R: Debian e autenticazione esterna
Cari tutti, come promesso ecco i risultati (positivi) riguardo l'oggetto. La mia esigenza era far accedere determinati soggetti ai server linux usando l'autenticazione centralizzata su Active Directory Microsoft. Come suggerito da Marco, ho installato il pacchetto libpam-krb5 apt install libpam-krb5 Ho poi configurato il file /etc/krb5.conf con i dati necessari. Ma non ho attivato su pam-auth-update la creazione automatica della home dir, perché a me interessava autorizzare solo determinati soggetti. In questa situazione, se un utente si presenta al login in console, l'autenticazione ha successo, ma non ottiene la shell perché non ha l'utente registrato nel S.O. del server, per cui si ritrova nuovamente alla schermata di login. Via SSH, non viene data autorizzazione al login. Ma a questo punto se da root faccio adduser --disabled-login aggiungo le informazioni gecos e l'utente può fare login su console e ssh con la password di AD. L'utente viene inserito su /etc/passwd con una shell e su /etc/shadow con il ! al posto della password, e può fare login con l'autenticazione esterna. E' proprio quello che mi serviva. Grazie per l'aiuto. Ciao da Lorenzo -Messaggio originale- Da: Marco Gaiarin Inviato: martedì 15 febbraio 2022 22:31 A: MAURIZI Lorenzo Cc: debian-italian@lists.debian.org Oggetto: Re: Debian e autenticazione esterna Mandi! MAURIZI Lorenzo In chel di` si favelave... > mi rivolgo alla lista per trovare una soluzione al seguente quesito: > è possibile autenticare gli utenti di un server Debian utilizzando Active > Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Non può sentirsi degno di essere italiano chi non vota SI al referendum (Silvio Berlusconi, 21 giugno 2006)
Re: Debian e autenticazione esterna
Ciao Lorenzo. Confermo che per la sola autenticazione Kerberos non è necessario che la macchina sia in dominio. E' il bello di usare kerberos :) Il 16/02/2022 09:47, MAURIZI Lorenzo ha scritto: Mi aggancio alla risposta di Marco per ringraziare lui e Diego per l'aiuto prestato. Stavo cercando di studiare il workflow di autenticazione di Kerberos per capire se è mandatorio avere la macchina a dominio per essere "trustata", ma da quello che vedo dalla soluzione proposta da Marco, non serve. Provo ad applicare questa soluzione e vi farò sapere gli esiti. Saluti da Lorenzo -Messaggio originale- Da: Marco Gaiarin Inviato: martedì 15 febbraio 2022 22:31 A: MAURIZI Lorenzo Cc: debian-italian@lists.debian.org Oggetto: Re: Debian e autenticazione esterna Mandi! MAURIZI Lorenzo In chel di` si favelave... mi rivolgo alla lista per trovare una soluzione al seguente quesito: è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
R: Debian e autenticazione esterna
Mi aggancio alla risposta di Marco per ringraziare lui e Diego per l'aiuto prestato. Stavo cercando di studiare il workflow di autenticazione di Kerberos per capire se è mandatorio avere la macchina a dominio per essere "trustata", ma da quello che vedo dalla soluzione proposta da Marco, non serve. Provo ad applicare questa soluzione e vi farò sapere gli esiti. Saluti da Lorenzo -Messaggio originale- Da: Marco Gaiarin Inviato: martedì 15 febbraio 2022 22:31 A: MAURIZI Lorenzo Cc: debian-italian@lists.debian.org Oggetto: Re: Debian e autenticazione esterna Mandi! MAURIZI Lorenzo In chel di` si favelave... > mi rivolgo alla lista per trovare una soluzione al seguente quesito: > è possibile autenticare gli utenti di un server Debian utilizzando Active > Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Non può sentirsi degno di essere italiano chi non vota SI al referendum (Silvio Berlusconi, 21 giugno 2006)
Re: Debian e autenticazione esterna
Mandi! MAURIZI Lorenzo In chel di` si favelave... > mi rivolgo alla lista per trovare una soluzione al seguente quesito: > è possibile autenticare gli utenti di un server Debian utilizzando Active > Directory ma senza fare il join del server linux al dominio? Se sì, come? Se non ti interessano gruppi e relative membership: apt-get install pam-krb5 inserisci il realm, quindi dai: pam-auth-update ed abiliti pam_mkhomedir. Fatta. -- Non può sentirsi degno di essere italiano chi non vota SI al referendum (Silvio Berlusconi, 21 giugno 2006)
Re: Debian e autenticazione esterna
Ciao Lorenzo. AD è grosso modo Kerberos + LDAP + DNS. Quindi se riesci a configurare l'autenticazione tramite Kerberos sei a posto per quel che riguarda la verifica della password. Ma non so come si comporti con la pre-creazione dell'utente in locale. Magari, se imposti che Kerberos venga interrogato prima dei file locali può funzionare. Il 15/02/2022 09:32, MAURIZI Lorenzo ha scritto: Ciao a tutti, mi rivolgo alla lista per trovare una soluzione al seguente quesito: è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come? Il desiderata è che l’utente venga creato manualmente e collegato ad una autenticazione esterna, in modo da poter avere una password unica che viene gestita da AD nelle sue scadenze. Grazie in anticipo per ogni consiglio saprete darmi. Saluti da Lorenzo -- Diego Zuccato DIFA - Dip. di Fisica e Astronomia Servizi Informatici Alma Mater Studiorum - Università di Bologna V.le Berti-Pichat 6/2 - 40127 Bologna - Italy tel.: +39 051 20 95786
Debian e autenticazione esterna
Ciao a tutti, mi rivolgo alla lista per trovare una soluzione al seguente quesito: è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come? Il desiderata è che l'utente venga creato manualmente e collegato ad una autenticazione esterna, in modo da poter avere una password unica che viene gestita da AD nelle sue scadenze. Grazie in anticipo per ogni consiglio saprete darmi. Saluti da Lorenzo