Re: "single sign on" mit NTLM - Runde 2

To: debian-user-german@lists.debian.org
Subject: Re: "single sign on" mit NTLM - Runde 2
From: Martin Steigerwald <Martin@lichtvoll.de>
Date: Fri, 27 Jan 2012 18:56:40 +0100
Message-id: <[🔎] 201201271856.40692.Martin@lichtvoll.de>
In-reply-to: <[🔎] 4F22C1C1.4030308@gmx.de>
References: <[🔎] 4F1A761B.5020206@gmx.de> <[🔎] 20120127091954.GA11940@chemie.uni-hamburg.de> <[🔎] 4F22C1C1.4030308@gmx.de> (sfid-20120127_181424_108937_BD04E508)

Hallo Hans-Dietrich,

Am Freitag, 27. Januar 2012 schrieb Hans-Dietrich Kirmse:
> Am 27.01.2012 10:19, schrieb Christian Schmidt:
> > Als *Laie* will man auch keine produktiven Server betreiben.
> 
> ob "will" oder "muss" sei dahin gestellt, und die Server in den Schulen
> werden meist von Lehrern betreut. Aus meiner Sicht sind das Laien
> hinsichtlich Linux, aber produktive Server sind das durchaus mit
> Nutzerzahlen meist über 500 und in den meisten Fällen über 20 Clients.
> Mir sind aber auch Fälle mit mehr als 100 Clients bekannt.

Verstehe ich das richtig, dass Du SSO mit NTLM einrichten möchtest / 
musst, …

> >>> Sicher, dass es nicht schon "vorher" an z.B. Namensaufloesung
> >>> und/oder Erreichbarkeit des Nameservers hapert? (Wobei letzteres
> >>> durchaus auch auf Problemen mit dem Routing beruhen kann...)
> >> 
> >> Das sehe ich als mein größtes Problem. Ich habe noch *NIE* 2 Server
> >> koppeln müssen.
> > 
> > "Koppeln?" Der eine muss den anderen nur erreichen koennen.
> 
> ja, erstmal "nur" erreichen.

… aber sich die Rechner derzeit nicht mal richtig erreichen? 

Du willst / musst also ein höchst komplexes Setup machen, über das ich vor 
Jahren - aber schon lange nicht mehr als Linux-Laie - schonmal Einiges an 
Zeit verbracht habe, es richtig hinzubekommen, während grundlegende 
Funktionalität noch nicht läuft?

Hut ab.

Meines Erachtens hast Du da noch einen guten Weg vor Dir. Und es geht nur 
mit viel Lernbereitschaft - also der Bereitschaft, über den Laien 
hinauszuwachsen - und einigem Zeitaufwand, so wie ich das einschätze oder 
…

… mit (bezahltem) Consulting / Support.

Der Weg über diese Mailingliste hängt meiner Meinung ganz entscheidend von 
Deiner Lernbereitschaft ab, denn hier helfen Dir Menschen oft in ihrer 
Freizeit. Daher ist es nur fair, wenn Du Dich redlich bemühst, diesen 
Helfern so gut zuzuarbeiten, wie Du kannst. Wie das im Falle einer 
konkreten Netzwerk-Konfiguration funktionieren kann, möchte ich Dir jetzt 
darlegen:

> Und was muss man da noch einstellen?

Na, dann schaue ich dochmal in die Glaskugel… … … … …



… … … … … hmmm, keine Ahnung.

(Ich will damit andeuten, dass ich aus diesem Thread keine Ahnung davon 
hab, was schon eingestellt ist - und ich die Frage, was man da noch 
einstellen muss unter diesen Voraussetzungen als sinnlos empfinde.)

> >> Und da die Zeit nicht stehen geblieben ist
> >> und in der Schule SSO einfach gebraucht wird (zumindest wenn man der
> >> Verantwortung gerecht werden will, aber sich nicht mit mehrfacher
> >> Passworteingabe abfinden will), jetzt hier der Versuch, dass
> >> hinzubekommen.
> >> 
> >> Ich habe einfach mal 2 Server installiert und dann versucht, den
> >> einen so anzupassen (umzukonfigurieren), das der einen PDC darstellt
> >> bzw. abgeben müßte (= 'plix') und der andere sollte angebunden
> >> werden ('alix'). Ergebnis: leider habe ich nichtmal geschafft, von
> >> alix aus ein 'ping plix' hinzubekommen. :(
> > 
> > Weiss alix denn, unter welcher IP-Adresse er plix erreichen kann?
> 
> ein "ping 10.100.0.1" ging problemlos, ein "ping plix" leider nicht.
> Offensichtlich sind die Einträge in der /etc/network/interfaces auf
> alix und die Einträge in den beiden Zonen-Files von 'plix' nicht
> ausreichend oder falsch. Leider weiss ich nicht, wo ich da ansetzen
> kann. - Noch Ideen?

Nein, meine Glaskugel ist gerade kaputt.

Wie wäre es

- mit den relevanten Auszügen von /e/n/interfaces? Und zwar nicht 
umgeschrieben, tabellarisch zusammengefasst oder irgendetwas, sondern so, 
wie sie sind und auch nicht auf irgendeiner Webseite, die gerade nicht 
auffindbar ist (es sei denn es sind lange Logs für einen - funktionierenden 
- Pastebin-Dienst)

- relevante Auszüge von ip addr show

- relevante Auszüge von ip route show

- den relevanten Auszügen der Bind-Konfiguration

- den Ausgaben von Ping, wenn es geht - also mit IP-Adresse - und wenn es 
nicht geht - also mit Namen mitsamt der exakten Befehlsaufrufe

- den Ausgaben von host plix und host alix jeweils auf dem jeweiligen Host 
und auf dem jeweils anderen Host

- dem Inhalt von /etc/resolv.conf auf beiden Maschinen

- läuft der DNS-Dienst? ("named" in Prozessliste)

- ist in /var/log/daemon.log oder syslog irgendetwas Auffälliges zu dem 
Thema?


Ein Netzwerk-Schema und Dokumentation, wie ich sie auf der Webseite kurz, 
vielleicht zu kurz anschaute, ist schon hilfreich, aber letztlich 
entscheidet die konkrete Konfiguration, obs denn wirklich funktioniert. 
Also das, was in den genannten Dateien *wirklich drinnen steht*. Auf dem 
Papier funktioniert es nämlich immer ;).

Ciao,
-- 
Martin 'Helios' Steigerwald - http://www.Lichtvoll.de
GPG: 03B0 0D6C 0040 0710 4AFA  B82F 991B EAAC A599 84C7

Reply to:

Follow-Ups:
- Re: "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

References:
- "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>
- Re: "single sign on" mit NTLM - Runde 2
  - From: Christian Schmidt <Christian.Schmidt@chemie.uni-hamburg.de>
- Re: "single sign on" mit NTLM - Runde 2
  - From: Hans-Dietrich Kirmse <hd.kirmse@gmx.de>

Prev by Date: Re: "single sign on" mit NTLM - Runde 2
Next by Date: Re: "single sign on" mit NTLM - Runde 2
Previous by thread: Re: "single sign on" mit NTLM - Runde 2
Next by thread: Re: "single sign on" mit NTLM - Runde 2
Index(es):
- Date
- Thread