lier Linux à Active Directory en utilisant kerberos

Question

Nous essayons de lier une machine Linux (Debian 4.0) à W2k3 AD. Nous avons configuré kerberos correctement afin que nous puissions obtenir des TGT. Et les utilisateurs s'authentifient correctement. Cependant, PAM semble être le guichet collant. Par exemple lorsque nous essayons de SSH à la machine linux comme l'un des utilisateurs AD, l'authentification réussit (selon le auth.log) mais je ne reçois jamais shell. L'environnement par défaut est configuré correctement et PAM crée même le Homedir correctement. À titre de référence, nous avons été vaguement suivantes:

https://help.ubuntu.com/community/ActiveDirectoryHowto

Answer 1

Si vous êtes tout confiant, mais PAM fonctionne correctement, je vous suggère de passer l'option de débogage à pam_krb5.so pour voir si cela donne une idée de ce qui se passe.

Je vous suggère également de vérifier que nss-ldap est configuré correctement à l'aide

getent passwd avalidusername 

Answer 2

J'ai utilisé même pour faire quelque chose de similaire sur nos serveurs. Voici le processus que nous utilisons pour le configurer:

De même Installation:

$ sudo apt-get update 
$ sudo apt-get install likewise-open 

joindre le domaine (En supposant que le domaine "domain.local")

$ sudo domainjoin-cli join domain.local Administrator 
$ sudo update-rc.d likewise-open defaults 
$ sudo /etc/init.d/likewise-open start 

En supposant que vous utilisez et sudo Pour que les utilisateurs AD puissent avoir des pouvoirs sudo, vous devez éditer le fichier sudoers. Cela peut être fait avec la commande suivante:

$ sudo visudo 

puis ajoutez ce qui suit à la fin du fichier (ce qui suppose le domaine « DOMAIN » et tous les utilisateurs qui devraient avoir sudo sont dans un groupe appelé « linux_admin » dans répertoire actif):

%DOMAIN\\linux_admin ALL=(ALL) ALL 

Answer 3

Les comptes POSIX nécessitent un jeu de shell vaild dans le compte d'utilisateur. Lors de l'utilisation de LDAP, ceci est référencé par l'attribut loginShell. Vous devez utiliser PAM et mapper un attribut approprié à loginShell dans votre configuration, ou des services MS actifs pour UNIX sur le contrôleur de domaine, ce qui étendra le schéma AD pour inclure les attributs POSIX nécessaires. Voir http://www.ietf.org/rfc/rfc2307.txt comme référence à RFC2307, qui définit ceci pour LDAP.

Answer 4

Une solution simple .. pam_krb5+ldap project

Une fourche du module PAM pam_krb5 qui offre un très facile à utiliser la configuration pour utiliser l'authentification du client Linux contre et existant domaine Active Directory et/ou d'un serveur OpenLDAP.