alchimedes
Goto Top

Für Anmeldung an Linux Server AD Credentials verwenden ohne Domäne zu joinen

Hallo ,

ist es möglich für die Anmeldung an Linuxserver die User Credentials einer Domäne zu verwenden ohne das die Linuxserver der Domäne beitreten ?
Hintergrund :
Bisher verwenden wir ssh keys mit passphrase um sich an die Linuxserver anzumelden.
Jetzt soll die Anmeldung über die User-Authentifizierung des Windows DC erfolgen. (Nicht meine Idee.)

Leider war meine Internetsuche nicht erfolgreich, alles was ich gefunden habe ging nur mit Domänjoin.


Ich habe auf einer Testkiste die krb5.conf bearbeitet und kann mir via kinit ein gültiges Kerberos Ticket holen.

Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.

Was meint Ihr ?


Viele Grüsse

Content-Key: 473439

Url: https://administrator.de/contentid/473439

Printed on: April 18, 2024 at 05:04 o'clock

Member: falscher-sperrstatus
Solution falscher-sperrstatus Jul 14, 2019 at 13:12:38 (UTC)
Goto Top
Hallo,

nein. Wäre auch ulkig für das Sicherheitskonzept.

VG
Member: Alchimedes
Alchimedes Jul 14, 2019 at 13:32:07 (UTC)
Goto Top
Hallo certifiedit.net,

Wäre auch ulkig für das Sicherheitskonzept.

ja das sehe ich auch so.
Es gibt wohl eine Möglichkeit mit dem pam_smb.so modul, jedoch müssen die User auf den Linuxservern existieren.
Auch habe ich für CentOS einige Beispiele gefunden, leider existieren unter Debian die meisten Pakete nicht,
Und die Administration bei der Serveranzahl da wird ich ja bekloppt...

Die Windowsgoofy's meinen das geht angeblich, das sollen die mir dann mal zeigen.

Danke und schönen Restsonntag
Member: Lochkartenstanzer
Solution Lochkartenstanzer Jul 14, 2019 updated at 13:33:55 (UTC)
Goto Top
Zitat von @Alchimedes:

Meiner Meinung nach ist das nicht möglich, da die User auf den Linuxserver nicht existieren.

Genau deswegen müßte man ansonsten ein Mapping wie z.B. bei Samba einführen, welcher lokale User dem AD-User entspricht.

Was meint Ihr ?

Geht nicht und wäre eine fatales Sicherheitskonzept.


ssh-keys sind die bessere Methode.


lks
Member: Alchimedes
Alchimedes Jul 14, 2019 at 13:41:50 (UTC)
Goto Top
Hallo lks,

ssh-keys sind die bessere Methode.

Ja, vor allem im Bezug auf Goldenticket etc.

https://blog.varonis.de/kerberos-angriffe-wie-lassen-sich-golden-tickets ...


Beste Gruesse
Member: falscher-sperrstatus
falscher-sperrstatus Jul 14, 2019 at 14:56:44 (UTC)
Goto Top
ganz generell, ohne solche Schwachstellen. face-wink es geht einfach nicht praktikabel.
Member: Rudbert
Rudbert Jul 14, 2019 at 19:54:49 (UTC)
Goto Top
Hey,

das geht mit pam_ldap.

Gruss
Member: Alchimedes
Alchimedes Jul 14, 2019 at 20:33:36 (UTC)
Goto Top
Hey Rudbert,

das geht mit pam_ldap.

dann zeig mir wie.
Member: Rudbert
Rudbert Jul 15, 2019 at 08:11:32 (UTC)
Goto Top
Zitat von @Alchimedes:

Hey Rudbert,

das geht mit pam_ldap.

dann zeig mir wie.

Hey,


kenne ja deine Umgebung und Anforderungen nicht, du hast lediglich gefragt ob es möglich wäre!

1) Installieren ("apt-get install libpam-ldap" z.B. auf Debian)
2) Doku von pam_ldap ("man pam_ldap") lesen und z.B. https://wiki.ubuntuusers.de/Active_Directory_Client_Authentifikation/ als Ansatzpunkt hernehmen

Für eine Implementierung wäre auch noch pam_mkhomedir interessant um bei der Anmeldung der LDAP-User denen auch automatisiert ein Home-Verzeichnis zu erstellen.


Warum willst du die Kisten nicht joinen? Dann könntest du die UID synchronisieren und Home-Verzeichnisse mappen über Samba und auf allen Linux-Servern bereitstellen.


Gruß
Member: falscher-sperrstatus
falscher-sperrstatus Jul 15, 2019 at 08:20:44 (UTC)
Goto Top
Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

Immerhin müssen die Rechte dann auch passen?
Member: Lochkartenstanzer
Lochkartenstanzer Jul 15, 2019 at 09:31:43 (UTC)
Goto Top
Zitat von @falscher-sperrstatus:

Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

ja.

> Immerhin müssen die Rechte dann auch passen?

ja

und das Usermapping.

lks
Member: falscher-sperrstatus
falscher-sperrstatus Jul 15, 2019 at 09:32:41 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

Zitat von @falscher-sperrstatus:

Im Prinzip läuft dies aber schon "fast" (ohne ins Detail gegangen zu sein) auf einen Domainjoin hinaus, oder?

ja.

> Immerhin müssen die Rechte dann auch passen?

ja

und das Usermapping.

lks

also in Summe, nichts gewonnen, außer Mehraufwand.
Member: bloodstix
bloodstix Jul 15, 2019 at 10:59:45 (UTC)
Goto Top
Da braucht man keinen Domainjoin. Einfach PAM per LDAP ans AD anklemmen und fertig. (Ggf. für SSO noch Kerberos konfigurieren).
Member: falscher-sperrstatus
falscher-sperrstatus Jul 15, 2019 at 11:06:12 (UTC)
Goto Top
Richtig, aber für den Zugriff (arbeit auf dem Server) Benötigst du dort wieder Rechte.
Member: Alchimedes
Alchimedes Jul 15, 2019 at 13:49:43 (UTC)
Goto Top
Hallo Rudbert,

ich werde mir das morgen mal genauer anschauen und testen.
Danke !