4 Stimmen

Nicht registrierter Benutzer avatar

Linux über Kerberos an Active Directory binden

Gefragt el 7 de Oktober, 2008
Wann wurde die Frage gestellt
4130 Ansichten
Anzahl der Besuche der Frage
4 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Wir versuchen, einen Linux-Rechner (Debian 4.0) an W2k3 AD zu binden. Wir haben Kerberos richtig konfiguriert, so dass wir TGTs erhalten können. Und die Benutzer authentifizieren sich ordnungsgemäß. Allerdings scheint PAM der Knackpunkt zu sein. Wenn wir zum Beispiel versuchen, als einer der AD-Benutzer per SSH auf den Linux-Rechner zuzugreifen, ist die Authentifizierung erfolgreich (laut auth.log), aber ich erhalte keine Shell. Die Standardumgebung ist richtig konfiguriert und PAM erstellt sogar das Homedir richtig. Als Referenz haben wir uns grob daran gehalten:

https://help.ubuntu.com/community/ActiveDirectoryHowto

Gefragt el 7 de Oktober, 2008 von Nicht registrierter Benutzer

Antworten

Zu viele Anzeigen?

1voto

Pontus avatar
Pontus Punkte 36

Wenn Sie sich sicher sind, dass alles außer PAM korrekt funktioniert, schlage ich vor, die Option debug an pam_krb5.so zu übergeben, um zu sehen, ob das einen Hinweis darauf gibt, was passiert ist.

Ich würde auch vorschlagen, zu überprüfen, ob nss-ldap korrekt eingerichtet ist, indem Sie

getent passwd avalidusername
Beantwortet el 8 de Oktober, 2008 von Pontus (36 Punkte )

0voto

csexton avatar
csexton Punkte 22829

Ich habe Likewise verwendet, um etwas Ähnliches auf unseren Servern zu tun. Hier ist der Prozess, mit dem wir es konfigurieren:

Gleichermaßen installieren:

$ sudo apt-get update
$ sudo apt-get install likewise-open

Der Domäne beitreten (Annahme der Domäne "domain.local")

$ sudo domainjoin-cli join domain.local Administrator
$ sudo update-rc.d likewise-open defaults
$ sudo /etc/init.d/likewise-open start

Wenn Sie sudo verwenden UND wollen, dass AD-Benutzer sudoer-Befugnisse haben, müssen Sie die Datei sudoers bearbeiten. Dies kann mit dem folgenden Befehl geschehen:

$ sudo visudo

dann fügen Sie am Ende der Datei Folgendes hinzu (dies setzt voraus, dass die Domäne "DOMAIN" und alle Benutzer, die sudo haben sollen, in einer Gruppe namens "linux_admin" im Active Directory sind):

%DOMAIN\\linux_admin ALL=(ALL) ALL
Beantwortet el 17 de November, 2008 von csexton (22829 Punkte )

0voto

s00th avatar
s00th Punkte 21

POSIX-Konten verlangen, dass Sie eine gültige Shell im Benutzerkonto eingestellt haben. Bei der Verwendung von LDAP wird dies durch das Attribut loginShell referenziert. Sie müssen PAM verwenden und loginShell in Ihrer Konfiguration ein entsprechendes Attribut zuordnen oder die MS-Dienste für UNIX auf dem DC aktivieren, wodurch das AD-Schema um die erforderlichen POSIX-Attribute erweitert wird.

Siehe http://www.ietf.org/rfc/rfc2307.txt als Verweis auf RFC2307, der dies für LDAP definiert.

Beantwortet el 4 de Dezember, 2009 von s00th (21 Punkte )

0voto

jas avatar
jas Punkte 1

Eine einfache Lösung pam_krb5+ldap-Projekt

Ein Fork des PAM-Moduls pam_krb5, das eine sehr einfach zu verwendende Konfiguration für die Nutzung der Linux-Client-Authentifizierung gegen eine bestehende Active-Directory-Domäne und/oder einen OpenLDAP-Server bietet.

Beantwortet el 22 de Marsch, 2010 von jas (1 Punkte )

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X