Hallo,

2016-04-01 18:54 GMT+02:00 Luca Bertoncello <[email protected]>:
> Hallo Leute,
>
> auf einem Ubuntu 14.04-Server will ich die Nutzer gegen den AD
> authentifizieren.
> Ich hab unzählige HowTo probiert und geht immer noch nicht.
>
> Ich will nicht auf dem Server Samba installieren, damit ich winbind nutzen
> kann.
> Kann jemand mir eine Empfehlung geben?
>
> Es MUSS möglich sein, mit libnss und LDAP, aber anscheinend bin ich zu dumm
> dafür...
Nein, Du bist hier nur auf dem falschen Weg.

AD stellt einen Verzeichnisdienst (LDAP) und einen
Authentifizierunsdienst (Kerberos) zur Verfügung  - und letzteren
kannst Du auch für Linux nutzen.

Das geht folgendermaßen:

1. DNS eineindeutig IP-Adresse <==> Hostname (hier auch an IPv6 denken...)

2. /etc/krb5.conf

Beispiel:
############ schnipp ############
[libdefaults]
 default_realm = EXAMPLE.COM
 dns_fallback = true
 forwardable = true
 proxiable = true

[realms]
 EXAMPLE.COM = {
   default_domain = example.com
   kdc = kdc1.example.com:88
   kdc = kdc2.example.com:88
 }

[domain_realm]
 .example.com = EXAMPLE.COM

[logging]
 default = SYSLOG:ERROR:AUTH
############ schnapp ###########

Groß- und Kleinschreibung ist zu beachten:
EXAMPLE:COM = Windows-Domain
example.com = DNS Domain

Wenn die Kerberos-Server im DNS stehen, dann können und sollen die
"kdc = " - Angaben weggelassen werden.

$ dig SRV _kerberos._udp.example.com

s.a. 
http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Hostnames-for-KDCs.html


Danach muß das Holen eines Ticket Granting Tickets per

$ kinit [login_name]
Password for [email protected]: [AD-Passwort]

funktionieren.


3. PAM konfigurieren

...
auth        sufficient    pam_unix.so
auth        sufficient    pam_krb5.so use_first_pass
auth        required      pam_deny.so
...

AD-Nutzer muß es mit gleichem Login-Namen auf Linux geben.
Zu diesem Zweck kann selbstverständlich libnss-ldap und ein "eigener"
LDAP-Server genutzt werden, der die UNIX-spezifischen Informationen
vorhält, welche nicht ins AD-Schema passen.




-- 
William Epler

_______________________________________________
Lug-dd maillist  -  [email protected]
https://ssl.schlittermann.de/mailman/listinfo/lug-dd

Antwort per Email an