Debian Anbinung an AD via LDAP

10/04/2014 - 13:30 von Alexander Reichle-Schmehl | Report spam
Hi!

Ich würde gerne auf der Arbeit auf ein paar Debian-Servern die
User-Verwaltung zentralisieren. Da hier bereits AD eingesetzt wird,
würde ich mich da gerne dran hàngen.

Ziel soll sein, dass sich User (einer bestimmten Gruppe) mittels ihrem
normalen Domànen User und Passwort per ssh einloggen können.
Idealerweise sollte ich User auch in lokale Unix-Gruppen stecken können.
Nicht nötig sind irgendwelche Synchronisierungen von Gruppen, Änderungen
des Passworts vom Linux-System aus, oder Änderungen von Shell, Homedir,
etc. Explizit nicht erwünscht ist alles, was administrative Rechte auf
dem AD braucht.

Dazu habe ich die Anleitung unter https://wiki.debian.org/LDAP/PAM
befolgt und libpam-ldap entsprechend konfiguriert so weit ich konnte.
Wenn ich nun versuche, mich über einen User anzumelden, so erhalte ich
in /var/log/auth.log folgendes:


pr 10 13:12:07 <meindebianserver> sshd[10788]: Invalid user <meinuser>
from <meineip>
Apr 10 13:12:07 <meindebianserver> sshd[10788]: input_userauth_request:
invalid user <meinuser> [preauth]
<jetzt habe ich einen Passwort prompt und kann mein PW eingeben>
Apr 10 13:12:10 <meindebianserver> sshd[10788]: pam_unix(sshd:auth):
check pass; user unknown
Apr 10 13:12:10 <meindebianserver> sshd[10788]: pam_unix(sshd:auth):
authentication failure; logname= uid=0 euid=0 tty=ssh ruser=
rhost=<meineip>
Apr 10 13:12:12 <meindebianserver> sshd[10788]: Failed password for
invalid user <meinuser> from <meineip> port 46034 ssh2


Ich konnte verifizieren, dass ldap anscheinend funktioniert (bei bewusst
falschem BindPW kommt eine entsprechende Fehlermeldung im auth.log). Ich
vermute, dass ich jetzt noch passende nss_map_blablaba Eintràge machen
müsste, weiß aber nicht, was. In anderen Howtos (z.B.
https://cdc.iseage.org/installing-i...ontroller/)
habe ich gelesen, dass man AD seitig noch etwas nach installiere müsse,
damit man Shell, Homedir, etc. auch im AD verwalten kann. Das ist
unseren AD-Admins aber nicht so wirklich recht.

Am liebsten wàre mir eine Lösung ala "Alle User haben die Foo-Shell, ihr
Home ist /home/$username, und Gruppen sind lokal definiert". Kann man
das irgendwie machen? Und wenn ja: Wo ist das dokumentiert?


Ich habe auch versucht, pam zu mehr logs zu überreden (touch
/etc/pam_debug; debug in /etc/pam.d/common-foo aktiviert; umleiten von
*.debug nach /var/log/debug in rsyslog.conf), aber erhalte auch nicht
mehr Informationen im debug.log als oben angegeben.


Mit besten Grüßen,
Alexander


Zum AUSTRAGEN schicken Sie eine Mail an debian-user-german-REQUEST@lists.debian.org
mit dem Subject "unsubscribe". Probleme? Mail an listmaster@lists.debian.org (engl)
Archive: https://lists.debian.org/e4989f8079...46e93d31e1@ssl.alphamar.org
 

Lesen sie die antworten

#1 Florian Ernst
10/04/2014 - 14:50 | Warnen spam
Moinmoin,

On Thu, Apr 10, 2014 at 01:27:52PM +0200, Alexander Reichle-Schmehl wrote:
Ich würde gerne auf der Arbeit auf ein paar Debian-Servern die
User-Verwaltung zentralisieren. Da hier bereits AD eingesetzt wird, würde
ich mich da gerne dran hàngen.

Ziel soll sein, dass sich User (einer bestimmten Gruppe) mittels ihrem
normalen Domànen User und Passwort per ssh einloggen können. Idealerweise
sollte ich User auch in lokale Unix-Gruppen stecken können. Nicht nötig sind
irgendwelche Synchronisierungen von Gruppen, Änderungen des Passworts vom
Linux-System aus, oder Änderungen von Shell, Homedir, etc. Explizit nicht
erwünscht ist alles, was administrative Rechte auf dem AD braucht.

Dazu habe ich die Anleitung unter https://wiki.debian.org/LDAP/PAM befolgt
und libpam-ldap entsprechend konfiguriert so weit ich konnte. [...]



Hmm, libpam-ldapd wird dort schon libpam-ldap vorgezogen. IMHO ist sssd
noch besser geeignet, aber alle diese setzen Änderungen am AD voraus.

Womöglich ist also winbind / samba für die Aufgabenstellung besser
geeignet, vgl.
https://wiki.debian.org/Authenticat...eDirectory

HTH,
Flo


Zum AUSTRAGEN schicken Sie eine Mail an
mit dem Subject "unsubscribe". Probleme? Mail an (engl)
Archive: https://lists.debian.org/

Ähnliche fragen