Debian Anbinung an AD via LDAP

To: debian-user-german@lists.debian.org
Subject: Debian Anbinung an AD via LDAP
From: Alexander Reichle-Schmehl <alexander@schmehl.info>
Date: Thu, 10 Apr 2014 13:27:52 +0200
Message-id: <[🔎] e4989f807923a91147441746e93d31e1@ssl.alphamar.org>

Hi!

Ich würde gerne auf der Arbeit auf ein paar Debian-Servern dieUser-Verwaltung zentralisieren. Da hier bereits AD eingesetzt wird,würde ich mich da gerne dran hängen.

Ziel soll sein, dass sich User (einer bestimmten Gruppe) mittels ihremnormalen Domänen User und Passwort per ssh einloggen können.Idealerweise sollte ich User auch in lokale Unix-Gruppen stecken können.Nicht nötig sind irgendwelche Synchronisierungen von Gruppen, Änderungendes Passworts vom Linux-System aus, oder Änderungen von Shell, Homedir,etc. Explizit nicht erwünscht ist alles, was administrative Rechte aufdem AD braucht.

Dazu habe ich die Anleitung unter https://wiki.debian.org/LDAP/PAMbefolgt und libpam-ldap entsprechend konfiguriert so weit ich konnte.Wenn ich nun versuche, mich über einen User anzumelden, so erhalte ichin /var/log/auth.log folgendes:

pr 10 13:12:07 <meindebianserver> sshd[10788]: Invalid user <meinuser>from <meineip>Apr 10 13:12:07 <meindebianserver> sshd[10788]: input_userauth_request:invalid user <meinuser> [preauth]

<jetzt habe ich einen Passwort prompt und kann mein PW eingeben>

Apr 10 13:12:10 <meindebianserver> sshd[10788]: pam_unix(sshd:auth):check pass; user unknownApr 10 13:12:10 <meindebianserver> sshd[10788]: pam_unix(sshd:auth):authentication failure; logname= uid=0 euid=0 tty=ssh ruser=rhost=<meineip>Apr 10 13:12:12 <meindebianserver> sshd[10788]: Failed password forinvalid user <meinuser> from <meineip> port 46034 ssh2

Ich konnte verifizieren, dass ldap anscheinend funktioniert (bei bewusstfalschem BindPW kommt eine entsprechende Fehlermeldung im auth.log). Ichvermute, dass ich jetzt noch passende nss_map_blablaba Einträge machenmüsste, weiß aber nicht, was. In anderen Howtos (z.B.https://cdc.iseage.org/installing-identity-management-unix-domain-controller/)habe ich gelesen, dass man AD seitig noch etwas nach installiere müsse,damit man Shell, Homedir, etc. auch im AD verwalten kann. Das istunseren AD-Admins aber nicht so wirklich recht.

Am liebsten wäre mir eine Lösung ala "Alle User haben die Foo-Shell, ihrHome ist /home/$username, und Gruppen sind lokal definiert". Kann mandas irgendwie machen? Und wenn ja: Wo ist das dokumentiert?

Ich habe auch versucht, pam zu mehr logs zu überreden (touch/etc/pam_debug; debug in /etc/pam.d/common-foo aktiviert; umleiten von*.debug nach /var/log/debug in rsyslog.conf), aber erhalte auch nichtmehr Informationen im debug.log als oben angegeben.



Mit besten Grüßen,
  Alexander

Reply to:

Follow-Ups:
- Re: Debian Anbinung an AD via LDAP
  - From: Florian Ernst <florian_ernst@gmx.net>
- Re: Debian Anbinung an AD via LDAP
  - From: Basti <hawkes@the-hawkes.de>

Prev by Date: Re: PDF Drucken
Next by Date: Re: PDF Drucken
Previous by thread: Re: Obsolete Packages loeschen
Next by thread: Re: Debian Anbinung an AD via LDAP
Index(es):
- Date
- Thread