Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Ubuntu 14.04 und 16.04 LTS Server - Freeradius mit AD-Anbindung

Mitglied: Looser27

Looser27 (Level 3) - Jetzt verbinden

10.03.2015, aktualisiert 12.01.2018, 16561 Aufrufe, 32 Kommentare, 8 Danke

Nachdem ich mich durch viele Anleitungen gewühlt habe und dank aqui (an dieser Stelle vielen Dank für Deinen unermüdlichen Einsatz bei der Fehlersuche!) das System zum Laufen gebracht habe, fasse ich diese Anleitungen zusammen, um es Nachahmern zu vereinfachen.

1. Vorbereitungen
1.1 Ubuntu Server
Man installiert einen Ubuntu 14.04 LTS Server mit folgenden Modifikationen:
- bei der Einrichtung des Netzwerkes die DHCP Abfrage abbrechen und statt dessen die entsprechenden Werte manuell eintragen
- es wird nur das OpenSSH-Paket installiert (damit man bequem per putty weiter arbeiten kann)

1.2 Windows Server
- Host-Eintrag im DNS für den Ubuntu-Server anlegen (Reverse-Eintrag prüfen)

Beide Systeme müssen sich über den Hostnamen anpingen lassen, sonst klappen die weiteren Schritte nicht!

2. Ubuntu Server in Windows Domain aufnehmen
Alle folgenden Befehle werden als su ausgeführt.
Der Einfachheit halber einmal

01.
sudo su
02.
Kennwort: (wurde bei der Installation vergeben)
2.1 Installation der benötigten Pakete
01.
apt-get install krb5-user samba samba-common-bin winbind ntp freeradius make
2.1.1 Dienste beenden
01.
/etc/init.d/samba stop
02.
/etc/init.d/winbind stop
03.
/etc/init.d/ntp stop
2.2 /etc/ntp.conf bearbeiten
Im Bereich der Server habe ich alle auskommentiert und meinen domain-internen NTP eingetragen:
01.
192.168.10.100
Die folgenden Schritte habe ich aus der Anleitung von spacyfreak 1:1 übernommen:

2.2.1 ntpdate
01.
ntpdate dc.firma.de
2.2.2 NTP Dienst starten
01.
/etc/init.d/ntp start
2.2.3 Zeitsynchronisation testen
01.
ntpq -p
02.
date
2.3 /etc/samba/smb.conf
Um immer auf die Original-Datei zurückgreifen zu können, empfiehlt es sich, immer VOR der ersten Änderung eine Sicherung der Datei anzulegen.
Die geht mit
01.
cp smb.conf smb.conf.bak
Anschließend habe ich die smb.conf gelöscht und eine neue mit folgendem Inhalt angelegt:
01.
[global]
02.
          workgroup = FIRMA (Arbeitsgruppen Name; in aller Regel Domänen-Name ohne Suffix)
03.
          realm = FIRMA.DE (Domänen-Name)
04.
          netbios name = DEBIAN (NETBIOS-Name des Debian Servers; max. 15 Zeichen lang!)
05.
          security = ADS (Active Directory soll die Authentisierung stellen)
06.
          idmap uid = 10000-20000 (Range der UIDs für das Mapping von AD-RIDs auf UIDs)
07.
          idmap gid = 10000-20000 (Range der GIDs für das Mapping von AD-RIDs auf GIDs)
08.
          template shell = /bin/bash (Shell die der Benutzer nach der Anmeldung bekommt)
09.
          winbind use default domain = yes (User muss kein Prefix bei der Anmeldung angeben)
2.4 /etc/nsswitch.conf
01.
# Example configuration of GNU Name Service Switch functionality.
02.
# If you have the `glibc-doc-reference' and `info' packages installed, try:
03.
# `info libc "Name Service Switch"' for information about this file.
04.
passwd: compat winbind
05.
group: compat winbind
06.
shadow: compat
07.
hosts: files dns
08.
networks: files
09.
protocols: db files
10.
services: db files
11.
ethers: db files
12.
rpc: db files
13.
netgroup: nis
2.5 /etc/krb5.conf
01.
[libdefaults]
02.
Default_realm = FIRMA.DE
03.
#The following krb5.conf variables are only for MIT Kerberos.
04.
krb4_config = /etc/krb.conf
05.
krb4_realms = /etc/krb.realms
06.
kdc_timesync = 1
07.
ccache_type = 4
08.
forwardable = true
09.
proxiable = true
10.
[realms]
11.
     FIRMA.DE = {
12.
          kdc = dc.firma.de
13.
          admin_server = dc.firma.de
14.
          }
15.
[domain_realm]
16.
     .firma.de = FIRMA.DE
17.
[login]
18.
krb4_convert = true
19.
krb4_get_tickets = false
2.6 In Domain aufnehmen
01.
net ads join -U Administrator
2.7 Dienste starten
01.
/etc/init.d/samba start
02.
/etc/init.d/winbind start
2.8 Funktionstest
01.
wbinfo –t (zeigt an ob das RPC trust secret passt)
02.
wbinfo -a Administrator%Passwort (zeigt an ob sich AD-User Administrator über winbind authentisieren kann)
03.
wbinfo –u (zeigt die Active Directory Benutzer an)
04.
wbinfo –g (zeigt die Active Directory Gruppen an)
2.9 Server neustart und Dienste automatisch starten lassen
01.
reboot
02.
update-rc.d samba defaults
03.
update-rc.d ntp defaults
04.
update-rc.d winbind defaults
3. Freeradius
Bevor man anfängt, die Konfiguration vorzunehmen ein paar Anmerkungen:
Die Sicherungen der Dateien

/etc/freeradius/eap.conf
/etc/freeradius/modules/mschap
/etc/freeradius/modules/ntlm_auth
/etc/freeradius/sites-enabled/default
/etc/freeradius/sites-enabled/inner-tunnel
/etc/freeradius/users
/ets/freeradius/clients.conf

am einfachsten nach /home/USERNAME legen. Ich habe feststellen müssen, dass der Freereadius sich trotz .bak-Endung zumindest bei der mschap.bak bedient, obwohl das nur die Sicherung war.

3.1 Zertifikate erstellen
Die Zertifikate liegen unter Ubuntu hier:
01.
/usr/share/doc/freeradius/examples/certs
Es werden folgende Dateien editiert
ca.cnf
server.cnf
client.cnf

Die Einträge müssen für alle 3 identisch sein.
Das input_/output_password wird im späteren noch benötigt.

01.
[certificate_authority]
02.
countryName = DE
03.
stateOrProvinceName = Radius
04.
localityName = Frankfurt
05.
organizationName = Firma-Meier
06.
emailAddress = admin@meier.de
07.
commonName = "Mein Radiustest" 
Nachdem alle 3 Dateien entsprechend angepasst wurden erzeugt ein

01.
./bootstrap
die benötigten Zertifikate.
Wer noch ein Client-Zertifikat benötigt erhalt das mit
01.
make client.pem
3.2 Kopieren der Zertifikate in den Freeradius:
01.
cp server.key server.pem ca.key /etc/freeradius/certs
Damit hat dann auch der Freeradius Zugriff auf die Zertifikate.

3.3 /etc/freeradius/clients.conf
01.
client localhost {
02.
...
03.
  secret = SUPERGEHEIMNIS (aus den Zertifikaten)
04.
...
05.

06.
client 192.168.10.0/24 {
07.
  secret = SUPERGEHEIMNIS
08.
  shortname = WLAN
09.
}
10.
...
Der Rest bleibt unverändert.

3.4 /etc/freeradius/eap.conf
01.
## EAP-TLS
02.
...
03.
tls {
04.
...
05.
private_key_password = SUPERGEHEIMNIS
06.
...
07.
random_file = /dev/urandom
08.
...
Der Rest bleibt unverändert.

3.5 /etc/freeradius/modules/mschap
01.
mschap {
02.
...
03.
require_encryption = yes
04.
...
05.
require_strong = yes
06.
...
07.
with_ntdomain_hack = yes
08.
...
09.
ntlm_auth = "usr/bin/ntlm_auth --request-nt-key --username=%{mschap:User-Name} --domain=%{%{mschap:NT-Domain}:-MYDOMAIN} --challenge=%{mschap:Challenge:-00} --nt-response=%{mschap:NT-Response:-00}"
10.
...
11.
}
Der Rest bleibt unverändert.

3.6 /etc/freeradius/modules/ntlm_auth
01.
...
02.
program = "/usr/bin/ntlm_auth --request-nt-key --domain=MYDOMAIN --username=%{mschap:User-Name} --password=%{User-Password}"
03.
}
Der Rest bleibt unverändert.

Möchte man hingegen die zugelassenen User auf eine Gruppe, z.B. "WLAN", beschränken dann sieht die Zeile wie folgt aus:
01.
program = "/usr/bin/ntlm_auth --request-nt-key --domain=MYDOMAIN --require-membership-of=MYDOMAIN\\WLAN --username=%{mschap:User-Name} --password=%{User-Password}"
3.7 /etc/freeradius/sites-enabled/default
01.
...
02.
authenticate {
03.
  ...
04.
  ntlm_auth
05.
  ...
Der Rest bleibt unverändert.

3.8 /etc/freeradius/sites-enabled/inner-tunnel
01.
...
02.
authenticate {
03.
  ...
04.
  ntlm_auth
05.
  ..
Der Rest bleibt unverändert.

3.9 /etc/freeradius/users
01.
DEFAULT Auth-Type = ntlm_auth
02.
...
Der Rest bleibt unverändert.

4. Testen
Den Freeradius am sinnvollsten mit
01.
freeradius -XXX

starten. Dann sieht man sofort, wo es kneift.
Wenn alles korrekt ist, zeigt er in der letzten Zeile an, auf welchem Port er auf eingehende Anfragen wartet:
01.
Listening on authentication address * port 1812
02.
Listening on accounting address * port 1813
03.
Listening on command file /var/run/radiusd/radiusd.sock
04.
Listening on proxy address * port 1814
05.
Ready to process requests.
Jetzt kann man mit dem Tool NTRadPing die Verbindung testen.
ACHTUNG: Das Häkchen bei CHAP nicht(!) setzen.

5. Restarbeiten
Damit die winbind Abfrage erfolgreich ist, müssen noch ein paar Rechte verändert werden.
01.
service freeradius stop
02.
usermod -a -G winbindd_priv freerad
03.
chown root:winbindd_priv /var/lib/samba/winbindd_privileged/
04.
service freeradius start
Quellen:
Sichere 802.1x WLAN-Benutzer Authentisierung über Radius
Netzwerk Management Server mit Raspberry Pi
Debian Linux in eine Active Directory Domäne integrieren
http://deployingradius.com/documents/configuration/active_directory.htm ...
http://xenomorph.net/linux/samba/issues/exec-program-output-reading-win ...


32 Kommentare
Mitglied: Looser27
01.07.2016 um 13:48 Uhr
Ich habe die Anleitung heute auf einem Ubuntu 16.04. LTS System ohne Änderungen so umgesetzt, d.h. die Anleitung kann auch für das aktuelle Release übernommen werden.
Bitte warten ..
Mitglied: Ch3p4cK
12.09.2016 um 14:17 Uhr
Hallo,

ich habe die Anleitung unter 14.04 LTS benutzt und lief bisher ohne Probleme.
Heute habe ich probiert ein Release Upgrade auf 16.04 LTS zu machen. Leider authentifizieren sich nun Windows Clients nicht mehr mit dem Radius.

01.
Mon Sep 12 14:13:27 2016 : Debug: WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
02.
Mon Sep 12 14:13:27 2016 : Debug: WARNING: !! EAP session for state 0xaf941c31ab30050c did not finish!
03.
Mon Sep 12 14:13:27 2016 : Debug: WARNING: !! Please read http://wiki.freeradius.org/guide/Certificate_Compatibility
04.
Mon Sep 12 14:13:27 2016 : Debug: WARNING: !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Irgendjemand eine Idee?


Gruß
Ch3p
Bitte warten ..
Mitglied: Looser27
12.09.2016 um 20:34 Uhr
Alle Einstellungen noch mal geprüfte?
Programme alle upgedatet?
Bitte warten ..
Mitglied: Ch3p4cK
13.09.2016 um 17:29 Uhr
Klar alles nochmal durchgegangen. Alle Updates sind gemacht. Beim Updaten natürlich gesagt, dass er die alte Konfig behalten soll.
Das Problem ist nur der Windows Client. Mit Android und iOS geht die Authentifizierung noch ohne Probleme.
Bitte warten ..
Mitglied: Looser27
13.09.2016 um 20:26 Uhr
Neues Zertifikat verteilt für die Windows Clients?
Bitte warten ..
Mitglied: tellihow
18.10.2016 um 16:08 Uhr
Beim joinen in meine Domäne wird folgender Fehler ausgespuckt!

gss_init_sec_context failed with [Miscellaneous failure (see text): Message stream modified]
kinit succeeded but ads_sasl_spengo_gensec_bind (KRB5) failed: An internal error occurred.
Failer to join domain: failed to connect to AD: An internal error occured.


Meine Testumgebung:

Windows Server 2012 R2
AD Rolle --> Domäne hot.spot
DNS Rolle --> nslookup kann vorwärts und rückwärts auflösen auf beiden systemen

• der NETBIOS Name ist PROJEKT-13
• der Workgroup Name ist HOT
• der DNS Name ist PROJEKT-13.HOT.SPOT.
• der Kerberos Realm ist HOT.SPOT.
• der Domänen-Name ist "HOT.SPOT.

IP: 192.168.1.1
gateway: 192.168.1.254
dns: 192.168.1.1

IPCop
Firelwall
DHCP
Router
Rote/Grüne Schnittstelle
Grüne Schnittstelle: 192.168.1.254

Bananapi mit Ubuntu 16.04 mate

Hier soll demnächst der Freeradius-Server laufen und eine Authentifizierung über Active Directory ermöglichen. Die Anleitung habe ich schon mehr als 5 mal befolgt und dabei immer den Ubuntu neu aufgesetzt. Ich bekomme einfach diese Fehlermeldung nicht weg.

- nslookup Auflösung vorwärts wie rückwärts kein Problem
- Zeitsynchronisation funktioniert einwandfrei
- alle vorgegebene Pakte wurden installiert und nach der Anleitung konfiguriert

Hier Auszüge :

smb.conf

[global]

workgroup = HOT
real = HOT.SPOT
netbios name = PROJEKT-13
security = ADS
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
winbind use default domain = yes

krb5.conf

[libdefaults]
default_realm = HOT.SPOT
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

[realms]
HOT.SPOT = {
kdc = projekt-13.hot.spot
admin_server = projekt-13.hot.spot
}
[domain_realm]
.hot.spot = HOT.SPOT
[login]
krb4_convert = true
krb4_get_tickets =false

nsswitch.conf

diese habe ich aufjedenfall genau so hier stehen wie in der Anleitung beschrieben wurde

Ich habe aufjedenfall eine Verbindung zum DC. Mein Bananapi wird im AD im Bereich Computer aufgeführt. Ich hänge die ganzen Zeit wegen der oben genannten Fehlermeldung fest. Ich hoffe mir wird geholfen. Meine Prüfung naht und ich komme so langsam ins schwitzen.

Gruß Tellihow
chrysanthemum - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Looser27
18.10.2016, aktualisiert um 17:58 Uhr
Hast du, wie geschrieben den DNS Eintrag vor dem join auf dem Server manuell angelegt?

Keine Firewall regeln zwischen Radius und Server aktiv?
Bitte warten ..
Mitglied: tellihow
18.10.2016 um 19:44 Uhr
Zitat von Looser27:

Hast du, wie geschrieben den DNS Eintrag vor dem join auf dem Server manuell angelegt?
DNS Eintrag habe ich manuell in /etc/network/inerfaces angelegt. In der resolv.conf wurde dann der DNS Eintrag übernommen. Diese habe ich dann auf search hot.spot und domain hot.spot erweitert. So wie in der Anleitung vorgegeben.

Zitat von Looser27:
Keine Firewall regeln zwischen Radius und Server aktiv?
Also bei meinem Windows Server habe ich die Firewall ausgemacht (nur während der Testumgebung). Mein IPCop hat zwar eine Firewall, die aber mein vorhaben nicht stören sollte, da er als Router eingesetzt wird.

Leider habe ich keinen Ansatz wie ich das ganze jetzt lösen soll. Tage lang das große G benutzt, aber nichts gefunden was mir weiterhelfen könnte. Ist vielleicht die Samba version Schuld?
Bitte warten ..
Mitglied: Looser27
18.10.2016 um 19:57 Uhr
Missverständnis. Auf dem DC muss der Linux Server VOR dem Join eingetragen werden.
Lies die Anleitung einfach nochmal. Sie funktioniert 100%ig.
Bitte warten ..
Mitglied: tellihow
18.10.2016 um 20:38 Uhr
1.2 Windows Server
- Host-Eintrag im DNS für den Ubuntu-Server anlegen (Reverse-Eintrag prüfen)

diesen punkt habe ich wahrscheinlich nicht richtig gemacht. wo genau muss ich den eintrag machen? meinst du eintrag bei Neue Zone, dann Zeiger einrichten und dann den HOST einfügen? ich hoffe das klappt morgen
Bitte warten ..
Mitglied: Looser27
18.10.2016 um 20:42 Uhr
Du legst den Eintrag im DNS des DC an.
Anschließend noch den reverse Eintrag prüfen.
Bitte warten ..
Mitglied: tellihow
18.10.2016 um 21:13 Uhr
ok.probiere es morgen direkt mal aus. geben aufjedenfall ein feedback. danke dir schon mal!
Bitte warten ..
Mitglied: tellihow
19.10.2016 um 14:04 Uhr
Juhu. Mein Radiusserver habe ich jetzt zum laufen gebracht. Vielen Dank für den Tipp!

Jetzt brauch ich nur noch einen WPA2 Enterprise fähigen Access Point........
Bitte warten ..
Mitglied: Looser27
19.10.2016 um 14:09 Uhr
Günstig und gut sind die Unify-APs.
Bitte warten ..
Mitglied: tellihow
19.10.2016 um 15:51 Uhr
Vielen Dank.

Habe da meine eine Verständnisfrage. Müssen alle APs von mir WPA2 Enterprise können, oder reicht mir einer als "Hauptverwalter" der mit dem Radius-Server kommuniziert. Da ich noch kein AP habe, kann ich das irgendwie nicht nachvollziehen. Ich muss nämlich eine Schule mit WLAN Ausleuchten und bevor ich blödsinn kaufe, frag ich mal lieber nach
Bitte warten ..
Mitglied: Looser27
19.10.2016 um 16:11 Uhr
Alle APs müssen das können. Unify ist hier super, weil einfach zu administrieren und laufen sehr stabil. Als Controller reicht ein Linux oder Windows Server.
Bitte warten ..
Mitglied: tellihow
19.10.2016 um 16:32 Uhr
1000 Dank...Du hast mir sehr geholfen!
Bitte warten ..
Mitglied: Ch3p4cK
23.11.2016 um 14:51 Uhr
hab leider jetzt erst Zeit mich nochmal mit dem Thema zu befassen.
Wieso neues Zertifikat? Ich hab am Zertifikat doch nichts geändert.
Bitte warten ..
Mitglied: Looser27
23.11.2016 um 14:56 Uhr
Du hast doch ein Upgrade gemacht? Bei ner frischen 16.04 Installation geht es ohne Probleme.
Starte den Radius mal im Debug Mode und melde dann einen Windows Client an. Dann solltest du sehen, wo es kneift.

Gruß Looser
Bitte warten ..
Mitglied: Ch3p4cK
23.11.2016 um 15:12 Uhr
Ja aber zum Glück vorher auch ein Snapshot der VM. Habe halt ein Rollback gemacht. Heute nochmal das Upgrade und wieder der gleiche Fehler wie oben schon beschrieben.

Ich weiß auch gerade nicht so recht was das Upgrade mit dem Zertifikat, das ja dann immernoch unter /etc/freeradius/certs liegt und gültig ist, zu tun haben soll. Daran ändert sich ja nichts. Zumal sich auch wirklich nur die Windows Clients dran stören.

Unter dem Link, in der Fehlermeldung, steht irgendwas, dass Windows im Server Zertifikat bestimmte OIDs braucht. Wie ich diese aber zu meinem Zertifikat hinzufüge, hab ich auch noch nicht so richtig kapiert.


Gruß
Ch3p
Bitte warten ..
Mitglied: Looser27
23.11.2016 um 18:21 Uhr
Setz den Radius doch fix neu auf mit der 16.04 Lts.
Bitte warten ..
Mitglied: Ch3p4cK
24.11.2016 um 10:17 Uhr
ja werd ich wohl tun müssen... das Problem ist, dass auf der Kiste bisschen mehr läuft als nur der Radius...


Gruß
Ch3p
Bitte warten ..
Mitglied: Looser27
24.11.2016 um 10:33 Uhr
Dann bau den Radius in ner separaten VM neu. Wenn der dann live geht, schaltest Du den alten ab.
Bitte warten ..
Mitglied: tellihow
15.12.2016 um 13:53 Uhr
Guten Tag, da bin ich wieder!

