Hallo,
2016-04-01 18:54 GMT+02:00 Luca Bertoncello lucabert@lucabert.de:
Hallo Leute,
auf einem Ubuntu 14.04-Server will ich die Nutzer gegen den AD authentifizieren. Ich hab unzählige HowTo probiert und geht immer noch nicht.
Ich will nicht auf dem Server Samba installieren, damit ich winbind nutzen kann. Kann jemand mir eine Empfehlung geben?
Es MUSS möglich sein, mit libnss und LDAP, aber anscheinend bin ich zu dumm dafür...
Nein, Du bist hier nur auf dem falschen Weg.
AD stellt einen Verzeichnisdienst (LDAP) und einen Authentifizierunsdienst (Kerberos) zur Verfügung - und letzteren kannst Du auch für Linux nutzen.
Das geht folgendermaßen:
1. DNS eineindeutig IP-Adresse <==> Hostname (hier auch an IPv6 denken...)
2. /etc/krb5.conf
Beispiel: ############ schnipp ############ [libdefaults] default_realm = EXAMPLE.COM dns_fallback = true forwardable = true proxiable = true
[realms] EXAMPLE.COM = { default_domain = example.com kdc = kdc1.example.com:88 kdc = kdc2.example.com:88 }
[domain_realm] .example.com = EXAMPLE.COM
[logging] default = SYSLOG:ERROR:AUTH ############ schnapp ###########
Groß- und Kleinschreibung ist zu beachten: EXAMPLE:COM = Windows-Domain example.com = DNS Domain
Wenn die Kerberos-Server im DNS stehen, dann können und sollen die "kdc = " - Angaben weggelassen werden.
$ dig SRV _kerberos._udp.example.com
s.a. http://web.mit.edu/kerberos/krb5-1.5/krb5-1.5.4/doc/krb5-admin/Hostnames-for...
Danach muß das Holen eines Ticket Granting Tickets per
$ kinit [login_name] Password for login_name@EXAMPLE.COM: [AD-Passwort]
funktionieren.
3. PAM konfigurieren
... auth sufficient pam_unix.so auth sufficient pam_krb5.so use_first_pass auth required pam_deny.so ...
AD-Nutzer muß es mit gleichem Login-Namen auf Linux geben. Zu diesem Zweck kann selbstverständlich libnss-ldap und ein "eigener" LDAP-Server genutzt werden, der die UNIX-spezifischen Informationen vorhält, welche nicht ins AD-Schema passen.