Authentifizierung an ADS ohne SFU mit LDAP
Integration eines Linux-Clients in eine AD ohne direkten Eingriff in dessen Struktur
Hallo zusammen,
das Problem vor dem ich aktuell sitze ist die Authentifikation Linux-Client gegen ein Active Directory. Dazu sollen Kerberos und LDAP eingesetzt werden. Es darf jedoch keine Modifikation am Win2k3/Win2k8-Server vorgenommen werden, also keine "Services For Unix" installiert werden. Im Einsatz wird natürlich ein User zum Lesen des LDAP hinzugefügt.
Das große Problem, bei dem ich nicht weiterkomme ist die Verwaltung von UIDs und GIDs. Dazu müsste das AD-Schema um die SFU erweitert werden, was mir aber nicht möglich ist. Feste Werte, wie sie sich über "nss_default_attribute_value" (libnss-ldap.conf) setzen lassen sind hier nicht möglich, da die Werte von User zu User unterschiedlich sein müssen und möglichst (aber nicht zwingend!) Netzwerk weit eindeutig.
Zu dem Thema habe ich auch schon erwägt einen eigenen OpenLDAP-Server aufzusetzen, jedoch habe ich auch hier keine Lösung für das Problem gefunden. Dies scheint mir aber der realistischste Lösungsweg, wenn ich hier auch keine Möglichkeit sehe.
Eine Informationsbeschaffung über winbind ist aus Sicherheitsgründen (Admin-Account, Host-User etc.) nicht möglich.
Daher nun meine Fragen:
1. Ist das möglich, hat jemand schon einmal eine Lösung unter derartigen Bedingungen gesehen?
2. Gibt es alternative Lösungsmöglichkeiten?
3. Worüber muss ich mich informieren?
(Umgebung: W2k3 oder W2k8 mit Debian-Linux Clients)
Vielen Dank bereits im Voraus,
mit freundlichen Grüßen
thoto
Hallo zusammen,
das Problem vor dem ich aktuell sitze ist die Authentifikation Linux-Client gegen ein Active Directory. Dazu sollen Kerberos und LDAP eingesetzt werden. Es darf jedoch keine Modifikation am Win2k3/Win2k8-Server vorgenommen werden, also keine "Services For Unix" installiert werden. Im Einsatz wird natürlich ein User zum Lesen des LDAP hinzugefügt.
Das große Problem, bei dem ich nicht weiterkomme ist die Verwaltung von UIDs und GIDs. Dazu müsste das AD-Schema um die SFU erweitert werden, was mir aber nicht möglich ist. Feste Werte, wie sie sich über "nss_default_attribute_value" (libnss-ldap.conf) setzen lassen sind hier nicht möglich, da die Werte von User zu User unterschiedlich sein müssen und möglichst (aber nicht zwingend!) Netzwerk weit eindeutig.
Zu dem Thema habe ich auch schon erwägt einen eigenen OpenLDAP-Server aufzusetzen, jedoch habe ich auch hier keine Lösung für das Problem gefunden. Dies scheint mir aber der realistischste Lösungsweg, wenn ich hier auch keine Möglichkeit sehe.
Eine Informationsbeschaffung über winbind ist aus Sicherheitsgründen (Admin-Account, Host-User etc.) nicht möglich.
Daher nun meine Fragen:
1. Ist das möglich, hat jemand schon einmal eine Lösung unter derartigen Bedingungen gesehen?
2. Gibt es alternative Lösungsmöglichkeiten?
3. Worüber muss ich mich informieren?
(Umgebung: W2k3 oder W2k8 mit Debian-Linux Clients)
Vielen Dank bereits im Voraus,
mit freundlichen Grüßen
thoto
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 177342
Url: https://administrator.de/forum/authentifizierung-an-ads-ohne-sfu-mit-ldap-177342.html
Ausgedruckt am: 23.12.2024 um 10:12 Uhr
12 Kommentare
Neuester Kommentar
Hallo,
um einen Linuxclient in ein AD zu integrieren brauchst Du auf dem Linuxclient KEIN LDAP zu installieren.
Und das Schema vom AD muss auch nicht verändert werden.
Du brauhst Samba 3.x und damit verbunden Winbind. Goggel mal danach. Gibt für Ubuntu ne gute Anletung.
Winbind übernimmt dann das übersetzen zwischen Linux und Windows IDs.
Du wirst aber nur die Anmeldung am System damit ermöglichen können und den Zugriff auf Netzwerkrecourcen, aber keine Profileinstellungen von MS-Profilen.
Gruß
Chonta
um einen Linuxclient in ein AD zu integrieren brauchst Du auf dem Linuxclient KEIN LDAP zu installieren.
Und das Schema vom AD muss auch nicht verändert werden.
Du brauhst Samba 3.x und damit verbunden Winbind. Goggel mal danach. Gibt für Ubuntu ne gute Anletung.
Winbind übernimmt dann das übersetzen zwischen Linux und Windows IDs.
Du wirst aber nur die Anmeldung am System damit ermöglichen können und den Zugriff auf Netzwerkrecourcen, aber keine Profileinstellungen von MS-Profilen.