Wie schon berichtet, läuft mein Radius Server. Allerdings können sich nur Android Benutzer problemlos verbinden. Probleme habe ich mit iOS und Windows Clients. Das Zertifikat "ca.der" wurde auf allen Clients installiert. Bei der Eingabe des Benutzernamen und Passwortes erscheint die Meldung " Der Benutzername oder das Passwort ist falsch". Wie schon erwähnt, bei Eingabe derselben Daten auf einem Android Smartphone klappt alles wunderbar! Beim einloggen mit einem Iphone wird im Debug Mode folgendes ausgegeben:

Info: mschap EXEC: FAILED to execute /path/to/ntlm_auth: No such file or directory

Vielleicht kann das irgendwie helfen. Ich wüsste jetzt nicht, welche Informationen ich noch posten könnte für die Fehlersuche. Für weitere Infos stehe ich gerne zur Verfügung.

Gruß

Tellihow
Bitte warten ..
Mitglied: Looser27
15.12.2016 um 14:16 Uhr
Du gibst das falsche Zertifikat weiter. Das korrekte Zertifikat hat die Dateiendung *.cer
Bitte warten ..
Mitglied: tellihow
16.12.2016 um 11:05 Uhr
OK, habe jetzt das " server.cer" Zertifikat installiert. Beim anmelden kommt folgende Fehlermeldung...

https://www.administrator.de/images/c/1/4/055a4fa922f0962127bae48c1710a0 ...

NPS? Das brauche ich doch nur, wenn der Windows Server eine RADIUS Rolle übernimmt...?

Naja, jetzt ist erstmal Wochenende angesagt. Ab Montag gehe ich wieder da dran.

Schönes Wochenende

Gruß Tellihow
fehlermeldung - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: Looser27
16.12.2016 um 11:42 Uhr
Wahrscheinlich den falschen Speicher ausgewählt. Hierist eine Anleitung, die das schön beschreibt.
Bitte warten ..
Mitglied: tellihow
10.01.2017 um 08:41 Uhr
OK, habe die Verschlüsselung von md5 auf peap umgestellt. Jetzt läuft mein Moped!. Danke an Looser27 nochmal
Bitte warten ..
Mitglied: BinaryBear
16.12.2017 um 20:36 Uhr
Unter Debian 9.2 scheint das nicht mehr so zu funktionieren!
Unter 8 ging es damals noch

Ich habe nun die Fehlermeldung im Freeradius-Log: (0)
01.
mschap: ERROR: Program returned code (1) and output 'Reading winbind reply failed! (0xc0000001)'
Nachdem ich die Berechtigungen auf Winbind eingeräumt habe (siehe 5. Restarbeiten) bekomme ich nun:
01.
(0) mschap: ERROR: Program returned code (1) and output 'Logon failure (0xc000006d)'
Merkwürdig ist auch, dass Samba so beim Neustart nicht mitstartet und ich es erst via
01.
samba
starten muss... Ist hier der Hund begraben?
Bitte warten ..
Mitglied: Looser27
16.12.2017 um 20:42 Uhr
Unter 2.9 steht auch, dass samba automatisch gestartet werden muss.
Also ja, samba beim Boot starten und dann funktioniert auch die Authentifizierung gegen das AD.
Bitte warten ..
Mitglied: BinaryBear
16.12.2017 um 22:13 Uhr
Dann checke ich nicht wieso das selbst nach dem manuellen Starten nicht funktioniert.
Ich hatte den gleichen Aufbau damals unter Debian 8 durchgeführt...

Ich habe auch damals statt dem Einbinden in ein bestehendes ein neues mit dem Samba-Tool erzeugt, welches so auch wunderbar funktioniert, bis auf die Integration des Freeradius. Die Authentifizierung ohne mschap via radtest funktioniert, aber mit mschap gibt es halt Probleme.

01.
samba-tool domain provision --use-rfc2307 --interactive
Interessant ist, dass eine Authentifizierung via
01.
kinit Administrator
und passendem Passwort funktioniert, jedoch nicht mit
01.
wbinfo -a Administrator%Netcom01
.
Da kommt dann:
01.
plaintext password authentication succeeded
02.
challenge/response password authentication failed
03.
wbcAuthenticateUserEx(VMW5\Administrator): error code was NT_STATUS_WRONG_PASSWORD (0xc000006a)
04.
error message was: Wrong Password
05.
Could not authenticate user Administrator with challenge/response
Meine Samba-Config
01.
# Global parameters
02.
[global]
03.
        netbios name = DEBIAN2
04.
        realm = VMW5.DE
05.
        workgroup = VMW5
06.
        dns forwarder = 10.234.1.3
07.
        server role = active directory domain controller
08.
        idmap_ldb:use rfc2307 = yes
09.

10.
[netlogon]
11.
        path = /var/lib/samba/sysvol/vmw5.de/scripts
12.
        read only = No
13.

14.
[sysvol]
15.
        path = /var/lib/samba/sysvol
16.
        read only = No
Bitte warten ..
Mitglied: Looser27
17.12.2017 um 12:48 Uhr
Die Authentifizierung ist dabei immer ohne chap (vgl. Kapitel 4 unten).
Bitte warten ..
Ähnliche Inhalte
Ubuntu
Server Virtualisierung Ubuntu 16.04
Anleitung von Looser27Ubuntu

Lange Zeit habe ich für jeden Dienst (RADIUS, INTRANET, OPSI, NAGIOS) jeweils einen betagten PC zum Ubuntu Server aufgewertet ...

Ubuntu

Ubuntu 14.04: Bug 1572608 mit Update auf Samba 4.3.8

Erfahrungsbericht von freekerUbuntu

Hallo, Ich wollte euch an dieser Stelle vor dem Update auf Samba 2:4.3.8+dfsg-0ubuntu0.14.04.2 warnen. Nach dem Update ist, je ...

Instant Messaging

Ejabberd auf ubuntu

Anleitung von horstvogelInstant Messaging1 Kommentar

Anliegend erstelle ich eine Anleitung für die Installation eines ejabberd auf einem Ubuntu Server. Die Anleitung ist derzeit noch ...

Linux Userverwaltung

Samba-ActiveDirectory mit FreeRADIUS, CheckMK, Nextcloud, OpenVPN, ProxmoxVE und mehr

Anleitung von BinaryBearLinux Userverwaltung1 Kommentar

Ich habe die letzten Wochen (Monate) damit verbracht mit in das Thema ActiveDirectory und Samba einzuarbeiten. Dabei habe ich ...

Neue Wissensbeiträge
Windows Installation

Windows Install ISO mit übergroßer Install.wim auf FAT32 übertragen

Tipp von Lochkartenstanzer vor 23 StundenWindows Installation9 Kommentare

Moin Kollegen, Viele von euch werden sicher aus praktischen Gründen nicht nur DVDs oder "virtuelle" CD-Laufwerke (Zalman, IODD) zum ...

Datenschutz

Gehe zurück auf Los, ziehe keine 4.000 Mark. E-Privacy (erstmal) gescheitert

Information von certifiedit.net vor 1 TagDatenschutz

Webbrowser

Firefox 71 verfügbar mit Picture in Picture Funktion

Information von sabines vor 2 TagenWebbrowser2 Kommentare

Die neue Firefox Version 71 unterstützt, zunächst nur für Windows, Picture in Picture. Damit kann ein Video in einem ...

E-Mail
SPF beim Versenden testen
Tipp von StefanKittel vor 3 TagenE-Mail3 Kommentare

Hallo, wenn man einen SPF für einen Exchange, oder anderen Mail-Server, konfigiruert muss man das ja auch testen. Ganz ...

Heiß diskutierte Inhalte
Virtualisierung
Linux Ubuntu Error
gelöst Frage von Nickolas.GroheVirtualisierung25 Kommentare

Hallo, Ich habe in einer VirtuaBox Linux Ubuntu Installiert. 4096 mbit ram 64,00 GB 3 von 8 Cpu Wenn ...

Hyper-V
Wie berechne ich mir die Anzahl der vCPU für HYPER-V aus?
Frage von samet22Hyper-V20 Kommentare

Hallo, bitte nicht schimpfen, ich habe mich nur selber gerade etwas verwirrt :D Wie berechne ich mir aus wieviele ...

LAN, WAN, Wireless
WLAN Absicherung
gelöst Frage von Alex29LAN, WAN, Wireless19 Kommentare

Hallo zusammen, WPA2 wurde vor einiger Zeit geknackt. Auch bei WPA3 wurden schon Lücken aufgezeigt aber das größere Problem ...

Debian
Zweite IP - Routing?
gelöst Frage von thepandapi94Debian15 Kommentare

Hey Zusammen, ich habe gestern über Hetzner eine zweite IP bezogen. Laut Hetzner soll diese auch auf die primäre ...