Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Für Anmeldung an Linux Server AD Credentials verwenden ohne Domäne zu joinen

Mitglied: Alchimedes

Alchimedes (Level 2) - Jetzt verbinden

14.07.2019 um 15:02 Uhr, 893 Aufrufe, 14 Kommentare

Hallo ,

ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das die Linuxserver der Domäne beitreten ?
Hintergrund :
Bisher verwenden wir ssh keys mit passphrase um sich an die Linuxserver anzumelden.
Jetzt soll die Anmeldung über die User-Authentifizierung des Windows DC erfolgen. (Nicht meine Idee.)

Leider war meine Internetsuche nicht erfolgreich, alles was ich gefunden habe ging nur mit Domänjoin.



Ich habe auf einer Testkiste die krb5.conf bearbeitet und kann mir via kinit ein gültiges Kerberos Ticket holen.

Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.

Was meint Ihr ?


Viele Grüsse
Mitglied: certifiedit.net
LÖSUNG 14.07.2019 um 15:12 Uhr
Hallo,

nein. Wäre auch ulkig für das Sicherheitskonzept.

VG
Bitte warten ..
Mitglied: Alchimedes
14.07.2019 um 15:32 Uhr
Hallo certifiedit.net,

Wäre auch ulkig für das Sicherheitskonzept.

ja das sehe ich auch so.
Es gibt wohl eine Möglichkeit mit dem pam_smb.so modul, jedoch müssen die User auf den Linuxservern existieren.
Auch habe ich für CentOS einige Beispiele gefunden, leider existieren unter Debian die meisten Pakete nicht,
Und die Administration bei der Serveranzahl da wird ich ja bekloppt...

Die Windowsgoofy's meinen das geht angeblich, das sollen die mir dann mal zeigen.

Danke und schönen Restsonntag
Bitte warten ..
Mitglied: Lochkartenstanzer
LÖSUNG 14.07.2019, aktualisiert um 15:33 Uhr
Zitat von Alchimedes:

Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.

Genau deswegen müßte man ansonsten ein Mapping wie z.B. bei Samba einführen, welcher lokale User dem AD-User entspricht.

Was meint Ihr ?

Geht nicht und wäre eine fatales Sicherheitskonzept.


ssh-keys sind die bessere Methode.


lks
Bitte warten ..
Mitglied: Alchimedes
14.07.2019 um 15:41 Uhr
Hallo lks,

ssh-keys sind die bessere Methode.

Ja, vor allem im Bezug auf Goldenticket etc.

https://blog.varonis.de/kerberos-angriffe-wie-lassen-sich-golden-tickets ...


Beste Gruesse
Bitte warten ..
Mitglied: certifiedit.net
14.07.2019 um 16:56 Uhr
ganz generell, ohne solche Schwachstellen. es geht einfach nicht praktikabel.
Bitte warten ..
Mitglied: Rudbert
14.07.2019 um 21:54 Uhr
Hey,

das geht mit pam_ldap.

Gruss
Bitte warten ..
Mitglied: Alchimedes
14.07.2019 um 22:33 Uhr
Hey Rudbert,

das geht mit pam_ldap.

dann zeig mir wie.
Bitte warten ..
Mitglied: Rudbert
15.07.2019 um 10:11 Uhr
Zitat von Alchimedes:

Hey Rudbert,

das geht mit pam_ldap.

dann zeig mir wie.

Hey,


kenne ja deine Umgebung und Anforderungen nicht, du hast lediglich gefragt ob es möglich wäre!

1) Installieren ("apt-get install libpam-ldap" z.B. auf Debian)
2) Doku von pam_ldap ("man pam_ldap") lesen und z.B. https://wiki.ubuntuusers.de/Active_Directory_Client_Authentifikation/ als Ansatzpunkt hernehmen

Für eine Implementierung wäre auch noch pam_mkhomedir interessant um bei der Anmeldung der LDAP-User denen auch automatisiert ein Home-Verzeichnis zu erstellen.


Warum willst du die Kisten nicht joinen? Dann könntest du die UID synchronisieren und Home-Verzeichnisse mappen über Samba und auf allen Linux-Servern bereitstellen.


Gruß
Bitte warten ..
Mitglied: certifiedit.net
15.07.2019 um 10:20 Uhr
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

Immerhin müssen die Rechte dann auch passen?
Bitte warten ..
Mitglied: Lochkartenstanzer
15.07.2019 um 11:31 Uhr
Zitat von certifiedit.net:

Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

ja.

> Immerhin müssen die Rechte dann auch passen?

ja

und das Usermapping.

lks
Bitte warten ..
Mitglied: certifiedit.net
15.07.2019 um 11:32 Uhr
Zitat von Lochkartenstanzer:

Zitat von certifiedit.net:

Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

ja.

