spacyfreak
Goto Top

Zusammenhang zwischen SAMBA, WINBIND, KERBEROS, PAM, ntlm auth und Active Directory

Hallo

Ich versuche grade endlich mal klar zu verstehen, wie die Themen SAMBA, WINBIND, KERBEROS, ntlm_auth und Active Directory zusammenhängen, bzw. was ich konkret brauche um einen Linux (Debian) Server zu einem Active Directory Memberserver zu machen, um für beliebige Linux Dienste (sei es SAMBA Filedienste, Radius, SSH-Login usw) die Active-Directory Benutzerkonten verwenden zu können.

Bisher bin ich so weit:

Windows Server 2003
Active Directory installiert (dcpromo)
Testuser angelegt


Debian Server
Software installiert:

sudo apt-get install samba
sudo apt-get install winbind
sudo apt-get install krb5-{admin-server,kdc}

Konfiguration:
In die /etc/samba/smb.conf habe ich den Domaincontroller (Server2003) eingetragen.
[global]
        workgroup = IAS 
        netbios name = TESTSRV
        realm = IAS.DE 
        idmap uid = 10000-59999
        idmap gid = 10000-59901
     # winbind separator = /
        winbind use default domain = Yes
        security = ADS
        encrypt passwords = true
        password server = *
        log level = 1
        idmap backend = ad
        template shell = /bin/bash
        client use spnego = yes

  
**Konfiguration krb5.conf**

[libdefaults]
        default_realm = IAS.DE
	default_tkt_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
	default_tgs_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
	permitted_enctypes = aes128-cts des3-cbc-sha1 rc4-hmac des-cbc-md5 des-cbc-crc
        clockskew = 300

[domain_realm]
        .ias.de = IAS.DE

[logging]
#      default = SYSLOG:NOTICE:DAEMON
        default = FILE:/var/log/krb5libs.log
        kdc = FILE:/var/log/kdc.log
        kadmind = FILE:/var/log/kadmind.log

[appdefaults]
        pam = {
                ticket_lifetime = 1d
                renew_lifetime = 1d
                forwardable = true
                proxiable = false
                retain_after_close = false
                minimum_uid = 0
                debug = false
        }
Linux Server zum Memberserver machen
net join -I <IP-des-Domaincontrollers> -U <Domänenadministrator>
Es wird ein Computerkonto im AD angelegt. Soweit schonmal gut.

Was ich gerne kapieren würde - wie hängt das ganze zusammen? Brauche ich nun ntlm_auth, oder doch winbindd, oder beides? Muss ich noch PAM konfigurieren? Wenn ja, wozu?

Also in meinem Kopf ist ein ziemliches Durcheinander, und ich finde keine einheitliche, übersichtliche, klar verständliche Anleitung in diesem Teil der Galaxis. Daher werde ich eine solche Anleitung mit Step-by-Step Erklärungen machen, sobald ich es selber kapiert habe.

Für Ideen, Erklärungen, Anregungen danke ich euch!

Content-ID: 85071

Url: https://administrator.de/forum/zusammenhang-zwischen-samba-winbind-kerberos-pam-ntlm-auth-und-active-directory-85071.html

Ausgedruckt am: 27.12.2024 um 03:12 Uhr

spacyfreak
spacyfreak 09.04.2008 um 12:01:02 Uhr
Goto Top
Übrigens -

beim "net join" Befehl (der den Linuxserver zum Member im AD machen soll) kam die Meldung "clock skew to high" oder so ähnlich. Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des Linuxservers hat.

Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
Dani
Dani 09.04.2008 um 12:42:44 Uhr
Goto Top
Hallo emdkh,
willkommen in meiner Problemwelt. face-smile Ich habe hier so einen Versuch auch am Laufen.

Was die Pakete angeht, bist du auf dem richtigen Weg. Ob du für die Grundfunktion ntlm_auth bezweifle ich. Ich habs mal nirgendwo verwendet. face-smile

Ich geb dir einfach mal meine Links zu dem Thema. Die Linuxversion kannst du ignorieren:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.elsn.org/main/LinuxWithActiveDirectory/
http://gertranssmb3.berlios.de/output/groupmapping.html#id2535464

Ich hatte unter Suse Linux das Problem, dass beim hochfahren, die Windowsbenutzer nicht geladen worden sind.

Da bei Kerberos die Zeit-Synchronität extrem wichtig ist werde ich daher beide Server per
NTP Dienst von der Zeit her mit einem NTP Server synchronisieren.
Genau, so habe ich das auch gemacht. Einfach vom gleichen Zeitserver die Uhr stellen lassen.

Da net ads join nicht funktionierte, macht der net join Befehl als "Fallback" net rpc join. Damit
fun###iert es dann, im AD ist ein Computerkonto angelegt, das den Netbios-Namen des
Linuxservers hat.
Hmmm... Seltsam, aber im 1. Link gibt es eine Beispiel. Funktioniert bei mir hier ohne Probleme.

Gott mit so nem Käse geht der ganze Tag drauf.... Fummeln bis der Arzt kommt.
Siehste, so gehts mir auch...ich muss zwischendurch was anderes machen, da ich sonst n Herzinfakt bekomme. Ich habe schon Wochen dran rum....

Wirklich neues habe ich nicht erzählt, aber ich hoffe ich kann dir mit den Links helfen.


Grüße
Dani
spacyfreak
spacyfreak 09.04.2008 um 12:57:16 Uhr
Goto Top
Hi Dani,

jo der erste Link sieht auf den ersten Blick vielversprechend aus.
Geteiltes Leid ist halbes Leid! Hehe.
Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux ist - doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare! Mit nem Microsoft IAS Radius wäre die AD-Authentierung zwischen Frühstück und Mittag feddich und es würde laufen - mit Linux muss man sich da schonmal auf 3 Tage Hirnschmalzkneten einlassen.

Andererseits - WENN es mal läuft, läuft es quasi ewig.
Dani
Dani 09.04.2008 um 15:56:19 Uhr
Goto Top
Ich war einfach zur falschen Zeit am falschen Ort als wir unsere ToDoListe untereinander aufgeteilt haben. Darum beschäftige ich mich mit Linux & Co....

Das ist es was mich immer wieder wahnsinnig macht - da erzählen die Linuxer wie toll Linux
ist doch bis es mal läuft wie gewünscht kriegt man graue Sackhaare!
Jaja....das ist doch das tolle an Linux. face-smile Höhr ich täglich - könnts mir schon fast als Band kaufen. Mir jommern auch ein paar Leutz die Ohren voll - unerträglich!

Auf das Howto, dass du hier schreiben wirst - bin ich schon gespannt.. face-wink


Grüße
Dani
spacyfreak
spacyfreak 09.04.2008 um 17:46:05 Uhr
Goto Top
DER TAG IST GERETTET!

Nach viel Geächze, Kopfkratzen und graue-Sackhaare-zupfen hab ichs hingekriegt!

Der Debian-Server ist Member in der Domäne.
Winbind kann User über Kerberos abfragen.
Radius kann user über ntlm_auth aus dem Active Directory authentisieren!

Ich mache die nächsten Tage eine schöne Schritt-für-Schritt-Anleitung, damit auch zukünftige Generationen von dieser Erfahrung zehren können. Hehe.