Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Für Anmeldung an Linux Server AD Credentials verwenden ohne Domäne zu joinen

Mitglied: Alchimedes

Alchimedes (Level 2) - Jetzt verbinden

14.07.2019 um 15:02 Uhr, 519 Aufrufe, 14 Kommentare

Hallo ,

ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das die Linuxserver der Domäne beitreten ?
Hintergrund :
Bisher verwenden wir ssh keys mit passphrase um sich an die Linuxserver anzumelden.
Jetzt soll die Anmeldung über die User-Authentifizierung des Windows DC erfolgen. (Nicht meine Idee.)

Leider war meine Internetsuche nicht erfolgreich, alles was ich gefunden habe ging nur mit Domänjoin.



Ich habe auf einer Testkiste die krb5.conf bearbeitet und kann mir via kinit ein gültiges Kerberos Ticket holen.

Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.

Was meint Ihr ?


Viele Grüsse
Mitglied: certifiedit.net
LÖSUNG 14.07.2019 um 15:12 Uhr
Hallo,

nein. Wäre auch ulkig für das Sicherheitskonzept.

VG
Bitte warten ..
Mitglied: Alchimedes
14.07.2019 um 15:32 Uhr
Hallo certifiedit.net,

Wäre auch ulkig für das Sicherheitskonzept.

ja das sehe ich auch so.
Es gibt wohl eine Möglichkeit mit dem pam_smb.so modul, jedoch müssen die User auf den Linuxservern existieren.
Auch habe ich für CentOS einige Beispiele gefunden, leider existieren unter Debian die meisten Pakete nicht,
Und die Administration bei der Serveranzahl da wird ich ja bekloppt...

Die Windowsgoofy's meinen das geht angeblich, das sollen die mir dann mal zeigen.

Danke und schönen Restsonntag
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 14.07.2019, aktualisiert um 15:33 Uhr
Zitat von Alchimedes:

Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.

Genau deswegen müßte man ansonsten ein Mapping wie z.B. bei Samba einführen, welcher lokale User dem AD-User entspricht.

Was meint Ihr ?

Geht nicht und wäre eine fatales Sicherheitskonzept.


ssh-keys sind die bessere Methode.


lks
Bitte warten ..
Mitglied: Alchimedes
14.07.2019 um 15:41 Uhr
Hallo lks,

ssh-keys sind die bessere Methode.

Ja, vor allem im Bezug auf Goldenticket etc.

https://blog.varonis.de/kerberos-angriffe-wie-lassen-sich-golden-tickets ...


Beste Gruesse
Bitte warten ..
Mitglied: certifiedit.net
14.07.2019 um 16:56 Uhr
ganz generell, ohne solche Schwachstellen. es geht einfach nicht praktikabel.
Bitte warten ..
Mitglied: Rudbert
14.07.2019 um 21:54 Uhr
Hey,

das geht mit pam_ldap.

Gruss
Bitte warten ..
Mitglied: Alchimedes
14.07.2019 um 22:33 Uhr
Hey Rudbert,

das geht mit pam_ldap.

dann zeig mir wie.
Bitte warten ..
Mitglied: Rudbert
15.07.2019 um 10:11 Uhr
Zitat von Alchimedes:

Hey Rudbert,

das geht mit pam_ldap.

dann zeig mir wie.

Hey,


kenne ja deine Umgebung und Anforderungen nicht, du hast lediglich gefragt ob es möglich wäre!

1) Installieren ("apt-get install libpam-ldap" z.B. auf Debian)
2) Doku von pam_ldap ("man pam_ldap") lesen und z.B. https://wiki.ubuntuusers.de/Active_Directory_Client_Authentifikation/ als Ansatzpunkt hernehmen

Für eine Implementierung wäre auch noch pam_mkhomedir interessant um bei der Anmeldung der LDAP-User denen auch automatisiert ein Home-Verzeichnis zu erstellen.


Warum willst du die Kisten nicht joinen? Dann könntest du die UID synchronisieren und Home-Verzeichnisse mappen über Samba und auf allen Linux-Servern bereitstellen.


Gruß
Bitte warten ..
Mitglied: certifiedit.net
15.07.2019 um 10:20 Uhr
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

Immerhin müssen die Rechte dann auch passen?
Bitte warten ..
Mitglied: Lochkartenstanzer
15.07.2019 um 11:31 Uhr
Zitat von certifiedit.net:

Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

ja.

