GDM3 Autologin als Domänenbenutzer?

KDE, Gnome, Windowmanager, X11, Grafiktreiber und alles was dazu notwendig ist. Schau auch in den "Tipps und Tricks"-Bereich.
Antworten
chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

GDM3 Autologin als Domänenbenutzer?

Beitrag von chmeyer » 21.09.2016 21:57:07

Hallo zusammen,

ich suche nach einer Möglichkeit, den Computer automatisch als Domänenbenutzer anzumelden.

Die GDM3-Möglichkeit für lokale Benutzer kenne ich:
AutomaticLoginEnable=true
AutomaticLogin=YOUR_USER_NAME

Aber wie klappt das für Domänenbenutzer?
Ein Passwort ist vorhanden und könnte hinterlegt werden, die Sicherheitsaspekte sind mir bekannt.
Üblicherweise authentifizieren sich Domänenbenutzer via winbind und erhalten ein Kerberos-Ticket. Dieses wiederum sorgt für die gewünschten Rechte an den Netzwerkshares (mit fertig konfiguriertem PAM-mount) und dem Proxy.

Aus diesem Grund ist mir eine Domänenanmeldung auch am liebsten. Alternativ könnte man natürlich etwas mit einem lokalen Benutzer und smbclient oder mount mit Credentials "basteln" und auch die Proxydaten entsprechend setzen, aber diese Arbeit würde ich mir eigentlich gerne ersparen falls es eine einfachere Lösung gibt.

Viele Grüße
Christian

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: GDM3 Autologin als Domänenbenutzer?

Beitrag von rendegast » 22.09.2016 13:01:50

Wenn Domänenlogin aktiviert sind

Code: Alles auswählen

dpkg-reconfigure libpam-runtime
resp.
pam-auth-update
so greift auch gdm darauf zu, siehe /etc/pam.d/gdm-*, @include common-* -> /etc/pam.d/common-*.

Zuerst wird versucht pam_unix, dann pam_winbind.
Wenn die Maschine zur Domäne gehört, sollte auch der Autologin-funktionieren.

Vielleicht muß der Benutzername in Sonderform angegeben werden
benutzer@domaene
domaene\\benutzer
domaene/benutzer

In diesem Beispiel https://wiki.pumpingstationone.org/Linux_Winbind_Setup ist es nur der Name:
/etc/lightdm/lightdm.conf

Ubuntu Only, enable showing the other user login.

[SeatDefaults]
user-session=ubuntu
greeter-session=unity-greeter
autologin-user=ps1member
greeter-show-manual-login=true
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

Re: GDM3 Autologin als Domänenbenutzer?

Beitrag von chmeyer » 23.09.2016 21:24:47

Wenn Domänenlogin aktiviert sind
...
Wenn die Maschine zur Domäne gehört, sollte auch der Autologin-funktionieren.
Klar, klappt alles. Nur der Autologin nicht.
/etc/pam.d/common-*.
Stimmt auch.
Zuerst wird versucht pam_unix, dann pam_winbind.
Klar.

Code: Alles auswählen

/etc/gdm3/daemon.conf 
AutomaticLoginEnable=true
AutomaticLogin=YOUR_USER_NAME
Wie gehabt.

Ergebnis:
Autologin klappt tatsächlich bei einem existierenden Domänenbenutzer und wird bei einem falschen Benutzer nicht angemeldet. Soweit gut, hätte ich nicht erwartet.
Aber was beim Autologin natürlich nicht klappt - nicht klappen KANN - ist der ganze "Authentifizierungs-Kram" am Domain-Controller (=Kerberos). Logisch, denn woher soll der Server auch wissen, das es der legitime Benutzer ist, der das Kerberos-TGT haben will. "Irgendwie" muss der Server ja das Passwort bekommen. Jetzt könnte man es noch mit einer Form von Credential-caching probieren, aber das ist auch nicht, was ich will.
Ich habe es jetzt nochmal in der AutomaticLogin=USER:PASSWORD Schreibweise versucht, aber jetzt "will er gar nicht mehr", sprich: der Bootsplash bleibt angezeigt, von GDM oder gar Desktop keine Spur.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: GDM3 Autologin als Domänenbenutzer?

