Frage Melden Sie sich mit Active Directory unter Linux mit Kerberos 5 an


Ich habe ein Problem mit der Einrichtung von Auth für Benutzer unter Linux (Fedora Core 15 um genau zu sein) mit Active Directory auf Windows 2008 Server mit installierter Unterstützung für UNIX-Systeme. Ich habe Kerberos erfolgreich eingerichtet, getestet mit kinit -p <login> und klist um ein Ticket zu sehen. Aber ich kann mich immer noch nicht einloggen.

Um nutzlose Antworten für mich zu reduzieren: kein Samba, Winbind, Gleiches oder andere Software erlaubt. Nur NIS / LDAP erlaubt.

Klarstellung: Ich möchte den Client-Rechner sowohl mit lokalem als auch mit SSH-Zugang einrichten.

Update: Ich habe AD-Zugriff über LDAP konfiguriert, getent passwd 106289gm und getent shadow gib gültige Antworten, aber getent group zeigt keine AD-Gruppen an.


5
2018-06-11 20:53


Ursprung


Um klar zu sein, fragen Sie, wie Kerberos eingerichtet wird, damit sich AD-Benutzer über etwas wie SSH bei Linux anmelden können? - sysadmin1138♦
Enthält die Datei nsswitch.conf ldap in der Gruppenzeile? - HampusLi
Ja, es hat es. - Migol
Ich habe nicht viele Updates über Ihre Konfiguration gesehen, nur das Bounty-Update (ich wusste, dass es mir bekannt vorkam). Ein ziemlich umfangreicher Leitfaden für Gentoo ist Hier. Ich habe es wegen seiner Details ausgewählt. Möchten Sie uns Ihre aktuellen Setup-Konfigurationsdateien erläutern und wenn Sie weit von diesem Prozess abweichen? - songei2f
Oh, lass uns von deinem wissen /etc/libnss-ldap.conf im Speziellen. - songei2f


Antworten:


Wenn Sie "den leichten Weg" wollen, hatte ich einige gute Erfahrungen mit system-config-authentication und Winbind macht es die GUI-Art. Offensichtlich ist dies nicht ausdrücklich Kerberos, also lehne mich angemessen ab, wenn du dich geneigt fühlst. Sie können Winbind ausführen, aber LDAP erlaubt ausdrücklich auch, wenn das Ihren Anforderungen besser entspricht. Ich bekomme einen ominösen roten Fehler über NSS-LDAP-Bibliotheken,

Die Datei /lib64/libnss_ldap.so.2 wurde nicht gefunden, sie ist jedoch erforderlich, damit die LDAP-Unterstützung ordnungsgemäß funktioniert. Installiere das nss-pam-ldapd Paket, das diese Datei bereitstellt.

aber ich bin mir sicher, dass Sie das mit einem Minimum an Aufwand mit Yum installieren können. Sie sagen, Sie wollen Kerberos, aber sagen, nur NIS / LDAP ist erlaubt. Warum also nicht einfach auf AD zugreifen, als wäre es LDAP? Das ist meiner Erfahrung nach durchaus möglich. Sie können auch Kerberos konfigurieren. Siehe den Screenshot.Sample screenshot of the GUI utility I am talking about

Tipp, Hinweis, ist es Fedora 15nicht Fedorakernund war nicht "Core" für eine ganze Weile. Ich mache keine Witze über den Bloat in Bezug auf die Namensänderung (als ziemlich engagierter Fedora-Nutzer).


2
2018-06-12 13:10



Diese Methode funktioniert nicht, da sie keine Bindungen hat. - Migol
Woops, mein Schlechter. Tut mir leid, ich könnte nicht mehr helfen. - songei2f


Es ist eine Sache, von Kerberos authentifiziert zu werden, es ist eine andere Sache, sich einloggen zu können. Um sich einzuloggen, benötigen Sie:

  1. Gültige Authentifizierung (teilweise erledigt: wird von kerberos bereitgestellt. Überprüfen Sie, ob pam login / auth dies für ausreichend hält)
  2. Gültige Benutzer-ID und Gruppen-ID (wird normalerweise von Winbind, ldap, Centrify, AD-Diensten für UNIX bereitgestellt. Oder lokal in den Dateien / etc / passwd, / etc / group)
  3. Gültige Sucheinträge und -reihenfolge in /etc/nsswitch.conf für Benutzer und Gruppe.
  4. Gültige Shell und Home (normalerweise vordefiniert oder Automount)

Anmerkung1: Da können Sie tun getent passwd aber nicht getent group, ICH vermuten Sie verwenden den Active Directory-Dienst für Unix-LDAP-Zuordnung. Haben Sie gültige Domain-IDs für Domain \ Domainusers? AFAIK, Kerberos bietet keine Gruppen an. Die Möglichkeit, UID-Einträge zu sehen, bedeutet, dass LDAP korrekt zugeordnet ist, aber GID-Einträge sind möglicherweise nicht in LDAP enthalten.

Anmerkung2: Es gibt auch eine Begrenzung für die Anzahl der gesamten Daten, die LDAP in einer einzelnen Abfrage zurückgeben kann, und möglicherweise auch einige Zeit, die zum Abrufen der Ergebnisse benötigt wird. Hast du lange genug gewartet? Kannst du die Einträge gezielt überprüfen, wie getent passwd user1, getent passwd Domain\\user1, getent group domain-groupname-shown-in-getent-passwd. Dies sollte die Nachschlagezeit oder sogar die Zeitüberschreitung umgehen.


1
2018-06-20 01:12





Welche Version von AD verwenden Sie? Je nach Version müssen Erweiterungen des Standardschemas installiert oder aktiviert werden. Benutzer, die Linux-Systeme authentifizieren, benötigen zusätzliche Parameter, die in AD festgelegt sind.

Außerdem ist es schwierig, Hilfe zu geben, ohne Ihre Konfigurationsdateien zu sehen und ohne zu wissen, welche spezifische Fehlermeldung Sie in den Authentifizierungsprotokollen sehen. Wenn Sie ein Ticket erfolgreich erhalten können, bedeutet dies wahrscheinlich, dass Ihre Kerberos-Einstellungen korrekt sind. Aber, pam, nsswitch und ldap müssen alle korrekt konfiguriert sein.

tcpdump kann auch in diesen Situationen sehr hilfreich sein. Manchmal sind die Fehlermeldungen nicht sehr hilfreich und es kann sehr nützlich sein, die Konversation auf dem Draht direkt zu beobachten.


0
2018-06-11 22:54





Haben Sie die Kerberos-Anmeldung in PAM aktiviert?

Hinein sehen /etc/pam.d/system-auth für eine Zeile, die "Auth ausreichend pam_krb5.so" (oder etwas in dieser Richtung) sagt. Wenn Sie es nicht sehen, laufen Sie authconfig --enablekrb5 --updateStellen Sie sicher, dass eine Zeile wie diese in der Datei angezeigt wird, und versuchen Sie dann erneut, sich anzumelden.


0
2018-06-12 07:39