Re: Authentifizierung gegen ADS
Hallo,
(ich antworte mal auf meine eigene Mail, weil ich jetzt mal kurz Zugriff
auf den betreffenden Rechner hatte)
On Thu, Oct 08, 2015 at 05:32:57PM +0200, Andreas Tille wrote:
> Hallo,
>
> On Thu, Oct 08, 2015 at 12:13:39PM +0200, Matthias Böttcher wrote:
> > Login per ssh?
>
> Sowohl per SSH als auch direkt an der Maschine (z.B. via xrdp)
>
> > >> Du benötigst eine ein Computer-Konto im AD.
> > >
> > > Den Satz verstehe ich nicht.
> >
> > Sollte auch heißen: "Du benötigst ein Computer-Konto im AD."
>
> Ich verstehe "Computer-Konto im AD" ansich nicht. Ich vermute, daß das
> ein Terminus, den man irgendwie in dem Admin-Interface der AD lesen kann
> - das habe ich aber noch nie vor mir gesehen (was mich prinzipiell nicht
> unglücklich macht ...)
Wie gesagt: Diesen Sachverhalt verstehe ich immer noch nicht, weil mir
der Begriff "Computer-Konto im AD" nicht klar ist.
> > Ich habe bisher Samba- und Apache mit dem Active Directory verknüpft.
> > In beiden Fällen war es notwendig, ein Computer-Konto für den Server,
> > auf dem der Daemon läuft, im AD anzulegen.
>
> Das heißt, daß der betreffende Linux-Rechner entweder per hostname oder
> IP-Adresse in der AD bekannt gemacht werden muß?
Ich kann nur sagen, daß der Linux-Rechner, den ich konfigurieren möchte
nicht explizit in der AD bekannt gemacht wurde.
> > >> Brauchst du die Einträge in /etc/krb5.conf in [realms] für die kdc wirklich?
> > >
> > > Keine Ahnung. Ich habe einfach übernommen, was auf anderen
> > > Linux-Rechnern dort drin steht.
> >
> > Du hast etwas konfiguriert, was du nicht verstehst.
>
> Ja. Ich habe versucht mich zu belesen, bin aber leider nicht viel
> klüger geworden. Mir schien das Abkupfern von einem Rechner, auf dem es
> funktioniert erstmal vielversprechend zu sein.
>
> > Ja, das sieht sinnvoll aus.
> >
> > In deinem Abschnitt [realms] in /etc/krb5.conf (im Anhang in deiner
> > ersten Mail) steht
> > --------------------------------
> > [realms]
> > INSTITUT.LOCAL = {
> > kdc = 10.15.44.6
> > kdc = 10.15.44.7
> > # set this according to
> > http://www.linuxquestions.org/questions/linux-software-2/kerberos-mit-clients-cannot-find-administrative-server-through-dns-816684/
> > # admin_server = ???
> > default_domain = institut.local
> > }
> > --------------------------------
> > Du legst dich hier auf zwei IP-Adressen als kdc fest, tatsächlich sind
> > aber aktuell 4 kdc (==Domain Controller) in deinem Windows-Netzwerk
> > aktiv, welche SRV _kerberos anbieten.
> > Schmeiß die beiden Zeilen kdc= raus. Der ganze Abschnitt kann
> > entfallen, wenn in deinem AD Multi-Master-replikation aktiv ist. Ich
> > habe eben auf meinem Debian Apache Server, der gegen AD
> > authentifiziert, nachgeschaut.
OK, habe ich jetzt rausgenommen.
> > Der einzige zusätzliche Eintrag in
> > /etc/krb5.conf ist:
> >
> > [libdefaults]
> > default_realm = FQDN.DER.WINDOWS.DOMÄNE
> >
> > Groß-Klein-Schreibung ist in der Kerberos-Konfiguration relevant.
Das mit der Groß-Klein-Schreibung ist mir bekannt und ich habe die
Großschreibung bewußt gewählt.
> > PPS.
> > Die Zeit auf Kerberos-Client und -Server muss gleich sein. Gleich
> > meint, es dürfen wohl max. 5 Minuten Unterschied sein. Setze einfach
> > ntp ein.
> > Übrigens ist jeder Windows Domain Controller im AD gleichzeitig auch
> > ein ntp-Server, so dass in meiner heterogen Umgebung in /etc/ntp.conf
> > immer eine Zeile "server = fqdn.der.windows.domäne" steht.
OK, ntp hätte eine Ursache für das Problem sein können. Ich habe jetzt
die entsprechende Änderung in /etc/ntp.conf vorgenommen.
Mit anderen Worten habe ich folgendes geändert:
1. Den zusätzlichen Abschnitt unter [realms] wieder entfernt
2. Den Rechner per NTP mit dem Domain Controller synchronisiert
Leider gibt es auch nach dem Restart der relevanten Dienste dadurch
keinen Fortschritt hinsichtlich wbinfo:
$ wbinfo -u
Error looking up domain users
$ wbinfo -p
Ping to winbindd failed
could not ping winbindd!
Was könnte ich noch probieren?
Viele Grüße
Andreas.
--
http://fam-tille.de
Reply to: