ubuntuusers.de

via DuckDuckGo

Active Directory Client Authentifikation

Status: Ungelöst | Ubuntu-Version: Ubuntu 10.04 (Lucid Lynx)
Antworten |

xhellsingx

Anmeldungsdatum:
7. Mai 2012

Beiträge: 4
Zitieren
7. Mai 2012 11:30

Guten Morgen liebe Ubuntuuser, ich habe folgendes Problem: Ich möchte einen Ubunturechner gegen eine Windows AD authentifizieren. Dazu habe ich diese Anleitung befolgt: http://wiki.ubuntuusers.de/Active_Directory_Client_Authentifikation

Nachdem ich dann alles so wie beschrieben eingerichtet habe, wollte ich mich nun einloggen. Zitat: "Schließlich kann man sich an einem anderen Fenster am Login-Prompt anmelden. Die Anmeldung sollte mit den System-Accounts, die nicht Bestandteil des Active Directories sind, genauso funktionieren wie mit den Active Directory-Accounts"

Meine erste Frage: Was für ein anderes Fenster ist gemeint? Zweite Frage: Wie soll der Benutzername angegeben werden? DOMÄNE\Benutzername oder Benutzername@Domäne? Dritte Frage: Wenn ich den Benutzernamen eingebe und das Kennwort, so kommt "Fehler bei der Authentifizierung". Was mache ich Falsch?

Ich freue mich auf antworten und erhoffe mir hier hilfe ☺ Vielen dank schon einmal.

Strakha

Avatar von Strakha

Anmeldungsdatum:
3. Januar 2012

Beiträge: 73
Zitieren
8. Mai 2012 22:28

Hallo xhellsingx,

Du brauchst auf deinem Ubuntu Client LDAP und Kerberos Pakete. Im AD musst Du eine Schemaerweiterung durchführen und die Unix-typischen Usereigenschaften eintragen, also UID, GID, home Verzeichnis, Shell. Über den Befehl 

getent passwd <username>

wobei <username> weggelassen werden kann, kannst Du herausfinden, ob Dein Ubuntu überhaupt via LDAP den User im AD findet.

Fangen wir mal vorn an. Bitte poste folgende Informationen:

  • Windows Version

  • Schemaerweiterung durchgeführt ja/nein

  • UID usw. eingetragen

  • folgende Ubuntu Files

    • /etc/pam.d/common-auth

    • /etc/pam.d/common-session

    • /etc/nsswitch.conf

    • /etc/ldap.conf

    • /etc/krb5.conf

Die Anmeldung erfolgt dann mit dem Namen des Users, also dem normalen Windows Anmeldenamen ohne eine vorangestellte Domäne. Dieser Name muss mit "getent passwd" geliefert werden, sonnst geht es nicht.

xhellsingx

(Themenstarter)

Anmeldungsdatum:
7. Mai 2012

Beiträge: 4
Zitieren
9. Mai 2012 12:09

Zuerst einmal danke für die Hilfe ☺

Windows Version: 

 Microsoft Windows Server 2003 Enterprise SP2

Schemaerweiterung durchgeführt: 

Nein

/etc/pam.d/common-auth: 

auth    [success=2 default=ignore]    pam_unix.so nullok_secure
auth    [success=1 default=ignore]    pam_ldap.so use_first_pass
auth    requisite            pam_deny.so
auth    required            pam_permit.so
auth sufficient pam_ldap.so
auth required pam_unix.so use_first_pass nullok_secure

/etc/pam.d/common-session 

session    [default=1]            pam_permit.so
session    requisite            pam_deny.so
session    required            pam_permit.so
session    required    pam_unix.so 
session    optional            pam_ldap.so 
session    optional            pam_ck_connector.so nox11

/etc/nsswitch.conf 

passwd:         compat
group:          compat
shadow:         compat

hosts:          files mdns4_minimal [NOTFOUND=return] dns mdns4
networks:       files

protocols:      db files
services:       db files
ethers:         db files
rpc:            db files

netgroup:       nis

passwd_compat: ldap
group_compat: ldap
shadow_compat: ldap

/etc/ldap.conf 

base DC=DOMÄNE,DC=FRIMA,DC=de

uri ldapi://DOMÄNEN-IP/

ldap_version 3

rootbinddn CN=USER,OU=Admins,DC=DOMÄNE,DC=FIRMA,DC=de

pam_password md5

# ADS
scope sub
timelimit 5
bind_timelimit 5
idle_timelimit 3600
pam_login_attribute uid
pam_login_attribute sAMAccountName
pam_password ad
nss_base_passwd <DN_User_Container>
nss_base_shadow <DN_User_Container>
nss_base_group <DN_Group_Container>
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute cn sAMAccountName
nss_map_attribute posixGroup memberOf
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_objectclass posixGroup group
nss_map_attribute uniqueMember member
pam_filter objectclass=user
ssl no
bind_policy soft
nss_initgroups_ignoreusers +,avahi,avahi-autoipd,backup,bin,couchdb,daemon,games,gdm,gnats,haldaemon,hplip,irc,kernoops,libuuid,list,lp,mail,man,messagebus,news,proxy,pulse,root,rtkit,saned,speech-dispatcher,sync,sys,syslog,usbmux,uucp,www-data

/etc/krb5.conf 

 Exestiert nicht

Strakha

Avatar von Strakha

Anmeldungsdatum:
3. Januar 2012

Beiträge: 73
Zitieren
13. Mai 2012 13:02

Hallo,

in der von Dir erwähnten Anleitung Active Directory Client Authentifikation steht folgendes: Zunächst muss am Active Directory die "SFU" (Services for Unix) und die Komponente "Server for NIS" installiert werden. Nach einem Neustart kann mit dem Windows-Tool adsiedit die Schema-Erweiterung überprüft werden.

Bitte installiere die "Services for Unix" http://www.microsoft.com/en-us/download/details.aspx?id=274. Hierdurch wird eine Schemaerweiterung durchgeführt. Nach eimem Reboot des DC kannst Du dann die Unix Daten in den Userobjekten konfigurieren, also UID, GID, login Shell, home Verzeichnis.

Wenn Du soweit bist, gehe nocheinmal durch die o.g. Anleitung. Wenn Fragen sind, stelle sie dann wieder in diesem Thread.

Antworten |