Hallo Zusammen

Ich möchte auf einem SLES 10 Rechner flogendes einrichten...

Einen OpenVPN Server der für die Authentifizierung der VPN User(und genau nur VPN) per PAM auf einen ADS Server zugreift... Für die Authentifizierung möchte ich Username, PW und ein Flag aus ADS Abfragen..

Ich hab wie jeder brave Forenuser erst gegoogelt... dort jedoch irgendwie nur elend lange Tuts zur Einbindung eines Rechners in eine ADS Domäne gefunden. Dabei fielen immer wieder die Schlagworte LDAP und Winbind... Hier im Forum gibts nur ein Thread (http://www.linuxforen.de/forums/showthread.php?t=141690&highlight=ads+pam) gefunden, das leider unbeantwortet blieb...

Wenn ich das richtig Verstanden habe ist bei der LDAP Variante eine Erweiterung der ADS Struktur von nöten, was ich verhindern will...

Winbind habe ich noch nicht genauer angeguckt.

Ist es auf mehr oder wenig einfachem Wege möglich per PAM 3 Felder(wie oben erwähnt Username, PW und Remote Flag) von ADS abzufragen ohne gleich an der Ads Struktur rumzubasteln?

Wenn dies nicht geht, gibt es andere möglichkeiten wie ich das sauber lösen kann?

Danke im Voraus :)

Ich hab mich nicht mit PAM beschäftigt, hab aber neulich einen Samba von OpenSuSE 10.1 in W2003 ADS integriert. Schlagworte Kerberos und Winbind.

Also. SuSE 10.1 installiert und das aktuelle Samba runtergeladen, kompiliert und installiert.

Zunächst musst du dafür sporgen, dass du dich per Kerberos authentifizieren kannst. Dazu musst du die Datei /etc/krb5.conf entsprechend anpassen. Dann kannst testen mit
> kinit username

Hier ist ne Anleitung, wie man Samba in ADS integiert:
http://www.pro-linux.de/work/server/samba3-domaene.html

Weiß aber nicht, in wie weit du das benötigst. Ich würde Kerberos zum laufen bringen, und dann PAM über Kerberos laufen lassen.

Danke jacusy für die Antwort...

Nur mein Problem ist, das ich mit dem Rechner nicht in die Domäne will... heisst ich will keine einheitliche Benutzerverwaltung usw. sondern nur die Authentifizierung und das Flag.

Die ADS User sollen sich nicht einfach auf der Kiste einlogen können, sondern halt nur ein OpenVPN Tunnel aufbaun...

Ich habe gesehn das Krb5 die Autentifizeirung an einem ADS untersützt... aber ich glaube nicht das ich damit noch sowas wie das Remote Flag in ADS abfragen kann..

Nun, die richtigen Suchbegriffe sind ganz entscheidend für ein erfolgreiches finden:
"linux pam active directory": http://www.google.de/search?hl=de&q=linux+pam+active+directory&btnG=Google-Suche&meta=

RichieX

Ehm erfolgreiche Suche? Sry aber ich kenn die meisten Links dort schon löst aber ned mein Problem da sich 90% mit der Integration eines Linux Rechners in ADS befassen. Da der Rechner jedoch nicht ins ADS soll, bleiben noch 10%.

Ich versuch mal nach meinen Recherchen die Frage ein bisschen zu konkretisieren... ist es möglich mit PAM mehr(Also mein Flag) als die Authentifizierung (also Username & PW) von Ads raus zu holen... ohne den Weg über einen Linux Ldap zu gehn....

... ohne den Weg über einen Linux Ldap zu gehn....
Wieso Linux LDAP? Alles was du brauchst ist ein LDAP-PAM-Modul oder deine VPN-Software bringt gleich ein LDAP-Modul mit. Die AD von Windows ist ja eigentlich eine abgewandelte und erweiterte LDAP.


Ehm erfolgreiche Suche? Sry aber ich kenn die meisten Links dort schon löst aber ned mein Problem da sich 90% mit der Integration eines Linux Rechners in ADS befassen. Da der Rechner jedoch nicht ins ADS soll, bleiben noch 10%.
Man muss doch den Rechner nicht ins AD integrieren, um eine Authentifizierung am AD zu erreichen.

RichieX

Wieso Linux LDAP? Alles was du brauchst ist ein LDAP-PAM-Modul oder deine VPN-Software bringt gleich ein LDAP-Modul mit. Die AD von Windows ist ja eigentlich eine abgewandelte und erweiterte LDAP.
RichieX
Hmm also nur Ldap Pam... ohne das Kerberos Zeuch funtzt... hmm ich werd mal gucken soweit danke :)


Man muss doch den Rechner nicht ins AD integrieren, um eine Authentifizierung am AD zu erreichen.
Weiss ich... ich wollt damit Sagen das Sich 90% der Google Resultate damit befassen....

Hast du bezüglich LDAP-Authentifizierung schon was neues?

Hab grade vor, etwas ähnliches auf die Füße zu stellen.
Ich möchte generell über LDAP authentifizieren für VMWare-Server.

Dazu möchte ich erst per SSH einen Tunnel aufbauen und dann die Maschinen durch die jeweiligen Benutzer starten lassen.

Genügt es, wenn man einfach die Konfiguration des Clients über Yast vornimmt (SuSE 10.2) oder müssen noch weitere Einstellungen vorgenommen werden?


Hab grad rausgefunden wies geht.
Allerdings nicht über LDAP sondern über Kerberos:
Standardkonfiguration des Kerberos-Client über Yast durchführen, anschließend User über Kommandozeile ohne Passwort anlegen.
Der Benutzername muss identisch sein, die Uhrzeit muss passen.
Anschließend sollte man sich mit diesem Benutzer an der Kommandozeile anmelden können.
Als Passwort wird das Windows-Kennwort verwendet. Wird kein Kennwort eingegeben so wird noch einmal nach dem Kerberos-Kennwort gefragt.

Es kann sogar das Kennwort geändert werden, wenn man sich einmal eingeloggt hat.

So far...
Viel Spaß - ich geh jetz schlafen.