gelöst Zusammenhang zwischen SAMBA, WINBIND, KERBEROS, PAM, ntlm auth und Active Directory
spacyfreak (Level 2) - Jetzt verbinden
09.04.2008, aktualisiert 17:46 Uhr, 9700 Aufrufe, 5 Kommentare
Hallo
Ich versuche grade endlich mal klar zu verstehen, wie die Themen SAMBA, WINBIND, KERBEROS, ntlm_auth und Active Directory zusammenhängen, bzw. was ich konkret brauche um einen Linux (Debian) Server zu einem Active Directory Memberserver zu machen, um für beliebige Linux Dienste (sei es SAMBA Filedienste, Radius, SSH-Login usw) die Active-Directory Benutzerkonten verwenden zu können.
Bisher bin ich so weit:
Windows Server 2003
Active Directory installiert (dcpromo)
Testuser angelegt
Debian Server
Software installiert:
sudo apt-get install samba
sudo apt-get install winbind
sudo apt-get install krb5-{admin-server,kdc}
Konfiguration:
In die /etc/samba/smb.conf habe ich den Domaincontroller (Server2003) eingetragen.
Linux Server zum Memberserver machen
Es wird ein Computerkonto im AD angelegt. Soweit schonmal gut.
Was ich gerne kapieren würde - wie hängt das ganze zusammen? Brauche ich nun ntlm_auth, oder doch winbindd, oder beides? Muss ich noch PAM konfigurieren? Wenn ja, wozu?
Also in meinem Kopf ist ein ziemliches Durcheinander, und ich finde keine einheitliche, übersichtliche, klar verständliche Anleitung in diesem Teil der Galaxis. Daher werde ich eine solche Anleitung mit Step-by-Step Erklärungen machen, sobald ich es selber kapiert habe.
Für Ideen, Erklärungen, Anregungen danke ich euch!
Ich versuche grade endlich mal klar zu verstehen, wie die Themen SAMBA, WINBIND, KERBEROS, ntlm_auth und Active Directory zusammenhängen, bzw. was ich konkret brauche um einen Linux (Debian) Server zu einem Active Directory Memberserver zu machen, um für beliebige Linux Dienste (sei es SAMBA Filedienste, Radius, SSH-Login usw) die Active-Directory Benutzerkonten verwenden zu können.
Bisher bin ich so weit:
Windows Server 2003
Active Directory installiert (dcpromo)
Testuser angelegt
Debian Server
Software installiert:
sudo apt-get install samba
sudo apt-get install winbind
sudo apt-get install krb5-{admin-server,kdc}
Konfiguration:
In die /etc/samba/smb.conf habe ich den Domaincontroller (Server2003) eingetragen.
01.
[global] 02.
workgroup = IAS 03.
netbios name = TESTSRV 04.
realm = IAS.DE 05.
idmap uid = 10000-59999 06.
idmap gid = 10000-59901 07.
# winbind separator = / 08.
winbind use default domain = Yes 09.
security = ADS 10.
encrypt passwords = true 11.
password server = * 12.
log level = 1 13.
idmap backend = ad 14.
template shell = /bin/bash 15.
client use spnego = yes 16.
17.
18.
**Konfiguration krb5.conf** 19.
20.
[libdefaults] 21.
default_realm = IAS.DE 22.
default_tkt_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc 23.
default_tgs_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc 24.
permitted_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc 25.
clockskew = 300 26.
27.
[domain_realm] 28.
.ias.de = IAS.DE 29.
30.
[logging] 31.
# default = SYSLOG:NOTICE:DAEMON 32.
default = FILE:/var/log/krb5libs.log 33.
kdc = FILE:/var/log/kdc.log 34.
kadmind = FILE:/var/log/kadmind.log 35.
36.
[appdefaults] 37.
pam = { 38.
ticket_lifetime = 1d 39.
renew_lifetime = 1d 40.
forwardable = true 41.
proxiable = false 42.
retain_after_close = false 43.
minimum_uid = 0 44.
debug = false 45.
} 46.
01.
net join -I <IP-des-Domaincontrollers> -U <Domänenadministrator>Was ich gerne kapieren würde - wie hängt das ganze zusammen? Brauche ich nun ntlm_auth, oder doch winbindd, oder beides? Muss ich noch PAM konfigurieren? Wenn ja, wozu?
Also in meinem Kopf ist ein ziemliches Durcheinander, und ich finde keine einheitliche, übersichtliche, klar verständliche Anleitung in diesem Teil der Galaxis. Daher werde ich eine solche Anleitung mit Step-by-Step Erklärungen machen, sobald ich es selber kapiert habe.
Für Ideen, Erklärungen, Anregungen danke ich euch!
5 Antworten
- LÖSUNG spacyfreak schreibt am 09.04.2008 um 12:01:02 Uhr
- LÖSUNG Dani schreibt am 09.04.2008 um 12:42:44 Uhr
- LÖSUNG spacyfreak schreibt am 09.04.2008 um 12:57:16 Uhr
- LÖSUNG Dani schreibt am 09.04.2008 um 15:56:19 Uhr
- LÖSUNG spacyfreak schreibt am 09.04.2008 um 17:46:05 Uhr
- LÖSUNG Dani schreibt am 09.04.2008 um 15:56:19 Uhr
- LÖSUNG spacyfreak schreibt am 09.04.2008 um 12:57:16 Uhr
- LÖSUNG Dani schreibt am 09.04.2008 um 12:42:44 Uhr
LÖSUNG 09.04.2008 um 12:01 Uhr
Übrigens -
beim "net join" Befehl (der den Linuxserver zum Member im AD machen soll) kam die Meldung "clock skew to high" oder so ähnlich. Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des Linuxservers hat.
Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
beim "net join" Befehl (der den Linuxserver zum Member im AD machen soll) kam die Meldung "clock skew to high" oder so ähnlich. Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des Linuxservers hat.
Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
LÖSUNG 09.04.2008 um 12:42 Uhr
Hallo emdkh,
willkommen in meiner Problemwelt. Ich habe hier so einen Versuch auch am Laufen.
Was die Pakete angeht, bist du auf dem richtigen Weg. Ob du für die Grundfunktion ntlm_auth bezweifle ich. Ich habs mal nirgendwo verwendet.
Ich geb dir einfach mal meine Links zu dem Thema. Die Linuxversion kannst du ignorieren:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.elsn.org/main/LinuxWithActiveDirectory/
http://gertranssmb3.berlios.de/output/groupmapping.html#id2535464
Ich hatte unter Suse Linux das Problem, dass beim hochfahren, die Windowsbenutzer nicht geladen worden sind.
Wirklich neues habe ich nicht erzählt, aber ich hoffe ich kann dir mit den Links helfen.
Grüße
Dani
willkommen in meiner Problemwelt. Ich habe hier so einen Versuch auch am Laufen.
Was die Pakete angeht, bist du auf dem richtigen Weg. Ob du für die Grundfunktion ntlm_auth bezweifle ich. Ich habs mal nirgendwo verwendet.
Ich geb dir einfach mal meine Links zu dem Thema. Die Linuxversion kannst du ignorieren:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.elsn.org/main/LinuxWithActiveDirectory/
http://gertranssmb3.berlios.de/output/groupmapping.html#id2535464
Ich hatte unter Suse Linux das Problem, dass beim hochfahren, die Windowsbenutzer nicht geladen worden sind.
Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per
NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Genau, so habe ich das auch gemacht. Einfach vom gleichen Zeitserver die Uhr stellen lassen.NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit
fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des
Linuxservers hat.
Hmmm... Seltsam, aber im 1. Link gibt es eine Beispiel. Funktioniert bei mir hier ohne Probleme.fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des
Linuxservers hat.
Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
Siehste, so gehts mir auch...ich muss zwischendurch was anderes machen, da ich sonst n Herzinfakt bekomme. Ich habe schon Wochen dran rum....Wirklich neues habe ich nicht erzählt, aber ich hoffe ich kann dir mit den Links helfen.
Grüße
Dani
LÖSUNG 09.04.2008 um 12:57 Uhr
Hi Dani,
jo der erste Link sieht auf den ersten Blick vielversprechend aus.
Geteiltes Leid ist halbes Leid! Hehe.
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux ist - doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare! Mit nem Microsoft IAS Radius wäre die AD-Authentierung zwischen Frühstück und Mittag feddich und es würde laufen - mit Linux muss man sich da schonmal auf 3 Tage Hirnschmalzkneten einlassen.
Andererseits - WENN es mal läuft, läuft es quasi ewig.
jo der erste Link sieht auf den ersten Blick vielversprechend aus.
Geteiltes Leid ist halbes Leid! Hehe.
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux ist - doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare! Mit nem Microsoft IAS Radius wäre die AD-Authentierung zwischen Frühstück und Mittag feddich und es würde laufen - mit Linux muss man sich da schonmal auf 3 Tage Hirnschmalzkneten einlassen.
Andererseits - WENN es mal läuft, läuft es quasi ewig.
LÖSUNG 09.04.2008 um 15:56 Uhr
Ich war einfach zur falschen Zeit am falschen Ort als wir unsere ToDoListe untereinander aufgeteilt haben. Darum beschäftige ich mich mit Linux & Co....
Auf das Howto, dass du hier schreiben wirst - bin ich schon gespannt..
Grüße
Dani
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux
ist doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare!
Jaja....das ist doch das tolle an Linux. Höhr ich täglich - könnts mir schon fast als Band kaufen. Mir jommern auch ein paar Leutz die Ohren voll - unerträglich!ist doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare!
Auf das Howto, dass du hier schreiben wirst - bin ich schon gespannt..
Grüße
Dani
LÖSUNG 09.04.2008 um 17:46 Uhr
DER TAG IST GERETTET!
Nach viel Geächze, Kopfkratzen und graue-Sackhaare-zupfen hab ichs hingekriegt!
Der Debian-Server ist Member in der Domäne.
Winbind kann User über Kerberos abfragen.
Radius kann user über ntlm_auth aus dem Active Directory authentisieren!
Ich mache die nächsten Tage eine schöne Schritt-für-Schritt-Anleitung, damit auch zukünftige Generationen von dieser Erfahrung zehren können. Hehe.
Nach viel Geächze, Kopfkratzen und graue-Sackhaare-zupfen hab ichs hingekriegt!
Der Debian-Server ist Member in der Domäne.
Winbind kann User über Kerberos abfragen.
Radius kann user über ntlm_auth aus dem Active Directory authentisieren!
Ich mache die nächsten Tage eine schöne Schritt-für-Schritt-Anleitung, damit auch zukünftige Generationen von dieser Erfahrung zehren können. Hehe.
Ähnliche Inhalte
Neue Wissensbeiträge
Heiß diskutierte Inhalte
