Der Einsatz von Docker erfreut sich steigender Beliebtheit.
Diese Seite gibt Hilfestellungen und Hinweise zum Betrieb von Docker-Containern an der FAU.

Inhalt

Schnellzugriff auf wichtige Themen:

• Docker-Netzwerk einrichten (Wichtig!)
  vermeidet Probleme durch IP-Kollisionen im FAU Netz
• Dockerhub-Mirror einrichten
  vermeidet Probleme durch Rate-Limiting von Dockerhub ab 1.4.2025

TL;DR Hier können Sie ein Skript zur vollautomatischen Installation herunterladen.

Voraussetzungen

Die offizielle Anleitung zur Installation von Docker finden Sie unter https://docs.docker.com/engine/install/ubuntu/.

Das RRZE bietet auch einen APT Mirror des Docker Repositories an, der wie folgt genutzt werden kann:

Pakete für Ubuntu

# Remove potentially obsolete docker sources
sudo rm -f /etc/apt/sources.list.d/rrze-mirror-docker.list /etc/apt/sources.list.d/rrze-mirror-docker.sources

# Add Docker's official GPG key:
sudo apt-get update
sudo apt-get install ca-certificates curl
sudo install -m 0755 -d /etc/apt/keyrings
sudo curl -fsSL http://homespun.rrze.uni-erlangen.de/mirror/download.docker.com/linux/ubuntu/gpg -o /etc/apt/keyrings/docker.asc
sudo chmod a+r /etc/apt/keyrings/docker.asc

# Add the repository to Apt sources:
sudo tee /etc/apt/sources.list.d/rrze-mirror-docker.sources > /dev/null <<EOF
Types: deb
URIs: http://homespun.rrze.uni-erlangen.de/mirror/download.docker.com/linux/ubuntu
Suites: $(. /etc/os-release && echo "${UBUNTU_CODENAME:-$VERSION_CODENAME}")
Components: stable
Options: by-hash=no
Architectures: $(dpkg --print-architecture)
Signed-By: /etc/apt/keyrings/docker.asc
EOF
sudo apt-get update

# Cleanup old 
# https://docs.docker.com/engine/install/ubuntu/
sudo apt remove docker.io docker-compose docker-compose-v2 docker-doc podman-docker
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin

Konfiguration

Hier finden Sie wichtige Hinweise zur korrekten Konfiguration Ihres Docker-Setups im FAU Netz.

Docker Bridge/Netzbereich

Docker verwendet ein eigenes Subnetz das über die Docker-Bridge docker0 mit dem restlichen Netzwerk kommuniziert.
Standardmäßig verwendet dieses Subnetz den Adressbereich 172.17.0.0/16
Um Kollisionen mit bereits verwendeten Adressbereichen auszuschließen wird empfohlen einen Bereich aus nicht-routbaren LinkLocal Adressen für Docker zu verwenden (zB 169.254.254.1/24).

bash$ cat << EOF | sudo tee -a /etc/netplan/02-idrac.yaml
network:
  version: 2
  renderer: networkd
  ethernets:
    idrac:
      addresses: [169.254.0.2/24]
EOF

bash$ sudo netplan apply

Um den Netzbereich anzupassen sind die folgenden Schritte notwendig.

Ubuntu ab 18.04 (Systemd)

1. Docker-Daemon Konfiguration anpassen

bash$ sudo systemctl edit docker

2. Folgenden Inhalt einfügen

[Service]
ExecStart=
ExecStart=/usr/bin/dockerd -H unix:// --bip=169.254.254.1/24
# Ende

3. Überprüfen der Konfiguration

bash$ sudo cat /etc/systemd/system/docker.service.d/override.conf
...
bash$ sudo systemctl cat docker
...