> Immerhin müssen die Rechte dann auch passen?

ja

und das Usermapping.

lks

also in Summe, nichts gewonnen, außer Mehraufwand.
Bitte warten ..
Mitglied: bloodstix
15.07.2019 um 12:59 Uhr
Da braucht man keinen Domainjoin. Einfach PAM per LDAP ans AD anklemmen und fertig. (Ggf. für SSO noch Kerberos konfigurieren).
Bitte warten ..
Mitglied: certifiedit.net
15.07.2019 um 13:06 Uhr
Richtig, aber für den Zugriff (arbeit auf dem Server) Benötigst du dort wieder Rechte.
Bitte warten ..
Mitglied: Alchimedes
15.07.2019 um 15:49 Uhr
Hallo Rudbert,

ich werde mir das morgen mal genauer anschauen und testen.
Danke !
Bitte warten ..
Ähnliche Inhalte
Windows Server
Windows Server 2019 - Azure AD Join
Frage von jojo0411Windows Server3 Kommentare

Hallo Leute, Ich habe mir die aktuelle Testversion von Windows Server 2019 heruntergeladen. In der Hoffnung das man bei ...

Debian
Linux LDAP - AD
gelöst Frage von elix2kDebian15 Kommentare

Hallo zusammen, ich bin so langsam am verzfeifeln. Seit drei Tagen versuche ich vergeblich auf einem Debian 9 / ...

Datenbanken
MySQL - Join
Frage von ThoomaasDatenbanken4 Kommentare

Hallo alle zusammen! Ich habe zwei Tabellen in meiner Datenbank. Die eine beinhaltet Teams und einen Code zum Team ...

Samba

Join Samba 3.6 (member) in Samba 4.11 (AD DC)

Frage von JudgeDreddSamba3 Kommentare

Hallo und einen schönen guten Abend Zusammen, ich habe die Tage mal meinen Domain Controller auf den neusten Stand ...

Neue Wissensbeiträge
Sicherheit
0-day Schwachstelle im Internet Explorer
Information von kgborn vor 2 StundenSicherheit

In Microsofts Internet Explorer gibt es eine 0-day Schwachstelle in der Scripting Engine, die faktisch alle Browser- und Windows-Versionen ...

Internet

Internet-Speedtest Automatisieren via Befehlszeile, cmd, Bash (Windows, Linux, FreeBSD, Mac)

Tipp von anteNope vor 19 StundenInternet3 Kommentare

Also das hier ist irgendwie an mir vorbeigegangen. Einfacher geht es schlicht nicht mehr. Speedtest.cmd Via Aufgabenplanung stündlich oder ...

Administrator.de Feedback

Entwicklertagebuch: Codeblöcke auf unseren Seiten

Information von admtech vor 1 TagAdministrator.de Feedback4 Kommentare

Hallo Administrator User, Unsere Codeblöcke werden ab sofort anders dargestellt. Die Codeblöcke können nun direkt per Copy&Paste kopiert werden. ...

Humor (lol)
Internet - auch 2020 noch Neuland ?
Erfahrungsbericht von Henere vor 1 TagHumor (lol)3 Kommentare

Heute eine Mail der Schule meiner Tochter bekommen. Blabla Umweltschutz bla bla siehe Anhang. Dumm nur: Da hab ich ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Werde dauernd aus dem WLAN geworfen (RouterOS)
gelöst Frage von amdkeksNetzwerkmanagement23 Kommentare

Hallo Zusammen, ich habe gestern ein update meiner Mikrotikgeräte gemacht und habe nun überall Version 6.45.5 drauf. Mikrotik Routerboard, ...

Festplatten, SSD, Raid
Größe der Partition lässt sich nicht ändern mit gparted
Frage von achkleinFestplatten, SSD, Raid17 Kommentare

Hallo, ich habe eine 480GB auf eine 1TB-SSD geklont. Jetzt möchte ich den freien Speicherplatz per gparted an die ...

Windows Installation
Installation und Admin-Rechte
Frage von UserUWWindows Installation16 Kommentare

Annahme: UAC ist aktiv, der User ist "normaler" Benutzer. Eine Installation via setup.exe kann man in der Regel auf ...

Sicherheit
Wie Kann Man eine IT-Notfallhandbuch erstellen für petasan
Frage von 142658Sicherheit14 Kommentare

Hallo Leute ich muss bald meine abschlussprojekt schreiben und brauch dringend hilfe wie man ein IT-Notfallhandbuch erstellen für Petasan(eine ...