Shadow27374
Anmeldungsdatum: 16. August 2006
Beiträge: 246
|
Hallo zusammen, ich möchte eine Linux VM mit Ubuntu Mate aufsetzen, um mehreren Personen die Möglichkeit zu bieten, sich dort anzumelden. Ubuntu Mate läuft bereits unter KVM und alle weiteren Rechner im Netzwerk lassen sich anpingen. Nun scheitere ich aber bereits beim ersten Schritt, der Authentifizierung mittels Kerberos an einem SBS 2011.
Ich bin nach folgender Anleitung vorgegangen: http://wiki.ubuntuusers.de/Samba_Winbind Sobald ich an diese Stelle komme
kinit Administrator@EXAMPLE.COM
Password for Administrator@EXAMPLE.COM: ****
scheitert der Versuch mit folgender Fehlermeldung:
kinit: Cannot contact any KDC for realm 'FQDN' whille getting initial credentials Leider bin ich mit meinem Latain am Ende. Windows-Clients können sich authentifizieren.
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Grüße, kleine Klärungsfrage: Hast du im zweiten Codeblock deine richtige Kerberos Realm mit "FQDN" ersetzt oder steht das da wirklich so?
|
Shadow27374
(Themenstarter)
Anmeldungsdatum: 16. August 2006
Beiträge: 246
|
Da steht natürlich nicht FQDN sondern die wirklich existierende domaine.local.
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Ich schätze, wir bräuchten auch noch deine /etc/krb5.conf zur Fehlersuche. Könntest du die uns zeigen? edit: und ich schätze, bei dem kinit dass du ausführst benutzt du auch nicht @EXAMPLE.COM? Verwirrt mich ein bisschen gerade. Du hast wahrscheinlich die Ausgaben aus dem Wikiartikel einfach kopiert, oder?
|
Shadow27374
(Themenstarter)
Anmeldungsdatum: 16. August 2006
Beiträge: 246
|
Natürlich, ich werde nun auch auf Platzhalter verzichten. 1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34 | [logging]
default = FILE:/var/log/krb5/libs.log
kdc = FILE:/var/log/krb5/kdc.log
admin_server = FILE:/var/log/krb5/admin.log
[libdefaults]
ticket_lifetime = 24000
default_realm = WZR.LOCAL
default_tgs_enctypes = des-cbc-crc des-cbc-md5 arcfour-hmac-md5
default_tkt_enctypes = des-cbc-crc des-cbc-md5 arcfour-hmac-md5
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
WZR.LOCAL = {
kdc = vm-dc11.wzr.local:88
default_domain = wzr.local
}
[domain_realm]
.wzr.local = WZR.LOCAL
wzr.local = WZR.LOCAL
[pam]
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
|
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Mir ist spontan aufgefallen dass dir die Zeile
| admin_server = vm-dc11.wzr.local:464
|
bei dem Eintrag der Realm fehlt. Laut Microsoft ist das ein weiterer Port für den Kerberos Dienst ("Kerberos-Kennwort ändern/festlegen"), also kann ich mir vorstellen dass die Zeile doch relativ wichtig ist. Auch die Docs für krb5.conf erwähnen unter dns_lookup_kdc, dass dieser Eintrag wohl vorhanden sein muss, wenn ich das richtig verstehe. Darüber hinaus die Frage ob vm-dc11.wzr.local so stimmt oder ob das nicht vm-dc1.wzr.local heißen soll (habt ihr elf DCs und verwendet SBS 2011?). Ist evtl eine blöde Frage, aber ich dachte ich frag mal nach bevor es ein Tippfehler ist. edit: Außerdem nutzt du mit
| dns_lookup_realm = true
dns_lookup_kdc = true
|
den eingetragenen DNS-Server, um KDC und Realm aufzulösen. Ist der DNS-Server korrekt eingetragen?
|
Shadow27374
(Themenstarter)
Anmeldungsdatum: 16. August 2006
Beiträge: 246
|
Ich hatte die Zeile entfernt, da sie in der Konfiguration eines Debian-Servers ebenfalls nicht vorhanden war. Habe sie nun aber wieder hinzugefügt, ohne Erfolg.