4. Neustart des Docker-Daemons (ACHTUNG: Startet auch alle Container neu!)

bash$ sudo systemctl restart docker

5. Überprüfen der docker0 IP

bash$ ip address show docker0
3: docker0: <NO-CARRIER,BROADCAST,MULTICAST,UP> mtu 1500 qdisc noqueue state DOWN group default 
    link/ether 02:42:06:dd:bb:5c brd ff:ff:ff:ff:ff:ff
    inet 169.254.254.1/24 scope global docker0
       valid_lft forever preferred_lft forever
    inet6 fe80::42:6ff:fedd:bb5c/64 scope link 
       valid_lft forever preferred_lft forever

Das wars 🙂

Docker Daemon / Dockerhub Mirror

Um den Nutzern an der FAU weiterhin einen schnellen Zugriff auf Images von Dockerhub zu ermöglichen, stellt das RRZE einen zentralen Dockerhub Mirror bereit. Dieser ist als Pull-Through Cache für Dockerhub Images konfiguriert (siehe auch https://docs.docker.com/docker-hub/image-library/mirror/). Bei Nutzung des zentralen Dockerhub Mirror werden Images über einen zentralen, unlimitierten Account von Dockerhub abgerufen und dann für 180 Tage zwischengespeichert.

Es wird allen Nutzern an der FAU empfohlen die entsprechende Konfiguration zur Nutzung der Dockerhub Mirrors zu verwenden:

sudo tee /etc/docker/daemon.json <<'EOF'
{
  "registry-mirrors": [
    "https://dockerhub-mirror3.rrze.uni-erlangen.de",
    "https://dockerhub-mirror2.rrze.uni-erlangen.de",
    "https://dockerhub-mirror1.rrze.uni-erlangen.de"
  ]
}
EOF

sudo systemctl restart docker

Die Reihenfolge der Mirrors kann zur Lastverteilung ggf. verändert werden. Es sollten aber immer alle drei eingetragen werden, da bei Wartungsarbeiten zeitweise auch mal ein Mirror offline sein kann.
Es wird jeweils der erste Mirror verwendet, der eine erfolgreiche Antwort liefert. Als letztes wird automatisch versucht das Image von Dockerhub abzurufen.

Leider ist zum aktuellen Stand nicht bekannt wie man auf Client-Seite einfach prüfen kann, ob die konfigurierten Mirrors erfolgreich verwendet wurden.

Startskripte

Docker-Container mit dem Linux Initsystem starten

Ubuntu ab 18.04 (Systemd)

Als Basis für eigene Anpassungen empfehlen wir zum Beispiel folgendes Init-Skript zum automatischen Anlegen und starten eines neuen Containers basierend auf einem existierenden Docker-Image.
Alle Informationen zum Erstellen des Containers sind im Skript bereits enthalten.
So benötigt man für einfache Setups kein zusätzliches Tool, wie docker-compose, um die Konfiguration der Container zu verwalten.

1. Startskript erstellen

bash$ cat /etc/systemd/system/docker.openldap.service

[Unit]
Description=OpenLDAP
Requires=docker.service
After=docker.service

[Service]
User=root
Restart=on-failure
RestartSec=10
ExecStartPre=-/usr/bin/docker stop openldap
ExecStartPre=-/usr/bin/docker rm openldap

ExecStart=/usr/bin/docker run \
--name openldap \
-h openldap.example.net \
-p 10.20.30.40:389:389 \
-p 10.20.30.40:636:636 \
-v /opt/apps/openldap/logs/:/var/log \
YOUR-REGISTRY/openldap:latest

ExecStop=-/usr/bin/docker stop openldap

[Install]
WantedBy=multi-user.target

2. Starten des Containers

bash$ sudo systemctl daemon-reload
bash$ sudo systemctl enable docker.openldap # <-- beim Booten automatisch starten
bash$ sudo systemctl start docker.openldap

3. Update des Images von der Registry

bash$ sudo docker pull YOUR-REGISTRY/openldap:latest

latest: Pulling from openldap
9fb6c798fa41: Already exists
3b61febd4aef: Already exists
....
f93db066217e: Pull complete
Digest: sha256:17059dc182304950aab5ca13bb6373b7d7efc0ff7641382cf75cb621f6e7734f
Status: Downloaded newer image for YOUR-REGISTRY/openldap:latest

bash$ sudo systemctl restart docker.openldap

Rechteverwaltung / docker-Gruppe

Um auch normalen Benutzern – außer root – den Zugriff auf den Docker-Daemon zu gewähren, kann man diese in die Gruppe docker aufnehmen.

