Re: Inloggen op Active directory

[Bas Neve <bastiaanneve@gmail.com>]

Hoi Wouter,

Hierbij nadere info. Ik heb in virtualbox een windows Active domain controller met een domein bware.local gemaakt.. Aan dat domein heb ik een windows 10 box en een redhat box toegevoegd. Op de RedHatbox kan ik inloggen via de domeincontroller.. tevens heb ik een debian9.5 machine gemaakt. Ik heb met de Debian machine twee uitdagingen. Ik kan het domein joinen maar helaas niet verlaten. Daarnaast weet ik niet in welke repository ik pam-auth-update kan vinden. 

Ik heb Netwerkanager uitgezet en disabled .

systemctl status NetworkManager.service

Hierbij enkele config files.

=====================/etc/apt/sources.list==============================================

# 

# deb cdrom:[Debian GNU/Linux 9.5.0 _Stretch_ - Official amd64 xfce-CD Binary-1 20180714-10:25]/ stretch main

#deb cdrom:[Debian GNU/Linux 9.5.0 _Stretch_ - Official amd64 xfce-CD Binary-1 20180714-10:25]/ stretch main

deb http://deb.debian.org/debian stretch main

deb-src http://deb.debian.org/debian stretch main

deb http://deb.debian.org/debian stretch/updates main

deb-src http://deb.debian.org/debian stretch/updates main

deb http://security.debian.org/debian-security stretch/updates main

deb-src http://security.debian.org/debian-security stretch/updates main

======== /etc/hosts ========

# The following lines are desirable for IPv6 capable hosts

::1     localhost ip6-localhost ip6-loopback

ff02::1 ip6-allnodes

ff02::2 ip6-allrouters

127.0.0.1       localhost

192.168.16.4    basdc1.bware.local      basdc1

======== /etc/samba/smb.conf ========

[global]

        netbios name = Debian95

        workgroup = BWARE

        idmap config * : backend = tdb

        idmap config BWARE : backend = ad

        idmap config BWARE : range = 700-800

        log level = 2

        log file = /var/log/samba/log

        security = ads

        realm = BWARE.LOCAL

        winbind uid = 20000-30000

        winbind gid = 20000-30000

        template shell = /bin/bash

        template homedir = /home/%U

        winbind use default domain = true

[docs]

        comment = documentation

        path = /usr/share/doc

====================/etc/hostname=========================

Debian95

======== /etc/krb5.conf ========

[libdefaults]

        default_realm = BWARE.LOCAL

[realms]

        BWARE.LOCAL = {

                kdc = basdc1.bware.local

                default_domain = bware.local

        }

[domain_realm]

        .bware = BWARE.LOCAL

        bware = BWARE.LOCAL

======== /etc/resolv.conf ========

search bware.local

nameserver 192.168.16.4

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

source /etc/network/interfaces.d/*

# The loopback network interface

auto lo

iface lo inet loopback

======================/etc/network/interfaces=====================

auto enp0s3

     iface enp0s3 inet static

     address 192.168.16.7

     netmask 255.255.255.0

     dns-nameserver 192.168.16.4

     gateway 192.168.16.1

winbind is gestart en sssd draait niet.

Ik kan een ticket krijgen.

kinit Administrator@BWARE.LOCAL

Password for Administrator@BWARE.LOCAL: 

root@Debian95:~/Desktop# klist

Ticket cache: FILE:/tmp/krb5cc_0

Default principal: Administrator@BWARE.LOCAL

Valid starting       Expires              Service principal

08/29/2018 09:51:26  08/29/2018 19:51:26  krbtgt/BWARE.LOCAL@BWARE.LOCAL

renew until 08/30/2018 09:51:05

net join -U Administrator

Enter Administrator's password:

Using short domain name -- BWARE

Joined 'DEBIAN95' to dns domain 'bware.local'

No DNS domain configured for debian95. Unable to perform DNS Update.

DNS update failed: NT_STATUS_INVALID_PARAMETER

net ads testjoin

Join is OK

net ads leave -U Administrator

Enter Administrator's password:

kerberos_kinit_password Administrator@BWARE.LOCAL failed: Cannot contact any KDC for requested realm

Disabled account for 'DEBIAN95' in realm '(null)'

Ik heb de info op de volgende urls doorgenomen.

https://technet.microsoft.com/en-us/library/2008.12.linux.aspx#id0060003

https://www.server-world.info/en/note?os=Debian_9&p=realmd

https://www.debian.org/doc/manuals/debian-reference/ch04.en.html#_normal_unix_authentication

https://community.spiceworks.com/how_to/144319-join-debian-to-ad

https://rhelblog.redhat.com/2015/04/02/sssd-vs-winbind/

http://www.rjsystems.nl/en/2100-pam-debian.php

https://linux.die.net/man/8/pam_unix

https://www.finnie.org/text/debian-domain-auth.html

https://www.reddit.com/r/debian/comments/6se1ay/good_tutorial_for_debian_9_samba_domain_member/

https://wiki.samba.org/index.php/Setting_up_Samba_as_a_Domain_Member

https://wiki.samba.org/index.php/Authenticating_Domain_Users_Using_PAM

Graag ontvang ik een bevestiging retour.

Met vriendelijke groet,

Bas Neve

bastiaanneve@gmail.com
316 14 12 00 71

Op di 28 aug. 2018 om 16:44 schreef Wouter Verhelst <wouter@debian.org>:

Hoi Bas,

On Tue, Aug 28, 2018 at 03:35:20PM +0200, Bas Neve wrote:
> Beste mensen,
>
> Inloggen op een active directory domein vanuit Debian95 lukt niet.

Bij mij wel.

> Voor diverse Unix varianten zijn er tools hiervoor beschikbaar zoals
> auth-config op Redhat, Ubuntu heeft pam-auth-update Suse yast. Een confiuratie
> tool voor Debian heb ik echter nog iet gevonden.

Bij Debian heet dat pam-auth-update, maar dat configureert alleen de
PAM-modules. De rest moet je zelf doen.

> Iemand een idee ? 

Niet met de (beperkte) info die je gegeven hebt. Wat heb je geprobeerd?
Wat lukte er niet? Kreeg je foutmeldingen? Zo ja, welke?

Met een vage "het lukt niet" kunnen we je niet helpen...

--
Could you people please use IRC like normal people?!?

  -- Amaya Rodrigo Sastre, trying to quiet down the buzz in the DebConf 2008
     Hacklab