Der SBS wurde vermutlich 2011 aufgesetzt, daher die 11 im Namen VM-DC11. Der DNS ist ebenfalls der DC, diesen habe ich auch im grafischen Netzwerkmanager eingetragen. Aber auch ohne diese zwei Zeilen bleibt es erfolglos.
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Gibt es eig einen speziellen Grund dafür dass du es mit dem Artikel zu WINBIND versuchst? Auf dem SBS 2011 läuft ein ADS (stimmt doch, oder?) - Hast du den Artikel Active Directory Client Authentifikation schon gesehen? Scheint mir aktueller und passender zu sein. Ansonsten hat auch das Debian Wiki einen entsprechenden Artikel. Das scheint mir ehrlich gesagt strukturierter; Wenn der uuwiki-Artikel nicht hilft, da vlt mal für einen Gedankenanstoß reingucken. Das 1:1 abzuarbeiten ist allerdings nur bedingt empfehlenswert (weil Debian, nicht Ubuntu).
|
Shadow27374
(Themenstarter)
Anmeldungsdatum: 16. August 2006
Beiträge: 246
|
Sh4kal schrieb: Gibt es eig einen speziellen Grund dafür dass du es mit dem Artikel zu WINBIND versuchst?
Nein, es war lediglich eine Anleitung die ich hier fand.
Auf dem SBS 2011 läuft ein ADS (stimmt doch, oder?) - Hast du den Artikel Active Directory Client Authentifikation schon gesehen? Scheint mir aktueller und passender zu sein.
Ja, Active Directory läuft, Windows-Clients können sich auch problemlos anmelden. Deinen verlinkten Artikel schauen ich mir momentan an und komme nicht ganz zurecht.
ldapsearch -x -h <host-ip_des_Active_Directory_Servers> -b '<base-DN>' \
-D '<Bind-DN_oder_root-DN>' -w Passwort '(cn=<Name_eines_Accounts>)'
base-DN müsste DC=wzr,DC=local sein. Aber was war Bind-DN oder root-DN?
Ansonsten hat auch das Debian Wiki einen entsprechenden Artikel. Das scheint mir ehrlich gesagt strukturierter; Wenn der uuwiki-Artikel nicht hilft, da vlt mal für einen Gedankenanstoß reingucken. Das 1:1 abzuarbeiten ist allerdings nur bedingt empfehlenswert (weil Debian, nicht Ubuntu).
Werde ich mir ansehen.
|
Shadow27374
(Themenstarter)
Anmeldungsdatum: 16. August 2006
Beiträge: 246
|
So, für heute mache ich Schluss. Ubuntu will dass ich verzweifle.^^
|
Sh4kal
Anmeldungsdatum: 18. August 2011
Beiträge: 343
|
Die BIND-DN bzw. ROOT-DN ist der Benutzer, mit dem du dich zum LDAP (also zum AD) verbinden möchtest. Wenn es ein normaler Nutzer ist, nennt man das eben BIND-DN, wenn man als root bzw. Administrator des LDAPs arbeiten will, eben ROOT-DN (wobei das immer noch eine BIND-DN ist natürlich). Das ganze Thema LDAP ist zugegeben relativ kompliziert, aber hier, hier und hier gibt es evtl genug Informationen, um das Prinzip der Distinguished Names zu verstehen. Das ganze Thema Identity Management ist in Ubuntu leider nur sehr minimalistisch abgedeckt. Dann auch noch gegen ein AD authentifizieren, das ist leider bisher kaum gedacht. Ist eben kein Enterprise Betriebssystem. Mit Systemen aus der Red Hat Ecke (RHEL, CentOS, Fedora, usw) wird man da unter Umständen glücklicher (Red Hat hat offizielle Whitepaper zu dem Thema), aber das hat halt andere Nachteile - je nach Einsatz. Gruß
Sh4kal
|