-<p><a href="http://www.dagensit.no/trender/article1658676.ece">Dagens
-IT melder</a> at Intel hevder at det er dyrt å miste en datamaskin,
-når en tar tap av arbeidstid, fortrolige dokumenter,
-personopplysninger og alt annet det innebærer. Det er ingen tvil om
-at det er en kostbar affære å miste sin datamaskin, og det er årsaken
-til at jeg har kryptert harddisken på både kontormaskinen og min
-bærbare. Begge inneholder personopplysninger jeg ikke ønsker skal
-komme på avveie, den første informasjon relatert til jobben min ved
-Universitetet i Oslo, og den andre relatert til blant annet
-foreningsarbeide. Kryptering av diskene gjør at det er lite
-sannsynlig at dophoder som kan finne på å rappe maskinene får noe ut
-av dem. Maskinene låses automatisk etter noen minutter uten bruk,
-og en reboot vil gjøre at de ber om passord før de vil starte opp.
-Jeg bruker Debian på begge maskinene, og installasjonssystemet der
-gjør det trivielt å sette opp krypterte disker. Jeg har LVM på toppen
-av krypterte partisjoner, slik at alt av datapartisjoner er kryptert.
-Jeg anbefaler alle å kryptere diskene på sine bærbare. Kostnaden når
-det er gjort slik jeg gjør det er minimale, og gevinstene er
-betydelige. En bør dog passe på passordet. Hvis det går tapt, må
-maskinen reinstalleres og alt er tapt.</p>
-
-<p>Krypteringen vil ikke stoppe kompetente angripere som f.eks. kjøler
-ned minnebrikkene før maskinen rebootes med programvare for å hente ut
-krypteringsnøklene. Kostnaden med å forsvare seg mot slike angripere
-er for min del høyere enn gevinsten. Jeg tror oddsene for at
-f.eks. etteretningsorganisasjoner har glede av å titte på mine
-maskiner er minimale, og ulempene jeg ville oppnå ved å forsøke å
-gjøre det vanskeligere for angripere med kompetanse og ressurser er
-betydelige.</p>
+<p>Today, the last piece of the puzzle for roaming laptops in Debian
+Edu finally entered the Debian archive. Today, the new
+<a href="http://packages.qa.debian.org/libp/libpam-mklocaluser.html">libpam-mklocaluser</a>
+package was accepted. Two days ago, two other pieces was accepted
+into unstable. The
+<a href="http://packages.qa.debian.org/p/pam-python.html">pam-python</a>
+package needed by libpam-mklocaluser, and the
+<a href="http://packages.qa.debian.org/s/sssd.html">sssd</a> package
+passed NEW on Monday. In addition, the
+<a href="http://packages.qa.debian.org/libp/libpam-ccreds.html">libpam-ccreds</a>
+package we need is in experimental (version 10-4) since Saturday, and
+hopefully will be moved to unstable soon.</p>
+
+<p>This collection of packages allow for two different setups for
+roaming laptops. The traditional setup would be using libpam-ccreds,
+nscd and libpam-mklocaluser with LDAP or Kerberos authentication,
+which should work out of the box if the configuration changes proposed
+for nscd in <a href="http://bugs.debian.org/485282">BTS report
+#485282</a> is implemented. The alternative setup is to use sssd with
+libpam-mklocaluser to connect to LDAP or Kerberos and let sssd take
+care of the caching of passwords and group information.</p>
+
+<p>I have so far been unable to get sssd to work with the LDAP server
+at the University, but suspect the issue is some SSL/GnuTLS related
+problem with the server certificate. I plan to update the Debian
+package to version 1.2, which is scheduled for next week, and hope to
+find time to make sure the next release will include both the
+Debian/Ubuntu specific patches. Upstream is friendly and responsive,
+and I am sure we will find a good solution.</p>
+
+<p>The idea is to set up the roaming laptops to authenticate using
+LDAP or Kerberos and create a local user with home directory in /home/
+when a usre in LDAP logs in via KDM or GDM for the first time, and
+cache the password for offline checking, as well as caching group
+memberhips and other relevant LDAP information. The
+libpam-mklocaluser package was created to make sure the local home
+directory is in /home/, instead of /site/server/directory/ which would
+be the home directory if pam_mkhomedir was used. To avoid confusion
+with support requests and configuration, we do not want local laptops
+to have users in a path that is used for the same users home directory
+on the home directory servers.</p>
+
+<p>One annoying problem with gdm is that it do not show the PAM
+message passed to the user from libpam-mklocaluser when the local user
+is created. Instead gdm simply reject the login with some generic
+message. The message is shown in kdm, ssh and login, so I guess it is
+a bug in gdm. Have not investigated if there is some other message
+type that can be used instead to get gdm to also show the message.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
projects / homepage.git / blobdiff