Für Anmeldung an Linux Server AD Credentials verwenden ohne Domäne zu joinen
Hallo ,
ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das die Linuxserver der Domäne beitreten ?
Hintergrund :
Bisher verwenden wir ssh keys mit passphrase um sich an die Linuxserver anzumelden.
Jetzt soll die Anmeldung über die User-Authentifizierung des Windows DC erfolgen. (Nicht meine Idee.)
Leider war meine Internetsuche nicht erfolgreich, alles was ich gefunden habe ging nur mit Domänjoin.
Ich habe auf einer Testkiste die krb5.conf bearbeitet und kann mir via kinit ein gültiges Kerberos Ticket holen.
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Was meint Ihr ?
Viele Grüsse
ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das die Linuxserver der Domäne beitreten ?
Hintergrund :
Bisher verwenden wir ssh keys mit passphrase um sich an die Linuxserver anzumelden.
Jetzt soll die Anmeldung über die User-Authentifizierung des Windows DC erfolgen. (Nicht meine Idee.)
Leider war meine Internetsuche nicht erfolgreich, alles was ich gefunden habe ging nur mit Domänjoin.
Ich habe auf einer Testkiste die krb5.conf bearbeitet und kann mir via kinit ein gültiges Kerberos Ticket holen.
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Was meint Ihr ?
Viele Grüsse
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 473439
Url: https://administrator.de/forum/fuer-anmeldung-an-linux-server-ad-credentials-verwenden-ohne-domaene-zu-joinen-473439.html
Ausgedruckt am: 26.12.2024 um 15:12 Uhr
14 Kommentare
Neuester Kommentar
Zitat von @Alchimedes:
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.
Genau deswegen müßte man ansonsten ein Mapping wie z.B. bei Samba einführen, welcher lokale User dem AD-User entspricht.
Was meint Ihr ?
Geht nicht und wäre eine fatales Sicherheitskonzept.
ssh-keys sind die bessere Methode.
lks
Hey,
kenne ja deine Umgebung und Anforderungen nicht, du hast lediglich gefragt ob es möglich wäre!
1) Installieren ("apt-get install libpam-ldap" z.B. auf Debian)
2) Doku von pam_ldap ("man pam_ldap") lesen und z.B. https://wiki.ubuntuusers.de/Active_Directory_Client_Authentifikation/ als Ansatzpunkt hernehmen
Für eine Implementierung wäre auch noch pam_mkhomedir interessant um bei der Anmeldung der LDAP-User denen auch automatisiert ein Home-Verzeichnis zu erstellen.
Warum willst du die Kisten nicht joinen? Dann könntest du die UID synchronisieren und Home-Verzeichnisse mappen über Samba und auf allen Linux-Servern bereitstellen.
Gruß
Zitat von @certifiedit.net:
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
ja.
> Immerhin müssen die Rechte dann auch passen?
ja
und das Usermapping.
lks
Zitat von @Lochkartenstanzer:
ja.
> Immerhin müssen die Rechte dann auch passen?
ja
und das Usermapping.
lks
Zitat von @certifiedit.net:
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?
ja.
> Immerhin müssen die Rechte dann auch passen?
ja
und das Usermapping.
lks
also in Summe, nichts gewonnen, außer Mehraufwand.