Linux за българи: Форуми

Linux секция за начинаещи => Настройка на програми => Темата е започната от: a108lnx в Jun 15, 2017, 15:36


Титла: Linux - LDAP auth
Публикувано от: a108lnx в Jun 15, 2017, 15:36
Здравейте,
опитвам се да пусна юзъри от windows AD-то да се аутентикират от линукс машини или по-точно Mint 18.1 Serena.
Mъча го по този туториал: https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory. Кербероса и самбата съм ги конфигурирал или поне привидно, машината е джойната в домейна и се вижда в активната директория. С команди wbinfo -u|-g виждам юзърите и групите през LDAP. Обаче до там... nssswitch.config-a добавям winbind, но от "getent passwd | group виждам само локалните. Ако му нахвърлям настройките на PAM дадени от линка, гърми аутентикейшъна и не мога да си ползвам и root юзъра, освен че не логвам юзър от АД... :д
Предполагам PAM файлове нещо ги омазвам, забил съм от няколко дни и ако някой занимавал се може да помогне ще съм много благодарен.  :)  [_]3

Титла: Re: Linux - LDAP auth
Публикувано от: geroy в Jun 15, 2017, 16:40
в /etc/nsswitch.conf  не трябва ли да са не compat ами files?

passwd:     files winbind
shadow:     files winbind
group:      files winbind

Така поне локалната автентикация трябва да ти работи?

Титла: Re: Linux - LDAP auth
Публикувано от: a108lnx в Jun 15, 2017, 17:06
Ами не и с files е абсолютно същото. Като ти иска руут парола за нещо винаги отговора е "Sorry, Wrong Pass", и само мога да логна от grub loader-a, a иначе PAM-a буквално копи/пейст му правя без да пипам друго. Ако трябва ще кача как изглеждат файловете.


Титла: Re: Linux - LDAP auth
Публикувано от: Ipolit в Jun 16, 2017, 08:49
Ето аз какво съм правил, но не е към Windows директори сървър, а към apacheDS, което е някаква имплементация на openldap.

Код:
passwd:         files ldap
group:          files ldap
shadow:         files ldap

Освен това винаги съм имал проблеми да пусна криптирането на връзката с нещо различно от crypt. А крипт гледа първите 5 символа от паролата, ама не е кой знае какъв проблем.
В туториала не намерих къде е /etc/ldap.conf
Там има настройки на криптирането и връзката със сървъра.



Edit: ето ги моите файлове в pam.d
common-password
Код:
# here are the per-package modules (the "Primary" block)
password	[success=2 default=ignore]	pam_unix.so obscure sha512
password	[success=1 user_unknown=ignore default=die]	pam_ldap.so use_authtok try_first_pass
# here's the fallback if no module succeeds
password	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
password	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
password	optional	pam_gnome_keyring.so 
# end of pam-auth-update config

common-session
Код:
 #here are the per-package modules (the "Primary" block)
session	[default=1]			pam_permit.so
# here's the fallback if no module succeeds
session	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump aroun
session	required			pam_permit.so
session required        pam_mkhomedir.so skel=/etc/skel/
# The pam_umask module will set the umask according to the system default in
# /etc/login.defs and user settings, solving the problem of different
# umask settings with different shells, display managers, remote sessions etc.
# See "man pam_umask".
session optional			pam_umask.so
# and here are more per-package modules (the "Additional" block)
session	required	pam_unix.so 
session	optional			pam_ldap.so 
session	optional	pam_systemd.so 
session	optional			pam_ck_connector.so nox11
# end of pam-auth-update config

common-auth
Код:
# here are the per-package modules (the "Primary" block)
auth required pam_tally.so onerr=fail deny=3 unlock_time=300
auth	[success=2 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_ldap.so use_first_pass
# here's the fallback if no module succeeds
auth	requisite			pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth	required			pam_permit.so
# and here are more per-package modules (the "Additional" block)
auth	optional			pam_cap.so 
# end of pam-auth-update config

Титла: Re: Linux - LDAP auth
Публикувано от: Ipolit в Jun 16, 2017, 08:54
Друго, за което се сещам е, че едно време съм имал проблеми със създаването на home директорията при първо логване. Беше с някаква по-стара версия на убунту и мисля, че имаше връзка с ldm или xdm.
Та може да пробваш да влезеш като root и да направиш su username. После нямаше проблем с логването на съответния юзър, след като вече му е създадена home директорията.

Титла: Re: Linux - LDAP auth
Публикувано от: a108lnx в Jun 16, 2017, 09:46
Между другото директорията, която се създава в Home за домейна пълното ли име трябва да е или късото. Дадено е късото "test",  а не "test.server.com, но знам ли...и има ли значение дали е с главни букви или не, защото в керберос конфига имаше. Пробвах това което си показал, но пак няма разлика  :(

Титла: Re: Linux - LDAP auth
Публикувано от: Ipolit в Jun 16, 2017, 11:37
Имаш ли ldap.conf?
Аз настройките за сървъра ги давам там
И важните са

Код:
base ou=XX
uri ldap://172.23.xx.xx:10389
pam_password crypt
ldap_version 3


Но в твоя случай едва ли е crypt
И пак ти казвам, на ldap сървъра съм слагал всякакъв възможен вид криптиране на паролите, но ми работи само с crypt и респективно така го държа. Тъй, че може туй да му е кусура. Не че съм го пипал последните 6-7 години.


Powered by SMF 2.0 Beta 4 | SMF © 2006, Simple Machines LLC