Автор Тема: Linux - LDAP auth  (Прочетена 2298 пъти)

a108lnx

  • Участници
  • ***
  • Публикации: 3
    • Профил
Linux - LDAP auth
« -: Jun 15, 2017, 15:36 »
Здравейте,
опитвам се да пусна юзъри от windows AD-то да се аутентикират от линукс машини или по-точно Mint 18.1 Serena.
Mъча го по този туториал: https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory. Кербероса и самбата съм ги конфигурирал или поне привидно, машината е джойната в домейна и се вижда в активната директория. С команди wbinfo -u|-g виждам юзърите и групите през LDAP. Обаче до там... nssswitch.config-a добавям winbind, но от "getent passwd | group виждам само локалните. Ако му нахвърлям настройките на PAM дадени от линка, гърми аутентикейшъна и не мога да си ползвам и root юзъра, освен че не логвам юзър от АД... :д
Предполагам PAM файлове нещо ги омазвам, забил съм от няколко дни и ако някой занимавал се може да помогне ще съм много благодарен.  :)  [_]3
Активен

geroy

  • Напреднали
  • *****
  • Публикации: 198
  • Distribution: Windows, NetBSD, Devuan
    • Профил
    • WWW
Re: Linux - LDAP auth
« Отговор #1 -: Jun 15, 2017, 16:40 »
в /etc/nsswitch.conf  не трябва ли да са не compat ами files?

passwd:     files winbind
shadow:     files winbind
group:      files winbind

Така поне локалната автентикация трябва да ти работи?
Активен

a108lnx

  • Участници
  • ***
  • Публикации: 3
    • Профил
Re: Linux - LDAP auth
« Отговор #2 -: Jun 15, 2017, 17:06 »
Ами не и с files е абсолютно същото. Като ти иска руут парола за нещо винаги отговора е "Sorry, Wrong Pass", и само мога да логна от grub loader-a, a иначе PAM-a буквално копи/пейст му правя без да пипам друго. Ако трябва ще кача как изглеждат файловете.

Активен

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Linux - LDAP auth
« Отговор #3 -: Jun 16, 2017, 08:49 »
Ето аз какво съм правил, но не е към Windows директори сървър, а към apacheDS, което е някаква имплементация на openldap.

Код:
passwd:         files ldap
group:          files ldap
shadow:         files ldap

Освен това винаги съм имал проблеми да пусна криптирането на връзката с нещо различно от crypt. А крипт гледа първите 5 символа от паролата, ама не е кой знае какъв проблем.
В туториала не намерих къде е /etc/ldap.conf
Там има настройки на криптирането и връзката със сървъра.



Edit: ето ги моите файлове в pam.d
common-password
Код:
# here are the per-package modules (the "Primary" block)
password [success=2 default=ignore] pam_unix.so obscure sha512
password [success=1 user_unknown=ignore default=die] pam_ldap.so use_authtok try_first_pass
# here's the fallback if no module succeeds
password requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password required pam_permit.so
# and here are more per-package modules (the "Additional" block)
password optional pam_gnome_keyring.so
# end of pam-auth-update config

common-session
Код:
#here are the per-package modules (the "Primary" block)
session [default=1] pam_permit.so
# here's the fallback if no module succeeds
session requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump aroun
session required pam_permit.so
session required        pam_mkhomedir.so skel=/etc/skel/
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional pam_umask.so
# and here are more per-package modules (the "Additional" block)
session required pam_unix.so
session optional pam_ldap.so
session optional pam_systemd.so
session optional pam_ck_connector.so nox11
# end of pam-auth-update config

common-auth
Код:
# here are the per-package modules (the "Primary" block)
auth required pam_tally.so onerr=fail deny=3 unlock_time=300
auth [success=2 default=ignore] pam_unix.so nullok_secure
auth [success=1 default=ignore] pam_ldap.so use_first_pass
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth optional pam_cap.so
# end of pam-auth-update config
« Последна редакция: Jun 16, 2017, 09:10 от Ipolit »
Активен

Face Your FreeBSD at http://ipolit.hit.bg

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Linux - LDAP auth
« Отговор #4 -: Jun 16, 2017, 08:54 »
Друго, за което се сещам е, че едно време съм имал проблеми със създаването на home директорията при първо логване. Беше с някаква по-стара версия на убунту и мисля, че имаше връзка с ldm или xdm.
Та може да пробваш да влезеш като root и да направиш su username. После нямаше проблем с логването на съответния юзър, след като вече му е създадена home директорията.
Активен

Face Your FreeBSD at http://ipolit.hit.bg

a108lnx

  • Участници
  • ***
  • Публикации: 3
    • Профил
Re: Linux - LDAP auth
« Отговор #5 -: Jun 16, 2017, 09:46 »
Между другото директорията, която се създава в Home за домейна пълното ли име трябва да е или късото. Дадено е късото "test",  а не "test.server.com, но знам ли...и има ли значение дали е с главни букви или не, защото в керберос конфига имаше. Пробвах това което си показал, но пак няма разлика  :(
Активен

Ipolit

  • Напреднали
  • *****
  • Публикации: 418
    • Профил
    • WWW
Re: Linux - LDAP auth
« Отговор #6 -: Jun 16, 2017, 11:37 »
Имаш ли ldap.conf?
Аз настройките за сървъра ги давам там
И важните са

Код:
base ou=XX
uri ldap://172.23.xx.xx:10389
pam_password crypt
ldap_version 3


Но в твоя случай едва ли е crypt
И пак ти казвам, на ldap сървъра съм слагал всякакъв възможен вид криптиране на паролите, но ми работи само с crypt и респективно така го държа. Тъй, че може туй да му е кусура. Не че съм го пипал последните 6-7 години.
Активен

Face Your FreeBSD at http://ipolit.hit.bg

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
Auth code
Живота, вселената и някакви други глупости
Andronoff 6 3183 Последна публикация Sep 20, 2004, 23:45
от zeridon
Qmail и smtp-auth
Хардуерни и софтуерни проблеми
Morningstar 2 2412 Последна публикация Apr 24, 2006, 01:36
от zgv
Dnat'ed ssh auth problem
Настройка на програми
voyager 2 1749 Последна публикация Apr 05, 2007, 01:00
от tarator
Exim auth from MySQL
Настройка на програми
kip 22 5527 Последна публикация Jul 29, 2010, 16:14
от kip
exim4 gnuTLS auth проблеми
Хардуерни и софтуерни проблеми
Bogo 1 2030 Последна публикация May 26, 2013, 19:11
от laskov