14
Für Anmeldung an Linux Server AD Credentials verwenden ohne Domäne zu joinen
Hallo ,
ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das die Linuxserver der Domäne beitreten ?
Hintergrund :
Bisher verwenden wir ssh keys mit passphrase um sich an die Linuxserver anzumelden.
Jetzt soll die Anmeldung über die User-Authentifizierung des Windows DC erfolgen. (Nicht meine Idee.)
Leider war meine Internetsuche nicht erfolgreich, alles was ich gefunden habe ging nur mit Domänjoin.
Ich habe auf einer Testkiste die krb5.conf bearbeitet und kann mir via kinit ein gültiges Kerberos Ticket holen.
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Was meint Ihr ?
Viele Grüsse
ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das die Linuxserver der Domäne beitreten ?
Hintergrund :
Bisher verwenden wir ssh keys mit passphrase um sich an die Linuxserver anzumelden.
Jetzt soll die Anmeldung über die User-Authentifizierung des Windows DC erfolgen. (Nicht meine Idee.)
Leider war meine Internetsuche nicht erfolgreich, alles was ich gefunden habe ging nur mit Domänjoin.
Ich habe auf einer Testkiste die krb5.conf bearbeitet und kann mir via kinit ein gültiges Kerberos Ticket holen.
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Was meint Ihr ?
Viele Grüsse
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 473439
Url: https://administrator.de/contentid/473439
Printed on: April 23, 2024 at 18:04 o'clock
14 Comments
Latest comment
Hallo,
nein. Wäre auch ulkig für das Sicherheitskonzept.
VG
nein. Wäre auch ulkig für das Sicherheitskonzept.
VG
Hallo certifiedit.net,
ja das sehe ich auch so.
Es gibt wohl eine Möglichkeit mit dem pam_smb.so modul, jedoch müssen die User auf den Linuxservern existieren.
Auch habe ich für CentOS einige Beispiele gefunden, leider existieren unter Debian die meisten Pakete nicht,
Und die Administration bei der Serveranzahl da wird ich ja bekloppt...
Die Windowsgoofy's meinen das geht angeblich, das sollen die mir dann mal zeigen.
Danke und schönen Restsonntag
Wäre auch ulkig für das Sicherheitskonzept.
ja das sehe ich auch so.
Es gibt wohl eine Möglichkeit mit dem pam_smb.so modul, jedoch müssen die User auf den Linuxservern existieren.
Auch habe ich für CentOS einige Beispiele gefunden, leider existieren unter Debian die meisten Pakete nicht,
Und die Administration bei der Serveranzahl da wird ich ja bekloppt...
Die Windowsgoofy's meinen das geht angeblich, das sollen die mir dann mal zeigen.
Danke und schönen Restsonntag
Zitat von @Alchimedes:
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Genau deswegen müßte man ansonsten ein Mapping wie z.B. bei Samba einführen, welcher lokale User dem AD-User entspricht.
Was meint Ihr ?
Geht nicht und wäre eine fatales Sicherheitskonzept.
ssh-keys sind die bessere Methode.
lks
Hallo lks,
Ja, vor allem im Bezug auf Goldenticket etc.
https://blog.varonis.de/kerberos-angriffe-wie-lassen-sich-golden-tickets ...
Beste Gruesse
ssh-keys sind die bessere Methode.
Ja, vor allem im Bezug auf Goldenticket etc.
https://blog.varonis.de/kerberos-angriffe-wie-lassen-sich-golden-tickets ...
Beste Gruesse
ganz generell, ohne solche Schwachstellen. 
es geht einfach nicht praktikabel.
es geht einfach nicht praktikabel.
Hey,
das geht mit pam_ldap.
Gruss
das geht mit pam_ldap.
Gruss
Hey Rudbert,
dann zeig mir wie.
das geht mit pam_ldap.
dann zeig mir wie.
Hey,
kenne ja deine Umgebung und Anforderungen nicht, du hast lediglich gefragt ob es möglich wäre!
1) Installieren ("apt-get install libpam-ldap" z.B. auf Debian)
2) Doku von pam_ldap ("man pam_ldap") lesen und z.B. https://wiki.ubuntuusers.de/Active_Directory_Client_Authentifikation/ als Ansatzpunkt hernehmen
Für eine Implementierung wäre auch noch pam_mkhomedir interessant um bei der Anmeldung der LDAP-User denen auch automatisiert ein Home-Verzeichnis zu erstellen.
Warum willst du die Kisten nicht joinen? Dann könntest du die UID synchronisieren und Home-Verzeichnisse mappen über Samba und auf allen Linux-Servern bereitstellen.
Gruß
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
Immerhin müssen die Rechte dann auch passen?
Immerhin müssen die Rechte dann auch passen?
Zitat von @falscher-sperrstatus:
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
ja.
> Immerhin müssen die Rechte dann auch passen?
ja
und das Usermapping.
lks
Zitat von @Lochkartenstanzer:
ja.
> Immerhin müssen die Rechte dann auch passen?
ja
und das Usermapping.
lks
Zitat von @falscher-sperrstatus:
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
ja.
> Immerhin müssen die Rechte dann auch passen?
ja
und das Usermapping.
lks
also in Summe, nichts gewonnen, außer Mehraufwand.
Da braucht man keinen Domainjoin. Einfach PAM per LDAP ans AD anklemmen und fertig. (Ggf. für SSO noch Kerberos konfigurieren).
Richtig, aber für den Zugriff (arbeit auf dem Server) Benötigst du dort wieder Rechte.
Hallo Rudbert,
ich werde mir das morgen mal genauer anschauen und testen.
Danke !
ich werde mir das morgen mal genauer anschauen und testen.
Danke !
