Authentifizierung an ADS ohne SFU mit LDAP

Guten Abend,

Oh, sorry, in der Tat, das habe ich total vergessen. Habe mich derart auf das Problems fixiert, dass mir das entfallen ist.
(Ggf. ist dies auch auf die "harte" Eingabemaske zurückzuführen...)
Ich gelobe Besserung!

mit freundlichen Grüßen
thoto

Guten Abend,

das Problem hierbei ist gerade das "ich" kein AD habe, sondern jemand, für den ich den Linux-Client in das bestehende System integrieren muss. Aus diesem Grunde ist der LDAP-Server des DC nicht modifizierbar und ein anderer LDAP-Server müsste das ganze quasi spiegeln. Eine manuelle Übertragung der Nutzer-Accounts kommt nicht in Frage, da dies (a) zu viel Aufwand wäre und (b) Windows und Linux parallel genutzt werden soll.

Warum überhaupt das LDAP-Schema der User verändern? Linux braucht unbedingt eine UID und eine GID (sowie eine Login-Shell, die man mit o.g. Methode setzen kann) um eine Anmeldung erfolgreich durchzuführen -- nicht nur einen Usernamen. Windows verwendet dagegen gar keine numerischen UIDs, es sei denn man installiert die SFU, was ich leider aus dem hier beschriebenen Grunde leider nicht kann.

mit freundlichen Grüßen
Thoto

Hallo,

vielen Dank für die Antwort, jedoch:

"Eine Informationsbeschaffung über winbind ist aus Sicherheitsgründen (Admin-Account, Host-User etc.) nicht möglich."

Effektiv muss nämlich der Windows-Client in die Domäne eingeschrieben werden, was nur über einen Admin-Account geht. Da aber die Hosts von einem einzigen zentralen Image booten, müsste zunächst einmal der Host unterschieden werden, was relativ komplex ist (Init-Skript) und das andererseits auch nicht sonderlich sicher ist.

Das alles funktioniert so weit, und wenn man die Passwort Überprüfung von Kerberos durchführen lässt, so hat man auch Zugriff auf die Domänen-Ressourcen.

mit freundlichen Grüßen

thoto

Guten Abend,

das zentrale Image ist für das Problem nur insofern relevant, dass Winbind aus Sicherheitsgründen nicht genutzt werden kann. Konkret handelt es sich hierbei um Diskless-Clients, die komplette Desktopumgebungen über ein NFS-Root einbinden. Das ganze läuft wie gesagt über ein unsicheres Netzwerk.

In meiner Testumgebung habe ich jedoch alles mit einem "normalen" Client (Debian) ausprobiert um sicher zu stellen, dass alles richtig konfiguriert und benutzbar ist. Es halt also _nichts_ mit dem Netzwerk-Boot zu tun!

Weitere Informationen bzgl. des Testsystems hätte ich nicht: Es ist halt ein Standard-Debian auf Festplatte ohne irgendwelche Zusatzpakete oder Umgebungen installiert (reine Text-Konsole mit dem Grundsystem).

Vielen Dank für das (fortgesetzte) Interesse,

mit freundlichen Grüßen
thoto

Guten Abend,

auch wenn es etwas unschön/unhöflich ist antworte ich direkt mit Zitat. Ist nicht böse gemeint, sondern einfach nur schöner zu lesen.


Sorry, aber das habe ich bereits wiederlegt. Sofern man _kein_ WINBIND nutzt sondern Kerberos mit SFU-erweitertem LDAP kann man sich sehr wohl ohne Domänen Mitgliedschaft authentifizieren -- sofern man denn einen Nur-Lesen-Nutzer für das LDAP hat (ohne Berechtigung für das Passwort Feld selbstverständlich!). Bisher habe ich das mit dem Adminuser gemacht, jedoch habe ich mehrere Beispiele mit einem speziellen User gesehen. Ist ja auch nicht allzu abwegig unter Linux läuft das ja bei Directory-Diensten meistens so.

Mein Problem ist, wie gesagt, dass ich die SFU nicht installieren kann und darf und ich das btw. auch für ziemlich sinnlos erachte, da hier scheinbar, wie ich las, eine komplette POSIX konforme Umgebung mitinstalliert wird, inklusive gcc, cat, awk, sed etc. Man berichtige mich bitte, wenn ich mich hier irre und etwas falsch verstanden habe, auch wenn das an der Tatsache meines Problems nicht ändert (Danke!).



Wenn ich mich mit einem lokalen User über das entsprechende PAM-Modul durch Kerberos authentifiziere, so habe ich wirklich "Single-Signon": Mit kann ich ohne Eingabe des Passwortes auf Freigaben in der Domäne (bzw. des Kerberos-Realm) zugreifen.


Das ist keine Möglichkeit, da es unbedingt nötig ist Linux zu verwenden. Ich habe noch kein voll konfiguriertes Windows >auf< einem Diskless-System (s.u.) laufen sehen. Ein Terminalserver ist auch keine Möglichkeit da hierzu das Budget nicht ausreicht.


Ein Schützenpanzer kann auch ganz schön schnell fahren... (Ich hörte mal was von 120 km/h)


Das ist eine gute Idee. Ich dachte, wenn ich nur den zentralen Teil der Informationen gebe, ist's leichter, aber da habe ich mich geirrt...

Also nun die Beschreibung der Situation

Es gibt in dem Netzwerk, in das ich zahlreiche diskless Systeme integrieren soll eine Windows-Domäne, die einige hundert User mit gesetzten Passwörtern und Daten erhält. Gegen diese soll authentifiziert werden.

Auf dem DC läuft eine VM, die NFS (ro), TFTP und DHCP zur Verfügung stellt. Hier wäre eigentlich jede Linux-Anwendung, die nicht allzu viel Ressourcen schluckt zusätzlich installierbar.
Von uns wird das Boot-Image und die Bereitstellungs-VM geliefert; über alles andere hat der Verwalter der Domäne die Kontrolle, in der nichts verändert werden soll.

Das Problem ist nun, dass die Clients in einem Netz mit öffentlichem Zugriff stehen und die User sehr gerne mal Dinge manipulieren. Daher ist es zwingend erforderlich, dass keine Geheimnisse auf den Rechnern (und im Image) liegen. Das AD-LDAP liefert aber leider kein UID-Feld mit, in dem eine Domänen bzw. KRB5-Realm weite numerische Nutzer-ID (hat nichts mit UUID am Hut) steht, wie es ein normales UNIX für das Rechtesystem (Autorisierung) benötigt.

Von der Leistung her sind die Clients recht üppig ausgestattet; es sind effektiv leistungsfähige Desktop-Systeme mit ein mehr RAM.
Falls noch weitere Fragen bestehen, bitte einfach weiter Nachfragen.

mit freundlichen Grüßen und Dank für die Umstände,

thoto