Die docker Gruppe wird nach Installation des Docker Pakets automatisch als lokale Gruppe erstellt.
Danach können Sie Kennungen mit folgendem Kommando zur Gruppe hinzufügen:

bash$ sudo usermod -aG docker $KENNUNG

pam_group (obsolet)

Die folgende Methode fügt eine Benutzerkennung bei der Anmeldung dynamisch zur benötigten lokalen docker Gruppe hinzu (siehe auch https://help.ubuntu.com/community/LDAPClientAuthentication#Assign_local_groups_to_users).

bash$ echo '*;*;[KENNUNG];Al0000-2400;docker' >> /etc/security/group.conf

bash$ cat /etc/security/group.conf
...
*;*;[KENNUNG];Al0000-2400;docker

Diese Anleitung beschreibt die Installation des rrzelinux Kommandozeileninterfaces (CLI) für Administratoren nicht vom RRZE verwalteter Rechner.

Das rrzelinux CLI Tool ermöglicht Ihnen beliebige Rechner unterhalb Ihrer DNS Domain in Eigenverantwortung an die RRZE-Infrastruktur (z.B. LDAP/Kerberos) anzubinden. Diese Option ist besonders interessant, falls Sie keine Fremdadministration durch das RRZE wünschen, oder ein nicht vom RRZE unterstütztes System betreiben, das dennoch die Infrastruktur des RRZE nutzen soll.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen Anleitung erfüllt sein.

Linux Admin Zugang

Um das rrzelinux CLI Tool zur Verwaltung von Rechnern nutzen zu können, benötigen Sie eine entsprechende Berechtigung als IT-Betreuer für Ihre Einrichtung.
Die Vergabe der Berechtigung muss vom Leiter der entsprechenden Einrichtung im Einrichtungsleitercockpit des IdM  unter https://www.idm.fau.de/gadmin/cockpit erfolgen.

Für den Login verwenden Sie – nach entsprechender Freischaltung durch den Einrichtungsleiter – bitte Ihre IdM-Hauptkennung und Passwort.

Sollten Sie Beratung zum Linux Adminzugang oder dem rrzelinux Tool benötigen, wenden Sie sich gerne an rrze-linux@fau.de, um einen Termin zu vereinbaren.

Präfixe

Die verwendete Rechtestruktur ordnet jedem Rechner ein Präfix zu, dass bei allen Aktionen mit angegeben werden muss.
Ein oder mehrere Präfixe werden wiederum einer Organisationseinheit der FAU zugeordnet.

Es handelt sich dabei, um dieselben Präfixe, die auch zur Bildung von Mailadressen, Systemgruppen und im Active Directory der FAU (FAUAD) zum Einsatz kommen.
Weitere Informationen zum Einsatz und zur Beantragung von Präfixen finden Sie zB unter https://www.rrze.fau.de/internet-e-mail/e-mail/funktionsadressen/nicht-personenbezogene-e-mail-adressen/.

Eine Liste Ihrer verfügbaren Präfixe können Sie zB in der Präfixübersicht des IT-Serviceportals einsehen.

Domains

Die Verwendung einer Domain für Ihre Rechner ist an die Freischaltung dieser Domain für das verwendete Präfix gebunden. Das bedeutet Sie können für ein bestimmtes Präfix nur Domains verwenden, die für dieses explizit freigeschaltet wurden.
Welche Domains für ein Präfix verfügbar sind können Sie zB in der Präfixübersicht des IT-Serviceportals einsehen.

IT-Betreuer

Als IT-Betreuer (siehe https://www.rrze.fau.de/infocenter/rahmenbedingungen/it-beauftragte/) haben Sie Zugriff auf alle Rechner, die einem Präfix zugeordnet sind, das in Ihrem Betreuungsbereich liegt. Der Betreuungsbereich wird aus dem FAUorg Baum ermittelt und erstreckt sich von der betreuten Einrichtung aus hierarchisch nach unten.

rrzelinux

Wichtig

Bitte stellen Sie vor der Benutzung des rrzelinux Tools sicher, dass für Ihren Rechner der vollständige FQDN konfiguriert ist.

bash$ hostname -f
myhost.rrze.uni-erlangen.de  <-- korrekter FQDN

bash$ hostname -f
myhost <-- falsch, nur Kurzname

So können Sie den Hostnamen Ihres Rechners korrigieren:

bash$ echo "myhost.rrze.uni-erlangen.de" > /etc/hostname
bash$ hostname -F /etc/hostname

Installation

bash$ sudo wget -O - https://linux.rrze.fau.de/tools/rrzelinux/install | bash
bash$ rrzelinux -h

RRZE Linux management command line tool (1.0.4)

usage: rrzelinux prefix command fqdn|%.[%|domain] [options]

update: sudo rrzelinux update

description: command line utility to manage RRZE Linux host entries

parameters:
  prefix          the prefix to use
  command         see section 'commands' below
  fqdn            defaults to 'hostname -f' if none specified
  %.[%|domain]    select/filter for all hosts / all hosts in a specific domain
  options         see section 'options' below

commands:
  create          create host entry for LDAP access from a self-administered machine
  kerberize       create kerberos principals and download keytab for dns name
                  (use -k to specify principals, default: host,nfs)

  join            join host (create + kerberize)
  leave|remove    remove host (and kerberos principals)

  info            show host information
  list            list all hosts for the current/specified/all domain(s)
  keytab          download keytab only

  update          update this tool to the latest version (needs root)

options:
  -h              print this help
  -v              print version info
  -u username     username with administrative rights for RRZE linux
  -p password     password
  -k              specify service principals to generate (default: host,nfs)
  -n              do not download anything, just make the changes
  -c              no colors
  -d              be verbose/debugging
  -q              be quiet

 Update

bash$ sudo rrzelinux update

Update verfügbar:

rrzelinux: New version available: rrzelinux 1.0.4 6713327ed9063f9fa6f38d6f90375ece
Update to latest version now? (y/n) y
rrzelinux: Performing self-update...
Done.

Kein Update verfügbar:

rrzelinux: Already at the latest version (1.0.4).

Kurzanleitungen

Hier finden Sie Hilfestellungen für häufig benötigte Funktionen des rrzelinux Kommandozeilenwerkzeugs.

Hostinformationen abrufen

Sollten Sie das LDAP-Passwort Ihres Hosts vergessen haben, so können Sie wie folgt die Informationen erneut erhalten:

bash$ rrzelinux [PRÄFIX] info
Username: [Benutzer mit Rechten für das gewählte Präfix]
Password: *****

Mit Ausnahme des Hostnamens sollte die Ausgabe in etwa so aussehen:

rrzelinux: Host infos for test.rrze.uni-erlangen.de were gathered successfully (id=906)
key                value
=================  ====================================================================

hostname           test
domain             rrze.uni-erlangen.de

owner              rrze
description        Remotely created host entry (by rrze)
group              ZS-Server

config             UNMANAGED
ldap               LDAP

binddn             cn=test.rrze.uni-erlangen.de,ou=host,ou=profile,ou=linux,dc=rrze,dc=uni-erlangen,dc=de
password           [Passwort]
krb realm          -
krb services       -

updated            2016-11-25 15:51:39.346
created            2016-11-25 15:51:39.14

Kerberos Join durchführen

Um per Kerberos authentifizierte Dienste Anbieten zu können muss Ihr System entsprechende Service-Principals vom LINUXKDC abrufen.
Hierfür müssen Sie Ihr System in der Rechnerverwaltung des Linux-Teams anlegen (create) und die Kerberos Funktionalität aktivieren (kerberize). Beides in einem Schritt erledigt der der join-Befehl.

bash$ rrzelinux [PRÄFIX] join
Username: [Benutzer mit Rechten für das gewählte Präfix]
Password: *****
rrzelinux: Host test.rrze.uni-erlangen.de was joined successfully (id=905)
rrzelinux: Saved keytab to: /tmp/krb5.keytab
rrzelinux: LDAP password is: [Passwort]

Die erzeugte Keytab muss abschließend noch an den richtigen Platz verschoben werden.

bash$ sudo mv -bv /tmp/krb5.keytab /etc/krb5.keytab
bash$ sudo chown root:root /etc/krb5.keytab

Das LDAP Passwort kann für eine Anbindung an den zentralen LDAP Server des RRZE verwendet werden, wird aber für Kerberos zunächst nicht benötigt.
Mehr Informationen zur LDAP Anbindung erhalten Sie auf der Seite zur SSSD Konfiguration.

