Re: Authentifizierung gegen ADS
Hallo,
On Thu, Oct 08, 2015 at 12:13:39PM +0200, Matthias Böttcher wrote:
> >> welchen Service möchtest du gegen Windows ADS authentifizieren?
> >
> > Es sollen sich Nutzer, die in der ADS bekannt sind, an dem Linux-Rechner
> > anmelden können.
>
> Login per ssh?
Sowohl per SSH als auch direkt an der Maschine (z.B. via xrdp)
> >> Du benötigst eine ein Computer-Konto im AD.
> >
> > Den Satz verstehe ich nicht.
>
> Sollte auch heißen: "Du benötigst ein Computer-Konto im AD."
Ich verstehe "Computer-Konto im AD" ansich nicht. Ich vermute, daß das
ein Terminus, den man irgendwie in dem Admin-Interface der AD lesen kann
- das habe ich aber noch nie vor mir gesehen (was mich prinzipiell nicht
unglücklich macht ...)
> Ich habe bisher Samba- und Apache mit dem Active Directory verknüpft.
> In beiden Fällen war es notwendig, ein Computer-Konto für den Server,
> auf dem der Daemon läuft, im AD anzulegen.
Das heißt, daß der betreffende Linux-Rechner entweder per hostname oder
IP-Adresse in der AD bekannt gemacht werden muß?
> >> Brauchst du die Einträge in /etc/krb5.conf in [realms] für die kdc wirklich?
> >
> > Keine Ahnung. Ich habe einfach übernommen, was auf anderen
> > Linux-Rechnern dort drin steht.
>
> Du hast etwas konfiguriert, was du nicht verstehst.
Ja. Ich habe versucht mich zu belesen, bin aber leider nicht viel
klüger geworden. Mir schien das Abkupfern von einem Rechner, auf dem es
funktioniert erstmal vielversprechend zu sein.
> >> Das heißt, funktioniert bei dir Abfrage der Service-Definitionen nicht?
> >> dig -t srv _kerberos._tcp.institut.local
> >
> > ; <<>> DiG 9.9.5-9+deb8u3-Debian <<>> -t srv _kerberos._tcp.institut.local
> > ;; global options: +cmd
> > ;; Got answer:
> > ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 1189
> > ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 4, AUTHORITY: 0, ADDITIONAL: 1
> >
> > ;; OPT PSEUDOSECTION:
> > ; EDNS: version: 0, flags:; udp: 4096
> > ;; QUESTION SECTION:
> > ;_kerberos._tcp.institut.local. IN SRV
> >
> > ;; ANSWER SECTION:
> > _kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads04.institut.local.
> > _kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads03.institut.local.
> > _kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads02.institut.local.
> > _kerberos._tcp.institut.local. 600 IN SRV 0 100 88 ads01.institut.local.
> >
> > ;; Query time: 1 msec
> > ;; SERVER: 10.15.140.44#53(10.15.140.44)
> > ;; WHEN: Thu Oct 08 09:51:41 CEST 2015
> > ;; MSG SIZE rcvd: 201
> >
> > Für mich sieht das sinnvoll aus - aber wie gesagt, die Authentifizierung von
> > Nutzern geht leider nicht.
>
> Ja, das sieht sinnvoll aus.
>
> In deinem Abschnitt [realms] in /etc/krb5.conf (im Anhang in deiner
> ersten Mail) steht
> --------------------------------
> [realms]
> INSTITUT.LOCAL = {
> kdc = 10.15.44.6
> kdc = 10.15.44.7
> # set this according to
> http://www.linuxquestions.org/questions/linux-software-2/kerberos-mit-clients-cannot-find-administrative-server-through-dns-816684/
> # admin_server = ???
> default_domain = institut.local
> }
> --------------------------------
> Du legst dich hier auf zwei IP-Adressen als kdc fest, tatsächlich sind
> aber aktuell 4 kdc (==Domain Controller) in deinem Windows-Netzwerk
> aktiv, welche SRV _kerberos anbieten.
> Schmeiß die beiden Zeilen kdc= raus. Der ganze Abschnitt kann
> entfallen, wenn in deinem AD Multi-Master-replikation aktiv ist. Ich
> habe eben auf meinem Debian Apache Server, der gegen AD
> authentifiziert, nachgeschaut. Der einzige zusätzliche Eintrag in
> /etc/krb5.conf ist:
>
> [libdefaults]
> default_realm = FQDN.DER.WINDOWS.DOMÄNE
>
> Groß-Klein-Schreibung ist in der Kerberos-Konfiguration relevant.
>
> Grundsätzlich zum Thema DNS in Windows-AD:
> Ich erlebe immer wieder, dass in Konfigurationen an Stelle von
> Hostnamen IP-Adessen eingetragen werden. Wenn ich dann nachfrage,
> erhalte ich die Re: Der DNS-Server könnte ja nicht
> antworten/funktionieren. Allerdings funktioniert in einer
> Windows-AD-Umgebung ohne DNS nichts mehr, so dass DNS die Basis für
> alles andere darstellt und bei einem Problem mit dem DNS ich diesen
> zuerst fixen muss.
> Und gerade im Windows-AD mit mehreren Multi-Master Domain-Controllern
> gibt es auch ein paar schöne Automatismen:
> - die DNS-Abfrage nach der IP-Adresse des FQDN der Windows-Domäne gibt
> als Antwort immer die IP-Adresse eines aktiven Domain-Controllers
> zurück.
> - SRV-RRs werden dynamisch angepasst je nach Verfügbarkeit der Server,
> so dass die Frage nach SRV _kerberos._tcp.fqdn.der.windows.domäne
> immer die IP-Adresse (und die weiteren notwendigen Angaben) eines
> aktiven kdc in der Windows-Domäne zurückliefert.
>
> Der Kerberos-Client (dein ssh-Server) sollte dann natürlich DNS-Server
> benutzen, welche diese RR-Anfragen auflösen können - idealerweise
> mehrere Windows Domain Controller.
>
> > Viele Grüße
> >
> > Andreas.
>
> Es gibt zahlreiche Howtos da draußen. Mach dich schlau und verstehe,
> wie Windows+AD(Kerberos/LDAP)+Login-Service funktioniert.
> Da ich ssh-Login mit Authentifizierung noch nicht implementiert habe,
> kann ich dir an der Stelle nicht sagen, mach das so oder lies das.
> Diese Aufgabe steht mit auch noch bevor.
>
> Viele Grüße
> Matthias Böttcher
>
> PPS.
> Die Zeit auf Kerberos-Client und -Server muss gleich sein. Gleich
> meint, es dürfen wohl max. 5 Minuten Unterschied sein. Setze einfach
> ntp ein.
> Übrigens ist jeder Windows Domain Controller im AD gleichzeitig auch
> ein ntp-Server, so dass in meiner heterogen Umgebung in /etc/ntp.conf
> immer eine Zeile "server = fqdn.der.windows.domäne" steht.
Herzlichen Dank für die sehr hilfreich klingenden Tips. Ich melde
mich Dienstag noch mal, wenn ich wieder an dem Rechner sitze.
Viele Grüße
Andreas.
--
http://fam-tille.de
Reply to: