-<p>Jeg møter alle slags interessante mennesker på min vei, og et møte
-jeg lærte mye av var å treffe på en svært kompetent IT-fyr som
-benektet ting jeg anser som åpenbart og selvfølgelig når det gjelder
-standarder. Det var interessant, da det fikk meg til å tenke litt
-nøyere på hvilke mekanismer som ligger til grunn for at noe oppfattes
-som en standard. Det hele startet med arbeid rundt integrering av NSS
-LDAP mot Active Directory, og problemer som oppstår pga. at Active
-Directory ikke følger LDAP-spesifikasjonen som dokumentert i RFCer fra
-IETF (konkret, AD returnerer kun et subset av attributter hvis det er
-mer enn 1500 atributter av en gitt type i et LDAP-objekt, og en må be
-om resten i bolker av 1500). Jeg hevdet måten dette ble gjort på brøt
-med LDAP-spesifikasjonen, og henviste til hvor i LDAP-spesifikasjonen
-fra IETF det sto at oppførselen til AD ikke fulgte
-LDAP-spesifikasjonen. AD-spesialisten overrasket meg da ved å
-fortelle at IETF var ikke de som definerte LDAP-spesifikasjonen, og at
-Active Directory ikke brøt den virkelige LDAP-spesifikasjonen som han
-mente lå til grunn. Jeg ble spesielt overrasket over denne
-tilnærmingen til problemstillingen, da til og med Microsoft så vidt
-jeg kan se anerkjenner IETF som organisasjonen som definerer
-LDAP-spesifikasjonen. Jeg fikk aldri spurt hvem han mente sto bak den
-egentlige LDAP-spesifikasjonen, da det var irrelevant for problemet vi
-måtte løse (få Linux og AD til å fungere sammen). Dette møtet
-fortalte meg uansett at det ikke er gitt at alle aktører er enige om
-hva en standard er, og hva som er kilden til en gitt standard. Det er
-vanskelig å enes om felles standarder før en først enes om hvem som
-bestemmer hva en gitt standard innebærer.</p>
-
-<p>Hva er så en standard? I sin abstrakte form er det noe å samles
-om. På engelsk er en av betydningene fane brukt i krig, du vet, den
-type fane en samlet seg rundt på kamplassen i riddertiden. En
-standard definerer altså et felleskap, noen som har noe felles. Det
-er naturligvis mange måter å utgjøre et felleskap på. En kan
-f.eks. enes om å gjøre alt slik som Ole gjør det, og dermed si at Oles
-oppførsel er standard. Hver gang Ole endrer oppførsel endrer også
-standarden seg uten noe mer organisering og prosedyre. En variant av
-dette er å gjøre slik som Ole har gjort det i stedet for slik Ole til
-enhver til gjør noe. Dette er ofte litt enklere å forholde seg til,
-da en slipper å sjekke med Ole hver gang for å vite hvordan ting skal
-gjøres nå, men hvis det Ole gjorde noe dumt den gang en bestemte seg
-for å følge Ole, så er det vanskeligere å få endret oppførsel for å
-unngå dette dumme.</p>
-
-<p>En kan også ta det et skritt videre, og istedet for å basere seg på
-enkeltpersoners oppførsel sette seg ned og bli enige om hvordan en
-skal gjøre ting, dvs. lage et felleskap basert på konsensus. Dette
-tar naturligvis litt mer tid (en må diskutere ting i forkant før en
-kan sette igang), men det kan bidra til at den oppførselen en
-planlegger å benytte seg av er mer gjennomtenkt. Det ender også
-typisk opp med en beskrivelse av ønsket oppførsel som flere kan forstå
-- da flere har vært involvert i å utarbeide beskrivelsen.</p>
-
-<p>Dette er dessverre ikke alt som trengs for å forstå hva en åpen
-standard er for noe. Der alle kan se på hvordan folk oppfører seg, og
-dermed har valget om de vil oppføre seg likt eller ikke, så er det
-endel juridiske faktorer som gjør det hele mer komplisert -
-opphavsretten og patentlovgivningen for å være helt konkret. For å gi
-et eksempel. Hvis noen blir enige om å alltid plystre en bestemt
-melodi når de møtes, for å identifisere hverandre, så kan
-opphavsretten brukes til å styre hvem som får lov til å gjøre dette.
-De har standardisert hvordan de kjenner igjen alle som følger denne
-standarden, men ikke alle har nødvendigvis lov til å følge den.
-Musikk er opphavsrettsbeskyttet, og fremføring av musikk i
-offentligheten er opphavsmannens enerett (dvs. et monopol). Det vil i
-sin ytterste konsekvens si at alle som skal plystre en
-opphavsrettsbeskyttet melodi i det offentlige rom må ha godkjenning
-fra opphavsmannen. Har en ikke dette, så bryter en loven og kan
-straffes. Det er dermed mulig for opphavsmannen å kontrollere hvem
-som får lov til å benytte seg av denne standarden. En annen variant
-er hvis en standard er dokumentert, så er dokumentet som definerer
-standarden (spesifikasjonen) beskyttet av opphavsretten, og det er
-dermed mulig for rettighetsinnehaver å begrense tilgang til
-spesifikasjonen, og slik styre hvem som kan ta i bruk standarden på
-den måten.</p>
-
-<p>Der opphavsretten innvilger et monopol på kunstneriske uttrykk med
-verkshøyde, innvilger patentlovgivningen monopol på ideer. Hvis en
-slik patentert idé (fortrinnsvis uttrykt i en teknisk innretning, men
-det er kompliserende faktorer som gjør at det ikke er et krav) trengs
-for å ta i bruk en standard, så vil den som innehar patent kunne styre
-hvem som får ta i bruk standarden. Det er dermed ikke gitt at alle
-kan delta i et standard-felleskap, og hvis de kan delta, så er det
-ikke sikkert at det er på like vilkår. F.eks. kan rettighetsinnehaver
-sette vilkår som gjør at noen faller utenfor, det være seg av
-finansielle, avtalemessige eller prinsipielle årsaker. Vanlige slike
-vilkår er "må betale litt for hver kunde/bruker" som utelukker de som
-gir bort en løsning gratis og "må gi fra seg retten til å håndheve
-sine egne patentrettigheter ovenfor rettighetshaver" som utelukker
-alle som ønsker å beholde den muligheten.</p>
-
-<p>En åpen standard innebærer for meg at alle kan få innsikt i en
-komplett beskrivelse av oppførsel som standarden skal dekke, og at
-ingen kan nektes å benytte seg av standarden. Noen mener at det
-holder at alle med tilstrekkelig finansiering kan få tilgang til
-spesifikasjonen og at en kun har finansielle krav til bruk.
-Pga. denne konflikten har et nytt begrep spredt seg de siste årene,
-nemlig fri og åpen standard, der en har gjort det klart at alle må ha
-komplett og lik tilgang til spesifikasjoner og retten til å gjøre bruk
-av en standard for at en standard skal kunne kalles fri og åpen.</p>
+<p>Today, the last piece of the puzzle for roaming laptops in Debian
+Edu finally entered the Debian archive. Today, the new
+<a href="http://packages.qa.debian.org/libp/libpam-mklocaluser.html">libpam-mklocaluser</a>
+package was accepted. Two days ago, two other pieces was accepted
+into unstable. The
+<a href="http://packages.qa.debian.org/p/pam-python.html">pam-python</a>
+package needed by libpam-mklocaluser, and the
+<a href="http://packages.qa.debian.org/s/sssd.html">sssd</a> package
+passed NEW on Monday. In addition, the
+<a href="http://packages.qa.debian.org/libp/libpam-ccreds.html">libpam-ccreds</a>
+package we need is in experimental (version 10-4) since Saturday, and
+hopefully will be moved to unstable soon.</p>
+
+<p>This collection of packages allow for two different setups for
+roaming laptops. The traditional setup would be using libpam-ccreds,
+nscd and libpam-mklocaluser with LDAP or Kerberos authentication,
+which should work out of the box if the configuration changes proposed
+for nscd in <a href="http://bugs.debian.org/485282">BTS report
+#485282</a> is implemented. The alternative setup is to use sssd with
+libpam-mklocaluser to connect to LDAP or Kerberos and let sssd take
+care of the caching of passwords and group information.</p>
+
+<p>I have so far been unable to get sssd to work with the LDAP server
+at the University, but suspect the issue is some SSL/GnuTLS related
+problem with the server certificate. I plan to update the Debian
+package to version 1.2, which is scheduled for next week, and hope to
+find time to make sure the next release will include both the
+Debian/Ubuntu specific patches. Upstream is friendly and responsive,
+and I am sure we will find a good solution.</p>
+
+<p>The idea is to set up the roaming laptops to authenticate using
+LDAP or Kerberos and create a local user with home directory in /home/
+when a usre in LDAP logs in via KDM or GDM for the first time, and
+cache the password for offline checking, as well as caching group
+memberhips and other relevant LDAP information. The
+libpam-mklocaluser package was created to make sure the local home
+directory is in /home/, instead of /site/server/directory/ which would
+be the home directory if pam_mkhomedir was used. To avoid confusion
+with support requests and configuration, we do not want local laptops
+to have users in a path that is used for the same users home directory
+on the home directory servers.</p>
+
+<p>One annoying problem with gdm is that it do not show the PAM
+message passed to the user from libpam-mklocaluser when the local user
+is created. Instead gdm simply reject the login with some generic
+message. The message is shown in kdm, ssh and login, so I guess it is
+a bug in gdm. Have not investigated if there is some other message
+type that can be used instead to get gdm to also show the message.</p>
+
+<p>If you want to help out with implementing this for Debian Edu,
+please contact us on debian-edu@lists.debian.org.</p>
projects / homepage.git / blobdiff