Kerberos Konfiguration nachträglich hinzufügen

Existiert der entsprechende Host bereits (angelegt z. B. durch create) und soll jetzt für Kerberos konfiguriert werden kann dies wie folgt auch nachträglich geschehen.

bash$ rrzelinux [PRÄFIX] kerberize 
Username: [Benutzer mit Rechten für das gewählte Präfix] 
Password: *****

Kerberos Keytab erneut abrufen

Sollten Sie Ihre Keytab gelöscht haben, so können Sie diese wie folgt erneut erhalten.

bash$ rrzelinux [PRÄFIX] keytab
Username: [Benutzer mit Rechten für das gewählte Präfix] 
Password: *****
rrzelinux: Got keytab(s) of 1 entries for test.rrze.uni-erlangen.de
rrzelinux: 
rrzelinux: Kerberos keytab information
rrzelinux: ---------------------------
rrzelinux: Saved keytab to temporary location: /tmp/rrzelinux_krb5_keytab.AlD2sns1b
rrzelinux: Install in system with:
rrzelinux:     sudo mv -bv /tmp/rrzelinux_krb5_keytab.AlD2sns1b /etc/krb5.keytab && sudo chown root:root /etc/krb5.keytab

Das RRZE verwendet den System Security Services Daemon (SSSD) zur Benutzerauthentifizierung für alle Ubuntu Systeme.

Diese Anleitung beschreibt das Anlegen des Hosteintrags zum Zugriff auf die RRZE LDAP-Server für einen selbstverwalteten Rechner und die Installation und Konfiguration des SSSD zur Benutzerauthentifizierung unter Ubuntu.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen Anleitung der erfüllt sein.

FAU-CA Zertifikat einbinden

Die LDAP-Server des RRZE erlauben nur SSL verschlüsselten Zugriff via LDAPS (636) oder STARTTLS (389). Damit der Zugriff funktioniert müssen Sie das Zertifikat der Zertifizierungsstelle der FAU (FAU-CA) einbinden.

Folgen Sie dafür den unter FAU-CA Zertifikat einbinden beschriebenen Schritte bevor Sie diese Anleitung fortsetzen.

rrzelinux CLI Tool

Falls Sie kein Betreuungsangebot des RRZE gebucht haben (Serverhousing oder -hosting) wird im Verlauf der Installation wird das rrzelinux CLI Tool benötigt, um den Host-Eintrag Ihres Systems zu erzeugen.
Bitte führen Sie in diesem Fall im Vorfeld die Installation wie unter Installation des rrzelinux CLI Tools beschrieben durch.

Pakete

Folgender Pakete für Ubuntu 20.04 und höher müssen installiert werden:

bash$ sudo DEBIAN_FRONTEND=noninteractive apt-get install sssd sssd-tools libnss-sss libnss-ldap ldap-utils libpam-sss

Linux Hosteintrag erzeugen (entfällt für Housing/Hosting-Kunden)

Für den Zugriff auf die zentralen LDAP Server des RRZE muss ein rechnerspezifischer Host-Eintrag mit Passwort erzeugt werden.
Die Zugangsdaten dürfen nur auf dem damit verbundenen Rechner und nur zur Durchführung der Nutzerauthentifizierung verwendet werden!

Benötigen  Sie Zugriff auf unseren LDAP Server zu anderen Zwecken, kontaktieren Sie uns bitte per Mail an rrze-linux@fau.de.
Wir werden Ihr Anliegen prüfen und ggf. für Ihren Einsatzzweck einen separaten Zugang einrichten.

Initiale Einrichtung

bash$ rrzelinux [PRÄFIX] create 
Username: [Benutzer mit "create"-Rechten] 
Password: *****

Mit Ausnahme des Hostnamens sollte die Ausgabe in etwa so aussehen:

rrzelinux: Host test.rrze.uni-erlangen.de was created successfully (id=906)
rrzelinux: LDAP bind DN is: cn=test.rrze.uni-erlangen.de,ou=host,ou=profile,ou=linux,dc=rrze,dc=uni-erlangen,dc=de
rrzelinux: LDAP password is: [systemgeneriertes Passwort]

Der LDAP Bind-DN und Passwort kann für eine Anbindung an den zentralen LDAP Server des RRZE verwendet werden.

