active-directory - instalar - unir ubuntu a dominio windows server 2003
vincular Linux a Active Directory utilizando kerberos (4)
Estamos intentando vincular una máquina Linux (debian 4.0) a W2k3 AD. Hemos configurado Kerberos correctamente para que podamos obtener TGT. Y los usuarios se autentican correctamente. Sin embargo, PAM parece ser el postigo adhesivo. Por ejemplo, cuando tratamos de SSH para la máquina de Linux como uno de los usuarios de AD, la autenticación tiene éxito (según auth.log) pero nunca recibo shell. El entorno predeterminado está configurado correctamente y PAM incluso crea el Homedir correctamente. Como referencia, estábamos siguiendo poco a poco:
Las cuentas POSIX exigen que tenga un shell vaild configurado en la cuenta de usuario. Cuando se usa LDAP, el atributo loginShell hace referencia a esto. Debe usar PAM y asignar un atributo apropiado para loginShell en su configuración, o servicios de MS activos para UNIX en el DC, que extenderá el esquema AD para incluir los atributos POSIX necesarios.
Consulte http://www.ietf.org/rfc/rfc2307.txt como referencia de RFC2307, que define esto para LDAP.
He utilizado Likewise para hacer algo similar en nuestros servidores. Aquí está el proceso que usamos para configurarlo:
Instalar de la misma manera:
$ sudo apt-get update
$ sudo apt-get install likewise-open
Únete al dominio (Asumiendo el dominio "domain.local")
$ sudo domainjoin-cli join domain.local Administrator
$ sudo update-rc.d likewise-open defaults
$ sudo /etc/init.d/likewise-open start
Suponiendo que está usando sudo Y quiere que los usuarios de AD puedan tener poderes sudoer, necesita editar el archivo sudoers. Esto se puede hacer con el siguiente comando:
$ sudo visudo
luego agregue lo siguiente al final del archivo (esto supone que el dominio "DOMINIO" y todos los usuarios que deberían tener sudo están en un grupo llamado "linux_admin" en el directorio activo):
%DOMAIN//linux_admin ALL=(ALL) ALL
Si está seguro de que todo, excepto PAM funciona correctamente, sugiero pasar la opción de depuración a pam_krb5.so para ver si eso le da una pista de lo que está sucediendo.
También sugiero que se verifique que nss-ldap esté configurado correctamente usando
getent passwd avalidusername
Una solución simple ... proyecto pam_krb5 + ldap
Una bifurcación del módulo pam_krb5 PAM que proporciona una configuración muy fácil de usar para utilizar la autenticación del cliente de Linux contra el dominio existente de Active Directory y / o el servidor OpenLDAP.