betreuten Systeme kann nur durch eindeutige Anweisung des Betreibers erfolgen.
  • Wie können zusätzliche Ubuntu-Pakete auf allen Systemen installiert werden?
    Zu installierende Pakete aus den Ubuntu Paketquellen können auf direkte Anweisung des Betreibers (am besten per Mail an rrze-linux@fau.de) automatisch auf alle Systeme verteilt werden.
    Eine Übersicht aller verfügbaren Pakete erhalten Sie unter https://packages.ubuntu.com/de/
  • Wie können Dateien/Programme, die nicht in der Ubuntu Paketverwaltung enthalten sind, auf alle Systeme verteilt werden?
    Um auf einfache Weise beliebige Dateien auf die lokale Festplatte aller Systeme zu verteilen steht auf dem Management-Server das Verzeichnis /data/dist zur Verfügung.
    Der Inhalt dieses Verzeichnisses wird einmal stündlich auf alle Clients synchronisiert. Das Zielverzeichnis auf den Clients ist ebenfalls /data/dist/.

    Um diesen Dienst nutzen zu können benötigen Sie administrativen Zugang zum Management-Server.
    Diese Aufgabe können wir nur für Sie übernehmen, falls der Betreiber einen entsprechenden Premium-Supportvertrag abgeschlossen hat, der die Verteilung generischer Software umfasst.
  • Ich möchte eine Software verteilen, die auf dem jeweiligen Zielsystem erst übersetzt werden muss. Wie gehe ich vor?
    In der Regel ist es nicht nötig die Software auf jedem Zielrechner erneut zu übersetzen, solange alle Zielrechner den gleichen Soft- und Hardwarestand haben. In CIP-Pools ist das üblicherweise der Fall.
    Und so gehen Sie vor:
    1. Installieren Sie die benötigen Bibliotheken aus den Ubuntu Paketquelle wie oben beschrieben (siehe Wie können zusätzliche Ubuntu-Pakete auf allen Systemen installiert werden?)
    2. Übersetzen Sie die Software auf einem der Clients
    3. Verteilen Sie das Ergebnis wie oben beschrieben vom Management-Server auf alle anderen Clients (siehe Wie können Dateien/Programme, die nicht in der Ubuntu Paketverwaltung enthalten sind, auf alle Systeme verteilt werden?).

    Um diesen Dienst nutzen zu können benötigen Sie administrativen Zugang zum Management-Server.
    Diese Aufgabe können wir nur für Sie übernehmen, falls der Betreiber einen entsprechenden Premium-Supportvertrag abgeschlossen hat, der die Verteilung generischer Software umfasst
  • Wie kann ich Befehle auf allen System gleichzeitig absetzen?
    In der Regel können Sie hierfür die dsh (Distributed Shell) einsetzen. Diese können Sie auf Ihrem Rechner installieren und dann per SSH-Verbindung Kommandos auf einer Liste von Zielrechnern absetzen.
    Für Einzelheiten zur Verwendung lesen Sie http://manpages.ubuntu.com/manpages/bionic/man1/dsh.1.html
    Wichtig:
    Nutzen Sie zum Absetzen der Befehle am besten einen der CIP-Pool Rechner.
    Dies ermöglicht Ihnen die anderen Rechner ohne Eingabe eines Passwortes zu erreichen (via Kerberos).

    Um diesen Dienst nutzen zu können benötigen Sie Zugang als Benutzer oder – je nach Art des abzusetzenden Befehls – auch administrativen Zugang auf die betreuten Systeme.
    Falls der Betreiber einen entsprechenden Premium-Supportvertrag abgeschlossen hat, können wir diese Aufgabe auch für Sie übernehmen.
  • Die bisherigen Lösungen reichen für mein Anliegen nicht aus. Welche Möglichkeiten gibt es noch?
    Kontaktieren Sie uns gerne unter rrze-linux@fau.de mit einer kurzen Beschreibung Ihres Anliegens und ggf. einer Begründung warum die beschriebenen Lösung nicht ausreichend sind.
    Wir werden Ihr Anliegen dann prüfen und uns mit einem Lösungsvorschlag bei Ihnen melden.

