Nun ja, auf arktur.schul-netz.de findet sich auch eine Anleitung. Zum großen Teil ist die, glaube ich, von mir. Aber hier kann ich aktuelle Änderungen selbst anpassen…

Die Schritte:

Debian-like mit

aptitude install libnss-ldap

Natürlich wird man dann aufgefordert einige Einstellungen vorzunehmen. Ich schreib mal meine hierhin:

• Ja, die anderen Pakete auch installieren.
• URI des LDAP-Servers: 192.168.0.1 (Nix mit ldapi: oder so!)
• Eindeutiger Name (DN - distinguished name) der Suchbasis: dc=uni-brachbach, c=de
• Benutzte LDAP-Version: 3
• LDAP-Zugang für root: egal (Ich drück einfach Enter)
• Passwort: auch egal (Ich drück einfach Enter)
• Hinweis auf nsswitch mit Enter bestätigen.
• Lokalen root zum Datenbankadministrator machen: Nein!
• Benötigt LDAP eine Anmeldung: Nein

Die entsprechenden Dienste müssen wissen, dass sie LDAP verwenden sollen:

passwd:         compat ldap
group:          compat ldap
shadow:         compat ldap

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

Ich habe auch schon gute Erfahrungen damit gemacht, das ldap hinter group und shadow wegzulassen.

Damit die Anmeldung an einem Debian-Client auch mit LDAP klappt, sind folgende Konfigurationsdateieninhalte (tolles Wort ) notwendig:

# /etc/pam.d/common-account
account sufficient pam_ldap.so

# /etc/pam.d/common-auth
auth sufficient pam_ldap.so
auth required pam_unix.so nullok_secure use_first_pass

# /etc/pam.d/common-password
password sufficient pam_ldap.so

# /etc/pam.d/common-session
# leer...

Ich habe eine zusätzliche Platte in Arktur eingebaut und zwei Partitionen in /home/Lehrer sowie /home'Schueler gemountet. Daher müssen die über NFS einzeln exportiert und vom Client auch einzeln eingebunden werden.

192.168.0.1:/home /home nfs rw,auto,user 0 0 192.168.0.1:/home/Lehrer /home/Lehrer nfs rw,auto,user 0 0 192.168.0.1:/home/Schueler /home/Schueler nfs rw,auto,user 0 0

Ja, es geht mit Sicherheit auch anders, aber ehrlich gesagt, ich weiß nicht, wer da neu gestartet werden muss. Nach dem reboot funktionierte jedenfalls bei mir das Anmelden als Lehrer euteneuer…

OK, Firefox heißt hier Iceweasel. Ich kann nix dafür. Schlimmer aber ist, dass die Proxykonfiguration für alle Nutzer weder etwas mit dem Namen Firefox noch mit dem Namen Iceweasel zu tun hat, sondern mit xulrunner. Sobald ich verstanden habe warum, werd' ich's hier hinschreiben. Daher muss man an die Datei

/usr/share/xulrunner-1.9/grepfs/all.js

die folgenden Zeilen hängen:

lockPref("network.proxy.autoconfig_url", "http://arktur/netscape.pac");
lockPref("network.proxy.type", 2);
lockPref("browser.startup.homepage", "http://arktur/online");

Und schon hat kein User mehr die Möglichkeit die Proxyeinstellungen zu ändern…

Beim Einbinden des home-Verzeichnisses von Arktur werden normalerweise alle Verzeichnisse eingebunden. Möchte man diese Überfrachtung umgehen, kann man über NFS ganz normal /home exportieren und dann in der entsprechenden autofs config

*   -rw server:/home/&

eintragen. So werden immer nur die gerade verwendeten Heimatverzeichnisse eingehängt