LDAP Passwort vergessen

Sollten Sie das LDAP-Passwort Ihres Hosts vergessen haben, so können Sie wie folgt die Informationen erneut erhalten:

bash$ rrzelinux [PRÄFIX] info
Username: [Benutzer mit "info"-Rechten]
Password: *****

Mit Ausnahme des Hostnamens sollte die Ausgabe in etwa so aussehen:

rrzelinux: Host infos for test.rrze.uni-erlangen.de were gathered successfully (id=906)
key                value
=================  ====================================================================

hostname           test
domain             rrze.uni-erlangen.de

owner              rrze
description        Remotely created host entry (by rrze)
group              ZS-Server

config             UNMANAGED
ldap               LDAP

binddn             cn=test.rrze.uni-erlangen.de,ou=host,ou=profile,ou=linux,dc=rrze,dc=uni-erlangen,dc=de
password           [systemgeneriertes Passwort]
krb realm          -
krb services       -

updated            2016-11-25 15:51:39.346
created            2016-11-25 15:51:39.14

SSSD Konfiguration

Zur Konfiguration des SSSD gehen Sie wie folgt vor:

bash$ cd /etc/sssd
bash$ sudo cp sssd.conf sssd.conf_old
bash$ sudo vi sssd.conf

Der Inhalt der Datei /etc/sssd/sssd.conf könnte in etwa so aussehen (RRZE-Standard Konfiguration):

[sssd]
debug_level = 3

config_file_version = 2
services = nss,pam

domains = LINUXLDAP

[nss]
debug_level = 3
filter_users = root
filter_groups = root

[pam]
debug_level = 3
filter_users = root
filter_groups = root

[domain/LINUXLDAP]
debug_level = 3

# optional: use this to override the configured per-user home from the ldap
#override_homedir = /home.local/%u

# With this as false, a simple "getent passwd" for testing won't work. You must do getent passwd user@domain.com
enumerate = false
cache_credentials = true

# cache cleanup operation removes cached entries that were not used for a while - unneccessary
ldap_purge_cache_timeout = 0

# makes all groups appear as empty (getent group), thus downloading only information about the group objects themselves and not their members
# this drastically improves performance with large ldap groups!
ignore_group_members = True

id_provider = ldap
auth_provider = ldap

ldap_uri = ldap://linuxldap.rrze.uni-erlangen.de
ldap_search_base = ou=linux,dc=rrze,dc=uni-erlangen,dc=de
ldap_id_use_start_tls = true
ldap_tls_cacert = /etc/ssl/certs/ca-certificates.crt

# This parameter requires that the ldap server presents a completely validated certificate chain. If you're testing or don't care, use 'allow' or 'never'.
# you need to install and trust the FAU-CA certificate for this to work!
ldap_tls_reqcert = demand
#ldap_tls_reqcert = never

# Bind credentials
ldap_default_bind_dn = [siehe Ausgabe des rrzelinux CLI Tool]
ldap_default_authtok = [siehe Ausgabe des rrzelinux CLI Tool]

ldap_user_search_base = ou=people,ou=linux,dc=rrze,dc=uni-erlangen,dc=de
ldap_group_search_base = ou=group,ou=linux,dc=rrze,dc=uni-erlangen,dc=de

bash$ sudo chmod 700 sssd.conf

Die gegebenen Konfiguration stellt die Empfehlung des RRZE dar.
Sie können die Konfiguration jedoch – falls nötig –  an Ihren Anwendungsfall anpassen.
Weiteren Informationen zu den verschiedenen Optionen erhalten Sie auf der sssd.conf Manpage.

Restart der Dienste

Damit die vorgenommene Konfiguration aktiv wird müssen die betroffenen Dienste neu gestartet werden.