    Bei Anfragen betreffend Leistungen, die bereits durch bestehende Angebote abgedeckt sind, werden wir lediglich auf diese verweisen. (z.B. Verteilung generischer Software -> Premium-Modell)

Verwendung von Adressbereichen

An dieser Stelle sollen die Verwendung von Adressbereichen öffentlich dokumentiert werden, so dass Mitarbeiter des RRZE sowie auch externe Administratoren in der Lage sind reservierte Bereiche zu meiden bzw. frei nutzbare Bereiche bestimmungsgemäß zu verwenden.

Benutzer und Gruppen

Dokumentation von verschiedenen reservierten Bereichen in Bezug auf die Vergabe von uidNumber und gidNumber.

Grundsätzlich darf kein Bereich einfach verwendet werden, auch wenn dieser als „–frei–“ gekennzeichnet ist.

Nur grün hinterlegte Adressbereiche stehen zur freien Verwendung durch lokale Administratoren zur Verfügung!

Legende

SYSTEM RESERVED Dieser Bereich wird durch das Betriebssystem selbst verwendet, um Benutzer/Gruppen für Systemdienste anzulegen.
RRZE RESERVED Dieser Bereich wird vom RRZE genutzt.
FUTURE RESERVED Dieser Bereich ist für zukünftige Anforderungen reserviert.
Auch wenn der Bereich grundsätzlich als frei anzusehen ist, kann dieser in Zukunft einer festen Verwendung zugeordnet werden. Sie dürfen diesen Bereich deshalb keinesfalls ohne Absprache mit dem RRZE einfach verwenden.

Benutzer (uidNumber)

Bereich Beschreibung Verwendung PAM
0 root SYSTEM RESERVED  
 
 
1-999 pseudo-users
SYSTEM RESERVED
1.000-1.999 lokale Benutzer freie Vergabe durch Systemadministrator
2.000-9.999 — frei — FUTURE RESERVED

K
E

R
B
E
R
O
S

10.000-65.533 RRZE-BV (legacy) RRZE RESERVED
65.534 „nobody“-Benutzer SYSTEM RESERVED
65.535-79.999 RRZE-BV (legacy) RRZE RESERVED
80.000-89.999 — frei — FUTURE RESERVED
90.000-99.999 Kursverwaltung (COMA) RRZE RESERVED
100.000-109.999 RRZE-BV (legacy) RRZE RESERVED
110.000-199.999 — frei — FUTURE RESERVED
200.000-209.999 RRZE-BV (legacy) RRZE RESERVED
210.000-249.999 High Performance Computing (HPC) RRZE RESERVED
250.000-299.999 RRZE-BV (legacy) RRZE RESERVED
300.000- IdM RRZE RESERVED

Gruppen (gidNumber)

0 root SYSTEM RESERVED
1-999 system allocated groups
SYSTEM RESERVED
1.000-1.999 lokale Gruppen freie Vergabe durch Systemadministrator (TODO: cleanup 1202 to free up this chunk)
2.000-4.999 — frei — FUTURE RESERVED
5.000-5.999 RRZE-BV (legacy) RRZE RESERVED
6.000-9.999 — frei — FUTURE RESERVED
10.000-28.999 RRZE-BV (legacy) RRZE RESERVED
29.000-37.999 — frei — FUTURE RESERVED
38.000-49.999 RRZE-BV (legacy) RRZE RESERVED
50.000-79.999 — frei — FUTURE RESERVED
80.000-89.999
High Performance Computing (HPC) RRZE RESERVED
90.000-90.999 Windows-Gruppe RRZE RESERVED
91.000-91.999 Kursverwaltung (COMA) RRZE RESERVED
92.000-99.000 — frei — FUTURE RESERVED
100.000- IdM RRZE RESERVED

 

IPv6 Leitfaden

Hier sollen Informationen zur Nutzung von IPv6 an der FAU gesammelt werden.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Voraussetzungen

Es werden Kenntnisse im Umgang mit Linux und Netzwerken vorausgesetzt.

Pakete

Die folgender Pakete müssen installiert werden.

Einrichtung

{TODO}

Tests

Aktuelle DUID herausfinden

Der folgende one-liner kann dazu benutzt werden die aktuell verwendete DUID des Systems herauszufinden.
Diese wird zB benötigt, um einen entsprechenden DHCP-Eintrag zu beantragen.

bash$ for i in $(sudo find /var/lib/NetworkManager/ /var/lib/dhcp -name *.lease?); do grep client-id $i; done | sed -e 's/^[[:space:]]*//' | uniq