Re: Authentifizierung gegen ADS
On Wed, Oct 07, 2015 at 03:01:10PM +0200, Matthias Böttcher wrote:
> Hallo Andreas,
>
> welchen Service möchtest du gegen Windows ADS authentifizieren?
Es sollen sich Nutzer, die in der ADS bekannt sind, an dem Linux-Rechner
anmelden können.
> Du benötigst eine ein Computer-Konto im AD.
Den Satz verstehe ich nicht.
> Brauchst du die Einträge in /etc/krb5.conf in [realms] für die kdc wirklich?
Keine Ahnung. Ich habe einfach übernommen, was auf anderen
Linux-Rechnern dort drin steht.
> Das heißt, funktioniert bei dir Abfrage der Service-Definitionen nicht?
> dig -t srv _kerberos._tcp.institut.local
; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> -t srv _kerberos._tcp.institut.local
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1189
;; flags: qr aa rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;_kerberos._tcp.institut.local. IN SRV
;; ANSWER SECTION:
_kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads04.institut.local.
_kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads03.institut.local.
_kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads02.institut.local.
_kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads01.institut.local.
;; Query time: 1 msec
;; SERVER: 10.15.140.44#53(10.15.140.44)
;; WHEN: Thu Oct 08 09:51:41 CEST 2015
;; MSG SIZE rcvd: 201
Für mich sieht das sinnvoll aus - aber wie gesagt, die Authentifizierung von
Nutzern geht leider nicht.
Viele Grüße
Andreas.
> Am 6. Oktober 2015 um 14:05 schrieb Andreas Tille <andreas@an3as.eu>:
> > Hallo,
> >
> > ich versuche, auf einem Debian Rechner die Authentifizierung gegen eine
> > Win ADS zu bewerkstelligen. Dazu habe ich die /etc/krb5.conf,
> > /etc/samba/smb.conf und /etc/nsswitch.conf nach verschiedenen Anleitungen
> > im Netz angepaßt (Siehe Attachment.)
> >
> > Irgendwie will die Authentifizierung leider nicht klappen. Mit den
> > angehefteten Konfigurationen geht folgendes:
> >
> > $ kinit tille
> > Password for tille@INSTITUT.LOCAL:
> >
> > -> OK
> >
> > $ smbclient -k -L //host01/
> > Domain=[RKID1] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager]
> >
> > Sharename Type Comment
> > --------- ---- -------
> > IPC$ IPC Remote IPC
> > ETC$ Disk Remote Administration
> > C$ Disk Remote Administration
> > Stab Disk Netzlaufwerk für Stab
> > Projekte Disk Netzlaufwerk für Projekte
> > Domain=[RKID1] OS=[Windows 5.0] Server=[Windows 2000 LAN Manager]
> >
> > Server Comment
> > --------- -------
> >
> > Workgroup Master
> > --------- -------
> >
> > -> sieht auch OK aus.
> >
> > Leider geht winbind nicht, z.B.
> >
> >
> > $ wbinfo -t
> > could not obtain winbind interface details: WBC_ERR_WINBIND_NOT_AVAILABLE could not obtain winbind domain name!
> > checking the trust secret for domain (null) via RPC calls failed failed to call wbcCheckTrustCredentials: WBC_ERR_WINBIND_NOT_AVAILABLE Could not check secret
> >
> > $ wbinfo -p
> > Ping to winbindd failed
> > could not ping winbindd!
> >
> >
> > Fehlt da in der Konfiguration noch was? Irgendwelche anderen Hinweise?
> >
> > Viele Grüße
> >
> > Andreas.
> >
> > --
> > http://fam-tille.de
>
>
--
http://fam-tille.de
Reply to: