Hallo,
2016-04-01 18:54 GMT+02:00 Luca Bertoncello <[email protected]>:
> Hallo Leute,
>
> auf einem Ubuntu 14.04-Server will ich die Nutzer gegen den AD
> authentifizieren.
> Ich hab unzählige HowTo probiert und geht immer noch nicht.
>
> Ich will nicht auf dem Server Samba installieren, damit ich winbind nutzen
> kann.
> Kann jemand mir eine Empfehlung geben?
>
> Es MUSS möglich sein, mit libnss und LDAP, aber anscheinend bin ich zu dumm
> dafür...
Nein, Du bist hier nur auf dem falschen Weg.
AD stellt einen Verzeichnisdienst (LDAP) und einen
Authentifizierunsdienst (Kerberos) zur Verfügung - und letzteren
kannst Du auch für Linux nutzen.
Das geht folgendermaßen:
1. DNS eineindeutig IP-Adresse <==> Hostname (hier auch an IPv6 denken...)
2. /etc/krb5.conf
Beispiel:
############ schnipp ############
[libdefaults]
default_realm = EXAMPLE.COM
dns_fallback = true
forwardable = true
proxiable = true
[realms]
EXAMPLE.COM = {
default_domain = example.com
kdc = kdc1.example.com:88
kdc = kdc2.example.com:88
}
[domain_realm]
.example.com = EXAMPLE.COM
[logging]
default = SYSLOG:ERROR:AUTH
############ schnapp ###########
Groß- und Kleinschreibung ist zu beachten:
EXAMPLE:COM = Windows-Domain
example.com = DNS Domain
Wenn die Kerberos-Server im DNS stehen, dann können und sollen die
"kdc = " - Angaben weggelassen werden.
$ dig SRV _kerberos._udp.example.com
s.a.
http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Hostnames-for-KDCs.html
Danach muß das Holen eines Ticket Granting Tickets per
$ kinit [login_name]
Password for [email protected]: [AD-Passwort]
funktionieren.
3. PAM konfigurieren
...
auth sufficient pam_unix.so
auth sufficient pam_krb5.so use_first_pass
auth required pam_deny.so
...
AD-Nutzer muß es mit gleichem Login-Namen auf Linux geben.
Zu diesem Zweck kann selbstverständlich libnss-ldap und ein "eigener"
LDAP-Server genutzt werden, der die UNIX-spezifischen Informationen
vorhält, welche nicht ins AD-Schema passen.
--
William Epler
_______________________________________________
Lug-dd maillist - [email protected]
https://ssl.schlittermann.de/mailman/listinfo/lug-dd