Ubuntu 20.04 und höher

bash$ sudo systemctl restart sssd.service

NSSWITCH Anpassen

Die Name Service Switch (NSS) Konfiguration bestimmt verschiedene Quellen zur Namensauflösung.
Um den SSSD zur Namensauflösung für die zur Authentifizierung benötigten Daten zu konfigurieren müssen einige Anpassungen vorgenommen werden:

bash$ cd /etc
bash$ sudo cp nsswitch.conf nsswitch.conf_old
bash$ sudo vi nsswitch.conf

Der Inhalt der /etc/nsswitch.conf sollte dann für die betreffenden Datenbanken so aussehen:

passwd: files sss
shadow: files sss
group: files sss
netgroup: sss

Test

Nachdem alle Schritte durchgeführt wurden kann die Konfiguration noch auf korrekte Funktion überprüft werden.

Benutzer- und Gruppenauflösung

Dieser Test stellt sicher, dass die LDAP-Anbindung funktioniert und Benutzer- und Gruppeninformationen abgerufen werden können.
Statt der beispielhaft verwendeten Kennung „yc14omec“ können Sie auch Ihre eigene Kennung verwenden.

bash$ id yc14omec
uid=52014(yc14omec) gid=100000(fau_user) Gruppen=100000(fau_user)

Der Test ist erfolgreich, wenn die Ausgabe das Mapping auf die uidNumber und die Gruppenmitgliedschaften korrekt anzeigt.

Performante Gruppenauflösung

Dieser Test überprüft beziehungsweise demonstriert den Effekt der Konfigurationsoption ignore_group_members = true. Bei Abruf einer Gruppe werden aus Performanzgründen standardmäßig keine Mitglieder geliefert.
Dieses Verhalten ist erwünscht, da es sonst aufgrund der hohen Anzahl an Gruppenmitgliedern bei manchen Gruppen zu erheblichen Verzögerungen beim Einloggen kommen kann.

bash$ getent group rrze_linux
fau_user:*:100000:

Der Test ist erfolgreich, wenn keine Mitglieder der Gruppe angezeigt werden.

Fehlerbehebung

Bei Problemen mit der Gruppenauflösung oder generell „seltsamen“ Verhalten des SSSD kann zur Behebung versucht werden den Cache zu löschen.

Die sanfte Variante (funktioniert manchmal):

bash$ sudo sss_cache -E

Die harte Variante (funktioniert meistens):

# Ubuntu 20.04 und höher
bash$ sudo su
bash$ systemctl stop sssd && rm /var/lib/sss/db/* && systemctl start sssd
bash$ exit

Diese Anleitung beschreibt die Installation der CA Zertifikatskette für die FAU in einem Ubuntu System, so dass das System in Zukunft allen Zertifikaten, die von der CA der FAU ausgestellt wurden vertraut.

Vorbereitung

Bitte prüfen Sie die vorbereitenden Schritte, bevor Sie versuchen einzelne Teile der Anleitung durchzuführen.
In der Regel müssen diese Voraussetzungen für ein sinnvolles Umsetzen der Anleitung erfüllt sein.

Pakete

Installation

Die Installation erfolgt durch Download der FAU-CA Zertifikatskette und anschließende Installation im Ubuntu System.

Ubuntu 20.04 und höher

bash$ sudo wget https://linux.rrze.fau.de/pub/cacert/SECTIGO_chain.pem -O /usr/local/share/ca-certificates/SECTIGO_chain.crt
bash$ sudo wget https://linux.rrze.fau.de/pub/cacert/RRZE_chain.pem -O /usr/local/share/ca-certificates/RRZE_chain.crt

bash$ sudo update-ca-certificates

Java Support

Java verwendet eigenen eigenen Truststore in dem vertrauenswürdige Zertifikate abgelegt werden.
Um Java Anwendungen auch von der Validität der FAU Zertifikate zu überzeugen können diese wie folgt auch dort eingebunden werden.

Ubuntu 20.04 und höher

Die folgenden Befehle importieren exemplarisch das alte und das neue CA Zertifikat in den OpenJDK 8 Truststore.
Der Pfad zum Truststore kann ggf. je nach verwendeter Java Version und Implementierung abweichen und muss ggf. angepasst werden.

bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias SECTIGO-chain -file /usr/local/share/ca-certificates/SECTIGO_chain.crt
bash$ sudo keytool -importcert -noprompt -storepass changeit -keystore /usr/lib/jvm/java-8-openjdk-amd64/jre/lib/security/cacerts -alias RRZE-chain -file /usr/local/share/ca-certificates/RRZE_chain.crt