Re: Debian Active Directory Authentifizierung über LDAP
Hallo Christian, Hallo Ralph,
@Ralph
> reden wir vielleicht auch nicht vom selben?!?
>
> wenn sich debian gegen ad authentifizieren soll, dass muss es ja
> irgendwie das eingegebene kennwort in der gleichen weise wie ad
> verschlüsseln und dann mit dem kennwort, welches im ad gespeichert ist,
> vergleichen
>
> nur brauchst du eben kerberos um an das kennwort vom ad ranzukommen
Du hast rechte kann sich gegenüber AD per Kerberos authentifizieren,
aber es besteht auch die Möglichkeit sich per LDAP-Modul zu
authentifizieren. Ich Meinerseits möchte die
LDAP-Authentifizierungsmöglichkeit nutzen, da diese in weiteren Diensten
(Mail, Web, PHP, DBMS) genutzt werden soll. Wir haben ja auch bereits
wie beschrieben ein System laufen, welches sich entsprechend
authentifiziert, allerdings basiert dieses auf Suse. Hier nutzen wir
auch erfolgreich die PAM-LDAP und libnss Module.
Beispiel für eine Konfiguration gibts z.b. hier
http://www.oo-services.com/de/articles/sso.html.
> aber mir ist da noch was anderes eingefallen, ich meine mal gelesen zu
> haben, dass samba 3.x als backup-ad-server laufen kann, nur nicht selbst
> ad allein kann. wenn das wirklich so ist, dann muss ja samba auch
> irgendwie die kennwörter kennen
Das mit dem Samba-Server hatte ich mir auch schon überlegt, aber mit
Bezug auf einem abgespecktem Backup-Server der in der DMZ steht.
Vielleicht besser als ein kompletter 2003'er DC, allerdings ist mir noch
nicht klar, ob ein Samba-"BDC" den "richtigen" Windows-Server wirklich
ersetzen kann, da ich damit noch keine Erfahrungen gemacht habe.
Was zu prüfen wäre.
@Christian,
Zunächst vielen dank für die gesendeten Dokumente.
Habe sie mir mal angeschaut und wurde in meine Konfigurationsweise
bestätigt. Habe sie also ähnlich, Debian entsprechend angepasst, auf
meinem System laufen (auch wie auf dem vorhandenen Suse-Gerät). Hatte
letztens in einer Bug-Liste auch ein Problem mit dem libnss-Paket
gesehen, mit Bezug auf AD-Authentifizierung, allerdings sollte das mit
dem aktuellen schon behoben sein.
Ich werde nächste Woche noch mal die neuesten Sources kompilieren und
mal schauen, was bei raus kommt.
Sollte ich eine Lösung finden, werde ich sie natürlich posten.
Ansonsten freue ich mich weiterhin auf rege Anteilnahme, an dem Problem.
Reply to: