setperms
Exceed onDemand
 Server-Einstellungen

Authentifizierung

Bevor ein Anwender Exceed onDemand nutzen kann (dh. eine X-Proxy-Session starten kann), muss er sich mit seimen EoD-Client am EoD-Server anmelden. Dieser authentifiziert den Anwender mit Login+Passwort gegen die Benutzerverwaltung seines Gast-Betriebssystems.
Dafür stehen zwei Methoden zur Verfügung:

  • native : bedeutet, dass der Cluster Manager die Credentials direkt mit passwd , shodow oder NIS vergleicht. Diese Methoden funktioniert auf allen Plattformen "out of the box", hat aber ein paar Nachteile:
    • Das Ablaufdatum von Passwörtern wird ignoriert.
    • Es gibt keine Dialoge zur Änderung von Passwörtern.
    • In seltenen Fällen (z.B. Redhat Server 5.x) bleiben deaktivierte Accounts mit EoD zugänglich.
  • PAM : verwendet die Implementierung der "Pluggable Authentication Modules" des Gastbetriebssystems (sofern vorhanden, auf Liunux und Solaris ist PAM allerdings schon länger etabliert). 
    Damit funktionieren auch bei Anmeldung am EoD-Server Passwort-Ablaufregeln u.ä. Sogar Dialoge zum Ändern des Passworts werden dem EoD-Anwender bei Bedarf angeboten.

PAM erfordert allerdings eine gewisse Vorarbeit auf dem Gastbetriebssystem; deshalb ist als Default nach der Installation das unkompliziertere "native" konfiguriert.

PAM für Exceed onDemand einrichten

Zunächst muss in der PAM-Konfiguration des Gastbetriebssystems "exceedondemand" als zugelassener Service für Authentifizierung eingerichtet werden. Bei Linux findet dies im Verzeichnis  /etc/pam.d/  statt:



muchcl2:~ # cd /etc/pam.d/
muchcl2:/etc/pam.d # ls
atd                                crond                        quagga
chage                              cups                         rpasswd
chfn                               gdm                          samba
chsh                               gdm-autologin                shadow
common-account                     gnome-passwd                 smtp
common-account-pc                  gnome-screensaver            sshd
common-account.pam-config-backup   gnome-screensaver-smartcard  su
common-auth                        gnomesu-pam                  su-l
common-auth-pc                     kcheckpass                   sudo
common-auth.pam-config-backup      login                        useradd
common-password                    login.old                    vmware-guestd
common-password-pc                 other                        vsftpd
common-password.pam-config-backup  passwd                       xdm
common-session                     polkit                       xdm-np
common-session-pc                  ppp                          xscreensaver
common-session.pam-config-backup   pure-ftpd
muchcl2:/etc/pam.d # cp login exceedondemand
muchcl2:/etc/pam.d # cat exceedondemand
#%PAM-1.0
auth     requisite      pam_nologin.so
auth     [user_unknown=ignore success=ok ignore=ignore auth_err=die default=badp
am_securetty.so
auth     include        common-auth
account  include        common-account
password include        common-password
session  required       pam_loginuid.so
session  include        common-session
session  required       pam_lastlog.so  nowtmp
session  required       pam_resmgr.so
session  optional       pam_mail.so standard
session  optional       pam_ck_connector.so
Im Verzeichnis  /etc/pam.d/  besitzt jeder Service, der PAM-Authentifizierung in Anspruch nehmen kann, eine Konfigurationsdatei, die den Namen des Services trägt.











Am einfachsten legt man dort eine Kopie der Datei login an und nennt diese exceedondemand .

In der Datei steht nun die konkrete PAM-Konfiguration für EoD, die man bei Bedarf bearbeiten kann (meist nicht nötig).

Für Details der PAM-Konfiguration ist die PAM-Dokumentation zu konsultieren, z.B. hier.

Tip: Auf anderen Systemen (z.B. Solaris) besteht die PAM-Konfiguration aus nur einer Datei:  /etc/pam.conf
In dieser Datei kopiert man pragmatisch die Zeile "login   ..." und ersetzt dann am Anfang das Wort  login  mit  exceedondemand.

Nun muss Exceed onDemand selbst für PAM konfiguriert werden. Zuständig hierfür ist die Datei  /conf/admin/cluster.cfg:

muchcl2:/opt/Exceed_onDemand_6/Server/conf/admin # cat cluster.cfg
[CLUSTER]
EoDCMPassword=vblwC6zigDVon+P0z7BcPQ==
EoDCMSSL=1
EoDCMLog=text
EoDCMDefXconfig=Passive.cfg
EoDCMAuth=pam
EoDCMAuthPAMPwdPrompt=Password:
EoDCMPreferredPCM=muchcl2.opentext.net
EoDLoadBalancing=cpu
EoDCMLogLevel=1
EoDCMLogRollSize=0
EoDCMLogRollTime=0
EodShowShareConfirmDialog=0
Zu ändern ist die Zeile
EoDCMAuth=native
zu
EoDCMAuth=pam

Evtl. ist der Passwort-Promt anzupassen, auf Linux passt aber das engl. "Password".

Wichtig: Bei allen Änderungen sollte man vorher ein Backup der cluster.cfg anlegen. Ein Fehler kann hier bedeutet, dass die Anmeldung am EoD-Server unmöglich wird oder der Server nicht mehr starten kann!
Site Map
setperms
     © 2008 Andreas Gottwald 		Server-Einstellungen