PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Linux auth am MS ADS



ralle2k
10.05.06, 17:34
Hallo Leute,

ich habe mir eine Testsystem aufgebaut um einen Linuxrechner (opensuse 10) am Microsoft ADS (2003 R2) PDC anzumelden. Später soll noch AIX 5.3 dazukommen.

Was muß ich alles konfigurieren, um dranzukommen? Reicht Kerberos alleine schon aus? Ich hab Kerberos eingerichtet (über yast) aber geht noch nicht.

Ich bin dankbar für jede Hilfe.

Gruß r2k

hupe_x
10.05.06, 23:10
Hi,
ich habe gerade einen Win2k Dom Controller aufgebaut und einen SuSE 10 Fileserver angeschlossen, der sich von WIndoof Server die User und Passwörter holen soll! Funktioniert ohne Probleme!
Das System läuft nun ein paar Tage ohne jegliche Probleme!

Willst du das so haben?
Dann versuch folgenden Link, das Thema wurde hier im Forum zu genüge angerissen!

http://www.linuxforen.de/forums/showthread.php?t=213006

über den thread bekommst du eigentlich alle Hinweise, falls dass das Prob ist was du hast!

Gruß
hupe

ralle2k
11.05.06, 12:36
Ich möchte, dass sich die X-Kisten am MS-AD anmelden. Also keine lokalen unix-Accounts außer root. MS-SFU brauche ich nicht zu installieren. weil der 2003´er R2 Server die schon drin hat und sogar RFC-compliant ist. Samba vielleicht später also auch nichts mit winbind etc...

Die Kerberos Verständigung klappt eigentlich schon, nur der login noch nicht.
kinit <ad-user> und passwort werden akzeptiert und mit klist kann ich mir die Ticketdetails anschauen.

in der /etc/security/pam_unix2.conf steht drin use_krb5 (Hauptsteuerdatei)

Trotzdem kann ich mich nicht am prompt direkt anmelden. Es scheint mir, dass immer noch nach lokalen usern gefragt wird. Dafür ist doch die nsswitch.conf zuständig oder? Die hat noch compat drinstehen. Soll das so sein?

Fragen über Fragen

hupe_x
15.05.06, 14:08
In die nsswitch.conf muss
passwd: files winbind ldap
shadow: files winbind ldap
group: files winbind ldap

Ich glaube so sollte es dann funktionieren.
Dadurch sollte er sich die User vom Windows holen!

ralle2k
15.05.06, 14:57
Ich hab mal die nsswitch.conf mit dem winbind eintrag versehen und meine smb.conf entsprechend konfiguriert. Ich kann jetzt auch die User vom ad benutzen. Ich dachte aber eigentlich dass ich auf winbind verzichten kann.
Wofür brauche ich denn dann noch kerberos? Nur als zusätzliche Integritätsprüfung der User?

Der Kennwortprüfprozeß dauert bei mir ewig. Teilweise bis zu 60 sec, woraufhin ich einen login timeout bekomme. Versuche ich es dann nochmal gehts schneller.
Sollte auch nicht so sein oder?

Bin ja noch gespannt, wie ich der AIX das ganze beibringe. Die zickt bestimmt noch viel mehr rum.

ralle2k
15.05.06, 16:04
Ach nochwas.....

Standardmäßig bekommen alle AD User eine /bin/false was ja zu 90% gut ist.
Ich brauche aber für manche User eine /bin/bash.
Mit dem parameter template shell = /bin/bash bekommt aber jeder AD user eine shell.

Kann ich steuern welcher User eine shell bekommt und welcher nicht?

hupe_x
15.05.06, 23:30
Ich glaube das mit der Shell geht nur, indem du die user an der Linux Kiste anlegst!
Das Kerberos ist für die Übersetzung der Kennwörter zuständig und Winbind übernimmt glaube die Verbindung der beiden OSs! (Berichtigt mich fals ich das falsch verstanden habe)
Die UNIX Tools nutzt du ja nicht, oder?
Also ich hab sie in Gebraucht und hab die Password Sync Time runter gestellt (also so dass er alle 5 min die Kennwörter synchronisiert) danach war der Login bei mit schneller! Vorher hatte ich das selbe prob

ralle2k
18.05.06, 09:35
Welche UNIX-Tools meinst du?

hupe_x
19.05.06, 13:07
Es gibts von WIndows "UNIX TOols for Windows" die sind für die Kommunikation zwischen Windows und Linux da.
Bei Windows Server 2003 sind die implementiert bei 2000 Server mußt du die nachinstallieren.

ralle2k
19.05.06, 14:47
Ach so du meinst SFU.

Jaja die sind aber erst bei der R2-Version von 2003 integriert. Diesen Windowsserver hab ich ja hier als Eval-Version. Wie kann ich jetzt
diese doofe Loginverzögerung wegkriegen?
Es ist definitiv winbind und nicht kerberos dran schuld.