ubuntuusers.de

Hallo Comunity,

ich möchte gerne in der folgenden Konstellation NTLM nutzen Ubuntu 16.01 LTS mit Apache 2.4. Leider war ich in Google bisher nicht besonders erfolgreich, Hintergrund ist ein Plugin (https://www.dokuwiki.org/plugin:authad?s[]=authad) das ich in unserem Firmenwiki nutzen möchte. Das in der dortigen Dokumentation beschriebene Modul dazu dient nur dem Apache kleiner oder älter als 2.4. Ich möchte den Apache 2.4 auf 16.04 LTS nutzen, wo finde ich das passende Modul. Ich finde immer nur Module die bis Apache 2.2 funktionieren und nicht auf 2.3 oder wie bei mir 2.4.

Ich möchte SSO im Intranet per NTLM nutzen, komme aber leider an genau dieser Stelle nicht weiter, vielleicht hat ja schon jemand die passende config dafür parat.

Ich hoffe mir kann hier jemand helfen danke.

FS

Wie wäre es mit Link? Ist auch bei Ubuntu mit in den Paketquellen.

mfg Stefan

Habe mich verkonfiguriert, wollte Kerberos implementieren, hab mich der Thematik entlang dieses How To gehangelt https://help.ubuntu.com/community/ADAuthentication und am Freitag abgebrochen weil ich an der Stelle wo der Server ins AD gehen soll nicht weiter kam, ich hatte mir ein Snapshot der Maschine angelegt damit nichts passieren kann. Auf dem Server läuft unser Firmenwiki. Am Montag Morgen, noch etwas umnachtet habe ich geschaut ob im WIKI alles in Ordnung ist, was der Fall war und denn Snapshot gelöscht(ja dämlich, ich weiß). Anschließend wollte ich auf die Konsole und musste feststellen das ich mich nicht mehr anmelden kann, weder als user noch als root. Es gäbe noch die Möglichkeit eine Sicherung aus Mitte letzter Woche einzuspielen, das ist aber wirklich sch...ade bei einem Produktivsystem indem Nutzer Änderungen vornehmen können. Die Anmeldedaten werden verarbeitet und dann soll ich mich sofort erneut anmelden und dann erneut und dann erneut usw, gebe ich falsche Zugangsdaten ein meckert er über wrong credentials.

Meine bisherigen Rettungsversuche, im maintenancemodus bin ich das how to mit vim rückwärts gegangen das mir den Salat eingebracht hat, leider mit dem Ergebnis das ich wenn ich dann meine Daten eingebe auch die richtigen Daten wrong credentials anzeigt, also wieder zurück zur verkonfigurierten Kerberos konfig. Hat einer eine Idee für mich ohne Datensicherung und neu aufsetzen. Eher so was wie die Anmeldung im maintenancemodus auf Werkseinstellung zurück setzen, bitte sehnlichst um Hilfe.

Relevant für dein Problem ist die /etc/nsswitch.conf sowie die PAM Konfiguration, der Rest ist egal. Wie sehen die von dir geänderten Konfigurationsdateien dafür bei dir aus?

mfg Stefan

also hier die conf der Dateien wie sie meiner Meinung nach aussehen müssten und ich sie schon einmal zurück verändert habe

die krb5.conf und smb.conf gelöscht, will ja den alten Ursprung wieder haben, komme übrigens weder über putty noch über winscp rauf, nur über VMware sphere rauf, das macht die Anzeige der Dateien etwas unbequem

etc/nsswitch.conf

passwd:         compat
group:          compat
shadow:         compat
gshadow:        files
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis

etc/psm.d/common-account

account	[success=1 new_authtok_reqd=done default=ignore]	pam_unix.so 
account	requisite			pam_deny.so
account	required			pam_permit.so

etc/pam.d/common-auth

auth	[success=1 default=ignore]	pam_unix.so nullok_secure
auth	requisite			pam_deny.so
auth	required			pam_permit.so

etc/pam.d/common-password

password	[success=1 default=ignore]	pam_unix.so obscure sha512
password	requisite			pam_deny.so
password	required			pam_permit.so

etc/pam.d/common-session

session	[default=1]			pam_permit.so
session	requisite			pam_deny.so
session	required			pam_permit.so
session optional			pam_umask.so
session	required	pam_unix.so 
session	optional	pam_systemd.so 

etc/Pam.d/sshd

@include common-auth
account    required     pam_nologin.so
@include common-account
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so close
session    required     pam_loginuid.so
session    optional     pam_keyinit.so force revoke
@include common-session
session    optional     pam_motd.so  motd=/run/motd.dynamic
session    optional     pam_motd.so noupdate
session    optional     pam_mail.so standard noenv # [1]
session    required     pam_limits.so
session    required     pam_env.so # [1]
session    required     pam_env.so user_readenv=1 envfile=/etc/default/locale
session [success=ok ignore=ignore module_unknown=ignore default=bad]        pam_selinux.so open
@include common-password

Die Kommentare habe ich hier zur besseren Übersicht entfernt, sieht jemand einen Fehler in dieser config, die verkorkste Kerberos config ist heir nicht dargestellt, ich will erstmal nur zurück zum ursprünglichen Zustand

it-service schrieb:

etc/nsswitch.conf

Ist OK.

etc/psm.d/common-account

OK

etc/pam.d/common-auth

OK

etc/pam.d/common-password

OK

etc/pam.d/common-session

Auch OK.

etc/Pam.d/sshd

Auch OK.

An deiner nssswitch und PAM Konfiguration liegt es schonmal nicht. Was hast du sonst noch so geändert?

mfg Stefan

Dank@encbladexp, ja mache ich

der Server läuft jetzt in der zuvor stehenden config, bootet sauber hoch, alles grün ok bis zum Login, die Anwendungen darauf laufen auch sauber wie am WIKI und somit laufenden Apache2 zu sehen, nur anmelden kann ich mich immer noch nicht, die auth.log zeigt an das die Authentifizierung fehlschlägt, wird auch irgendwo geloggt warum, den user test habe ich nachträglich erstellt um zu schauen ob ich mich mit einem neuen user anmelden kann der im maintenance Modus erstellt wurde, ist leider auch nicht der Fall.

Die /etc/shadow hat für den User ja noch ein Password hinterlegt mit dem du einen Anmeldeversuch unternimmst?

mfg Stefan

Ja, die shadow hat kryptisch anmeldedaten hinterlegt die aber, wie ich es schon vermutete nicht funktionieren

Ich hab mir schon den Kopf zerbrochen woran es noch liegen kann, ich habe kurz zuvor samba von den Paketquellen installiert aber nicht konfiguriert, ich glaube aber nicht das es daran liegt, hat vielleicht jemand noch einen Ansatz für mich oder einen Workaround wie ich den Login wieder zum laufen bekomme, im Screenshot seht ihr das die Auth.log sagt das die Authentifizierung fehlschlägt, nur nicht warum, ist auch egal ob user oder root, gleiches Verhalten, im maintenance oder rescue Modus jedoch wird mein root Kennwort angenommen, ich kann neue Nutzer anlegen, die pw der alten Nutzer ändern wie ich möchte, kennt irgendjemand einen Workaround mit dem ich alle für das Login relevanten Daten valiieren kann?

Hab das System wieder herstellen können indem ich den aktuellen Content des Wikis im recoverymodus kopiert und dann eine alte Sicherung hersgestellt habe und dann den Content wieder eingefügt und die rechte neu vergeben habe, vielen Dank an Stefan