Gruß
Chonta
Effektiv muss nämlich der Windows-Client in die Domäne eingeschrieben werden, was nur über einen Admin-Account
geht. Da aber die Hosts von einem einzigen zentralen Image booten, müsste zunächst einmal der Host unterschieden werden,
was relativ komplex ist (Init-Skript) und das andererseits auch nicht sonderlich sicher ist.
geht. Da aber die Hosts von einem einzigen zentralen Image booten, müsste zunächst einmal der Host unterschieden werden,
was relativ komplex ist (Init-Skript) und das andererseits auch nicht sonderlich sicher ist.
Moin,
hast Du noch mehr Informationen, die ggf. interessant sind?
Gruß
24
Hallo,
damit die eine Benutzerautentifizierung über das AD laufen kann, sich also Windowsbenutzer ohne Linuxkonto auf dem Linuxrechner mit ihrem AD Konto anmelden können,
MUSS der Linuxrechner in die Domäne aufgenommen werden Punkt.
Jeder Domänenbenutzer kann, sofern es die Richtlinien nicht verbieten 3 Workstations in die Domäne aufnehmen. Ansonsten kann man dafür auch im AD ein spezielles Konto einrichten oder eine Bestimmte Gruppe usw.
Und Winbind sollte natürlich auch über Kerberos mit dem AD komunizieren.
Wenn Dein Problem lediglich ist, das die Linuxrechner auf Freigaben im Netzwerk zugreifen sollen und die Linuxbenutzer eh nie wechseln, dann samba installieren und dann müssen die Benutzer halt 2x Name und Passwort eingeben....
Was die Gründe für das darf nicht und das auch nicht betrifft -> Nur Windowsworkstations erlauben und fertig oder die Richtlinien so anpassen das das was man dafür braucht auch verwendet werden kann.
Nach dem Motto ich will ein Auto mit dem ich schnell fahren kann aber es darf KEINE Reifen haben!
Gruß
Chonta
PS: Generell wäre es mal interesannt zu wissen Was das genaue Konzept der Sache ist. Am Anfag ging es um Autentifizierung und UUIDs die nicht nötig sind und dann auf einmal was mit von Image Booten. Wenn Du genau und ausführlich bschreibst was die Aufgabeist und wo es hapert kann man Dir auch besser/schneller helfen
damit die eine Benutzerautentifizierung über das AD laufen kann, sich also Windowsbenutzer ohne Linuxkonto auf dem Linuxrechner mit ihrem AD Konto anmelden können,
MUSS der Linuxrechner in die Domäne aufgenommen werden Punkt.
Jeder Domänenbenutzer kann, sofern es die Richtlinien nicht verbieten 3 Workstations in die Domäne aufnehmen. Ansonsten kann man dafür auch im AD ein spezielles Konto einrichten oder eine Bestimmte Gruppe usw.
Und Winbind sollte natürlich auch über Kerberos mit dem AD komunizieren.
Wenn Dein Problem lediglich ist, das die Linuxrechner auf Freigaben im Netzwerk zugreifen sollen und die Linuxbenutzer eh nie wechseln, dann samba installieren und dann müssen die Benutzer halt 2x Name und Passwort eingeben....
Was die Gründe für das darf nicht und das auch nicht betrifft -> Nur Windowsworkstations erlauben und fertig oder die Richtlinien so anpassen das das was man dafür braucht auch verwendet werden kann.
Nach dem Motto ich will ein Auto mit dem ich schnell fahren kann aber es darf KEINE Reifen haben!
Gruß
Chonta
PS: Generell wäre es mal interesannt zu wissen Was das genaue Konzept der Sache ist. Am Anfag ging es um Autentifizierung und UUIDs die nicht nötig sind und dann auf einmal was mit von Image Booten. Wenn Du genau und ausführlich bschreibst was die Aufgabeist und wo es hapert kann man Dir auch besser/schneller helfen
Moin,
meine Glaskugel hatte schon Schneetreiben, aber ich sehe das Problem immer noch nicht
Falls ich mich irre, aber ein diskless System kann sowohl ein Windows PE oder ein schnuffiges Linux sein - per PXE-Boot, die dann per RDP oder wie auch immer auf die Domain zugreifen - wo bitte klemmt jetzt die Kiste?
Gruß
24
meine Glaskugel hatte schon Schneetreiben, aber ich sehe das Problem immer noch nicht
Falls ich mich irre, aber ein diskless System kann sowohl ein Windows PE oder ein schnuffiges Linux sein - per PXE-Boot, die dann per RDP oder wie auch immer auf die Domain zugreifen - wo bitte klemmt jetzt die Kiste?
Gruß
24
Zitat von @2hard4you:
Falls ich mich irre, aber ein diskless System kann sowohl ein Windows PE oder ein schnuffiges Linux sein - per PXE-Boot, die dann
per RDP oder wie auch immer auf die Domain zugreifen - wo bitte klemmt jetzt die Kiste?
Falls ich mich irre, aber ein diskless System kann sowohl ein Windows PE oder ein schnuffiges Linux sein - per PXE-Boot, die dann
per RDP oder wie auch immer auf die Domain zugreifen - wo bitte klemmt jetzt die Kiste?
Das frage ich mich jetzt auch.
Kann ich bitte die letzten 15 sinnlos vergeudeten Minuten meines Lebens bitte wiederhaben?
Und die Diskussion:
das ist im Budget nicht drin
muß ich leider mit:
ohne Treibmittel/Energie keine Fortbewegung
beantworten.
Lonesome Walker