5
Zusammenhang zwischen SAMBA, WINBIND, KERBEROS, PAM, ntlm auth und Active Directory
Hallo
Ich versuche grade endlich mal klar zu verstehen, wie die Themen SAMBA, WINBIND, KERBEROS, ntlm_auth und Active Directory zusammenhängen, bzw. was ich konkret brauche um einen Linux (Debian) Server zu einem Active Directory Memberserver zu machen, um für beliebige Linux Dienste (sei es SAMBA Filedienste, Radius, SSH-Login usw) die Active-Directory Benutzerkonten verwenden zu können.
Bisher bin ich so weit:
Windows Server 2003
Active Directory installiert (dcpromo)
Testuser angelegt
Debian Server
Software installiert:
sudo apt-get install samba
sudo apt-get install winbind
sudo apt-get install krb5-{admin-server,kdc}
Konfiguration:
In die /etc/samba/smb.conf habe ich den Domaincontroller (Server2003) eingetragen.
Linux Server zum Memberserver machen
Es wird ein Computerkonto im AD angelegt. Soweit schonmal gut.
Was ich gerne kapieren würde - wie hängt das ganze zusammen? Brauche ich nun ntlm_auth, oder doch winbindd, oder beides? Muss ich noch PAM konfigurieren? Wenn ja, wozu?
Also in meinem Kopf ist ein ziemliches Durcheinander, und ich finde keine einheitliche, übersichtliche, klar verständliche Anleitung in diesem Teil der Galaxis. Daher werde ich eine solche Anleitung mit Step-by-Step Erklärungen machen, sobald ich es selber kapiert habe.
Für Ideen, Erklärungen, Anregungen danke ich euch!
Ich versuche grade endlich mal klar zu verstehen, wie die Themen SAMBA, WINBIND, KERBEROS, ntlm_auth und Active Directory zusammenhängen, bzw. was ich konkret brauche um einen Linux (Debian) Server zu einem Active Directory Memberserver zu machen, um für beliebige Linux Dienste (sei es SAMBA Filedienste, Radius, SSH-Login usw) die Active-Directory Benutzerkonten verwenden zu können.
Bisher bin ich so weit:
Windows Server 2003
Active Directory installiert (dcpromo)
Testuser angelegt
Debian Server
Software installiert:
sudo apt-get install samba
sudo apt-get install winbind
sudo apt-get install krb5-{admin-server,kdc}
Konfiguration:
In die /etc/samba/smb.conf habe ich den Domaincontroller (Server2003) eingetragen.
[global]
workgroup = IAS
netbios name = TESTSRV
realm = IAS.DE
idmap uid = 10000-59999
idmap gid = 10000-59901
# winbind separator = /
winbind use default domain = Yes
security = ADS
encrypt passwords = true
password server = *
log level = 1
idmap backend = ad
template shell = /bin/bash
client use spnego = yes
**Konfiguration krb5.conf**
[libdefaults]
default_realm = IAS.DE
default_tkt_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
default_tgs_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
permitted_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
clockskew = 300
[domain_realm]
.ias.de = IAS.DE
[logging]
# default = SYSLOG:NOTICE:DAEMON
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
kadmind = FILE:/var/log/kadmind.log
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}net join -I <IP-des-Domaincontrollers> -U <Domänenadministrator>Was ich gerne kapieren würde - wie hängt das ganze zusammen? Brauche ich nun ntlm_auth, oder doch winbindd, oder beides? Muss ich noch PAM konfigurieren? Wenn ja, wozu?
Also in meinem Kopf ist ein ziemliches Durcheinander, und ich finde keine einheitliche, übersichtliche, klar verständliche Anleitung in diesem Teil der Galaxis. Daher werde ich eine solche Anleitung mit Step-by-Step Erklärungen machen, sobald ich es selber kapiert habe.
Für Ideen, Erklärungen, Anregungen danke ich euch!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 85071
Url: https://administrator.de/forum/zusammenhang-zwischen-samba-winbind-kerberos-pam-ntlm-auth-und-active-directory-85071.html
Ausgedruckt am: 27.12.2024 um 03:12 Uhr
5 Kommentare
Neuester Kommentar
Übrigens -
beim "net join" Befehl (der den Linuxserver zum Member im AD machen soll) kam die Meldung "clock skew to high" oder so ähnlich. Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des Linuxservers hat.
Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
beim "net join" Befehl (der den Linuxserver zum Member im AD machen soll) kam die Meldung "clock skew to high" oder so ähnlich. Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des Linuxservers hat.
Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
Hallo emdkh,
willkommen in meiner Problemwelt.
Ich habe hier so einen Versuch auch am Laufen.
Was die Pakete angeht, bist du auf dem richtigen Weg. Ob du für die Grundfunktion ntlm_auth bezweifle ich. Ich habs mal nirgendwo verwendet.
Ich geb dir einfach mal meine Links zu dem Thema. Die Linuxversion kannst du ignorieren:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.elsn.org/main/LinuxWithActiveDirectory/
http://gertranssmb3.berlios.de/output/groupmapping.html#id2535464
Ich hatte unter Suse Linux das Problem, dass beim hochfahren, die Windowsbenutzer nicht geladen worden sind.
Wirklich neues habe ich nicht erzählt, aber ich hoffe ich kann dir mit den Links helfen.
Grüße
Dani
willkommen in meiner Problemwelt.
Ich habe hier so einen Versuch auch am Laufen.Was die Pakete angeht, bist du auf dem richtigen Weg. Ob du für die Grundfunktion ntlm_auth bezweifle ich. Ich habs mal nirgendwo verwendet.
Ich geb dir einfach mal meine Links zu dem Thema. Die Linuxversion kannst du ignorieren:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.elsn.org/main/LinuxWithActiveDirectory/
http://gertranssmb3.berlios.de/output/groupmapping.html#id2535464
Ich hatte unter Suse Linux das Problem, dass beim hochfahren, die Windowsbenutzer nicht geladen worden sind.
Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per
NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Genau, so habe ich das auch gemacht. Einfach vom gleichen Zeitserver die Uhr stellen lassen.NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit
fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des
Linuxservers hat.
Hmmm... Seltsam, aber im 1. Link gibt es eine Beispiel. Funktioniert bei mir hier ohne Probleme.fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des
Linuxservers hat.
Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
Siehste, so gehts mir auch...ich muss zwischendurch was anderes machen, da ich sonst n Herzinfakt bekomme. Ich habe schon Wochen dran rum....Wirklich neues habe ich nicht erzählt, aber ich hoffe ich kann dir mit den Links helfen.
Grüße
Dani
Hi Dani,
jo der erste Link sieht auf den ersten Blick vielversprechend aus.
Geteiltes Leid ist halbes Leid! Hehe.
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux ist - doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare! Mit nem Microsoft IAS Radius wäre die AD-Authentierung zwischen Frühstück und Mittag feddich und es würde laufen - mit Linux muss man sich da schonmal auf 3 Tage Hirnschmalzkneten einlassen.
Andererseits - WENN es mal läuft, läuft es quasi ewig.
jo der erste Link sieht auf den ersten Blick vielversprechend aus.
Geteiltes Leid ist halbes Leid! Hehe.
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux ist - doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare! Mit nem Microsoft IAS Radius wäre die AD-Authentierung zwischen Frühstück und Mittag feddich und es würde laufen - mit Linux muss man sich da schonmal auf 3 Tage Hirnschmalzkneten einlassen.
Andererseits - WENN es mal läuft, läuft es quasi ewig.
Ich war einfach zur falschen Zeit am falschen Ort als wir unsere ToDoListe untereinander aufgeteilt haben. Darum beschäftige ich mich mit Linux & Co....
Höhr ich täglich - könnts mir schon fast als Band kaufen. Mir jommern auch ein paar Leutz die Ohren voll - unerträglich!
Auf das Howto, dass du hier schreiben wirst - bin ich schon gespannt..
Grüße
Dani
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux
ist doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare!
Jaja....das ist doch das tolle an Linux. ist doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare!
Höhr ich täglich - könnts mir schon fast als Band kaufen. Mir jommern auch ein paar Leutz die Ohren voll - unerträglich!Auf das Howto, dass du hier schreiben wirst - bin ich schon gespannt..
Grüße
Dani
DER TAG IST GERETTET!
Nach viel Geächze, Kopfkratzen und graue-Sackhaare-zupfen hab ichs hingekriegt!
Der Debian-Server ist Member in der Domäne.
Winbind kann User über Kerberos abfragen.
Radius kann user über ntlm_auth aus dem Active Directory authentisieren!
Ich mache die nächsten Tage eine schöne Schritt-für-Schritt-Anleitung, damit auch zukünftige Generationen von dieser Erfahrung zehren können. Hehe.
Nach viel Geächze, Kopfkratzen und graue-Sackhaare-zupfen hab ichs hingekriegt!
Der Debian-Server ist Member in der Domäne.
Winbind kann User über Kerberos abfragen.
Radius kann user über ntlm_auth aus dem Active Directory authentisieren!
Ich mache die nächsten Tage eine schöne Schritt-für-Schritt-Anleitung, damit auch zukünftige Generationen von dieser Erfahrung zehren können. Hehe.
