PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : AD Authentifizierung unter RedHat



deki7
07.04.10, 14:13
Hallo zusammen

Ich bin am Ende meiner Kräfte und brauche von euch Linuxspezialisten Hilfe.

Folgende Situation:
Ich habe ein RedHat Enterprise Linux Server 5.4 installiert. Konfiguriert ist auch schon einiges. Wenn ich mich mit einem User aus meinem AD am Linuxrechner via SSH einloggen will, erscheint die Meldung "Access denied". Ich habe die /etc/ssh/sshd_config schon drei Mal durchgecheckt, bei /etc/krb5.conf sass ich auch Stunden. Verwende ich su - Deki wechsle ich zum User Deki, mache ich dies aber von Anfang an bei der Anmeldung funktioniert dies jedoch nicht. im /etc/passwd sowie im /etc/group sieht alles in Ordnung aus.

Hat jemand eine Idee?

Vielen Dank für die Bemühungen

Beste Grüsse
Deki7

L00NIX
07.04.10, 19:26
Für Authentifizierung gegen Active Directory brauchst du Kerberos, LDAP und einen AD-Benutzer, um das LDAP-Verzeichnis browsen zu können.

Kerberos konfigurierst du in der Datei /etc/krb5.conf, wie du ja schon bemerkt hast. Darin steht dann (gekürzt) sowas wie


[libdefaults]
default_realm = EXAMPLE.ORG

[realms]
EXAMPLE.ORG = {
kdc = example.org
admin_server = example.org
default_domain = example.org
}


Dann, um Benutzer und Gruppen auflösen zu können, in der Datei /etc/nsswitch.conf (nur relevanter Teil):


passwd: files ldap
shadow: files ldap
group: files ldap


und in /etc/ldap.conf die Einträge (gekürzt, fette Stellen anpassen)


host 192.168.0.10 {ip-adresse der ad-controller}
base dc=example,dc=org
ldap_version 3
binddn cn=adbrowser,cn=Users,dc=example,dc=org
bindpw geheimes_password
bind_policy soft
nss_connect_policy persist
nss_base_passwd cn=Users,dc=example,dc=org?sub
nss_base_shadow cn=Users,dc=example,dc=org?sub
nss_base_group cn=Users,dc=example,dc=org?sub
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=User
pam_password ad
nss_map_attribute gecos name
nss_map_attribute cn sAMAccountName
nss_initgroups_ignoreusers root

Und dann noch PAM /etc/pam.d/{login,ssh,whatever}:
(bei debian gibt es die common-account, common-auth, etc. => sehr schön, RedHat ist da, wie auch an anderen Stellen, deutlich umständlicher. Ist ja auch "Enterprise" ;))


# account
account sufficient pam_ldap.so
account required pam_unix.so
# auth
auth sufficient pam_krb5.so ccache=/tmp/krb5cc_%u debug
auth required pam_unix.so nullok_secure try_first_pass
# ...


Testen kann man mit kinit (kerberos), getent (nsswitch) und natürlich mit einer Anmeldung am System dann PAM. Diese Kommandos haben Manpages!

Gruß
L00NIX

deki7
08.04.10, 08:48
Vielen Dank L00NIX

/etc/ldap.conf war der Schlüssel zum Erfolg ;-)

Problem gelöst