> Immerhin müssen die Rechte dann auch passen?

ja

und das Usermapping.

lks
Bitte warten ..
Mitglied: certifiedit.net
15.07.2019 um 11:32 Uhr
Zitat von Lochkartenstanzer:

Zitat von certifiedit.net:

Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

ja.

> Immerhin müssen die Rechte dann auch passen?

ja

und das Usermapping.

lks

also in Summe, nichts gewonnen, außer Mehraufwand.
Bitte warten ..
Mitglied: bloodstix
15.07.2019 um 12:59 Uhr
Da braucht man keinen Domainjoin. Einfach PAM per LDAP ans AD anklemmen und fertig. (Ggf. für SSO noch Kerberos konfigurieren).
Bitte warten ..
Mitglied: certifiedit.net
15.07.2019 um 13:06 Uhr
Richtig, aber für den Zugriff (arbeit auf dem Server) Benötigst du dort wieder Rechte.
Bitte warten ..
Mitglied: Alchimedes
15.07.2019 um 15:49 Uhr
Hallo Rudbert,

ich werde mir das morgen mal genauer anschauen und testen.
Danke !
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Server 2019 - Azure AD Join
Frage von jojo0411Windows Server3 Kommentare

Hallo Leute, Ich habe mir die aktuelle Testversion von Windows Server 2019 heruntergeladen. In der Hoffnung das man bei ...

Datenbanken
MySQL - Join
Frage von ThoomaasDatenbanken4 Kommentare

Hallo alle zusammen! Ich habe zwei Tabellen in meiner Datenbank. Die eine beinhaltet Teams und einen Code zum Team ...

Linux Tools
Linux CA im AD
Frage von X42KampfpanzerLinux Tools1 Kommentar

Hallo an alle, für den Https Zugriff auf Drucker und unseren Esxi Server möchte ich gern eine CA erstellen ...

Batch & Shell
PowerShell Domain Join
gelöst Frage von Patrick-ITBatch & Shell2 Kommentare

Hallo zusammen, kann mir einer sagen wo der Fehler in meinem Code ist? Wenn ich ihn öffne passiert nichts. ...

Neue Wissensbeiträge
Windows Update
Sicherheitsupdate für SQL Server 2014 SP3
Information von sabines vor 19 StundenWindows Update1 Kommentar

Für den SQL Server 2014 existiert ein Sicherheitsupdate. Laut KB Artikel wird es als CU3 angezeigt: Server 2014 SP3 ...

Backup

Veeam Agent für MS Windows - neue Version verfügbar (bedingt jedoch offenbar .NET Framework 4.6)

Information von VGem-e vor 1 TagBackup1 Kommentar

Moin Kollegen, einer unserer Server zeigte grad an, dass für o.g. Software ein Update verfügbar ist. Ob ein evtl. ...

Python

Sie meinen es ja nur gut - Microsoft hilft python-Entwicklern auf unnachahmliche Weise

Information von DerWoWusste vor 3 TagenPython2 Kommentare

Stellt Euch vor, Ihr nutzt python unter Windows 10 und skriptet damit regelmäßig Dinge. Nach dem Update auf Windows ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security 10.0 SP1 steht in Englisch bereit mit Unterstützung für Windows 10 1903 (May Update)

Information von VGem-e vor 3 TagenSicherheits-Tools1 Kommentar

Moin Kollegen, Dann kommt wohl demnächst auch die deutschsprachige/europäische Version zur Auslieferung. Gruß VGem-e

Heiß diskutierte Inhalte
Windows Server
Windows Server 2016 einrichten
Frage von borjiaWindows Server34 Kommentare

Ich würde gerne einen Server einrichten, erstmal nur mit DNS und AD. Habe mich die letzten Wochen durch diverse ...

Google Android
Anbieter für Diensthandys
Frage von Pat.batGoogle Android25 Kommentare

Hallo zusammen, ich bin seit einiger Zeit zuständig für die Diensthandys bei uns in der Behörde. Eine Management Software ...

Netzwerkgrundlagen
Neue Serverumgebung von 0 aufbauen
Frage von JacareNetzwerkgrundlagen19 Kommentare

Hallo zusammen, ich bin noch nicht lange hier und weiß nicht, ob meine Frage daher etwas ungewöhnlich ist. Ich ...

Windows Server
Verbindunsproblem zwischen Klient und Wsus-Server
Frage von flashgordon78Windows Server16 Kommentare

Liebe Forum Besucher! Ich habe ein Wsus_Server (Win Server 2016) erstellt und die Update sind herunterladen worden. Aber ich ...