Beitrag von rendegast » 23.09.2016 22:39:10

Debianlibpam-krb5 und andere?
Es unterstützt Authentifizierung gegen einen Kerberos-v5-KDC, Abruf von Tickets und die Füllung eines anfänglichen Ticket-Caches, Benutzer-Autorisierung mittels einer ~/.k5login-Datei und das Ändern von Kerberos-Passwörtern.
hört sich doch genau nach dem Gewünschten an.
autologin des dm sollte, weil ja per pam, dann auch darauf wirken.
denn woher soll der Server auch wissen, das es der legitime Benutzer ist,
weil pam das so sagt (angewiesen vom dm), und es durch die Domänen- resp. AD-Mitgliedschaft dazu berechtigt ist?




EDIT
krb ist in den pam.d/common-* vor unix und winbind.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

Re: GDM3 Autologin als Domänenbenutzer?

Beitrag von chmeyer » 26.09.2016 06:52:42

Code: Alles auswählen

dpkg -l libpam-krb5
||/ Name           Version      Architektur  Beschreibung
+++-==============-============-============-=================================
ii  libpam-krb5:am 4.6-3+b1     amd64        PAM module for MIT Kerberos

Habe diese Reihenfolge in den /etc/pam.d/common-* Dateien::

Code: Alles auswählen

auth    [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
auth    [success=2 default=ignore]      pam_unix.so nullok_secure try_first_pass
auth    [success=1 default=ignore]      pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass

session optional        pam_krb5.so minimum_uid=1000
session required        pam_unix.so 
session optional        pam_winbind.so 

# here are the per-package modules (the "Primary" block)
account [success=2 new_authtok_reqd=done default=ignore]        pam_unix.so 
account [success=1 new_authtok_reqd=done default=ignore]        pam_winbind.so 
account requisite                       pam_deny.so
account required                        pam_permit.so
# and here are more per-package modules (the "Additional" block)
account required                        pam_krb5.so minimum_uid=1000
# end of pam-auth-update config

password        [success=3 default=ignore]      pam_krb5.so minimum_uid=1000
password        [success=2 default=ignore]      pam_unix.so obscure use_authtok try_first_pass sha512
password        [success=1 default=ignore]      pam_winbind.so use_authtok try_first_pass
Einzig common-account weicht ab. Werde mal ausprobieren es zu ändern.
Zuletzt geändert von chmeyer am 26.09.2016 16:24:41, insgesamt 1-mal geändert.

rendegast
Beiträge: 15041
Registriert: 27.02.2006 16:50:33
Lizenz eigener Beiträge: MIT Lizenz

Re: GDM3 Autologin als Domänenbenutzer?

Beitrag von rendegast » 26.09.2016 11:31:23

chmeyer hat geschrieben: Einzig common-auth weicht ab. Werde mal ausprobieren es zu ändern.
In diesen Dateien würde ich nur mit äußerster Vorsicht etwas händisch ändern,
mit meiner äußerst bescheidenen Kenntnis des pam lasse ich ohnehin die Finger davon.
Vielleicht mal hier und da eine Option versuchsweise hinzufügen/weglassen/ändern,
aber nichts mit der Abfolge der Einträge, da sie zum Sicherheitskonzept des Systems gehören.

Zudem könnte die implizite Ausführung des 'pam-auth-update' / 'dpkg-reconfigure libpam-runtime' bei entsprechenden Upgrades/(De)Installationen die Änderung wieder zurücksetzen.
Oder wegen Beachtung der händischen Änderung werden nötige Änderungen unterbunden,
was wiederum das Sicherheitskonzept berührt.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")

chmeyer
Beiträge: 96
Registriert: 03.02.2010 21:09:12
Wohnort: RLP

Re: GDM3 Autologin als Domänenbenutzer?

Beitrag von chmeyer » 15.02.2017 22:40:05

Danke für die Warnung im Umgang mit PAM-Konfigurationsdateien, Rendegast.

Jetzt ist schon ein halbes Jahr vergangen und ich sehe leider immer noch keine Lösung.
Vielleicht gibt es ja doch noch die ein oder andere Idee, wie ich den ADS mit meinem Machine-Account dazu bringe, ein "Autologin"-Kerberos-TGT-Ticket für einen (anonymen) Domänenbenutzer auszustellen?
denn woher soll der Server auch wissen, das es der legitime Benutzer ist,
weil pam das so sagt (angewiesen vom dm), und es durch die Domänen- resp. AD-Mitgliedschaft dazu berechtigt ist?
Im Moment funktioniert mein Autologin mit einem lokalen Domänenbenutzer-Konto (das per pam_mkhomedir erstellt und beim Herunterfahren gelöscht wird).
Dabei fordert PAM / Kerberos aber leider kein TGT an, statt dessen erledigt das ein Skript (das per pam_script als root beim Anmelden ausgeführt wird) mit dem Befehl:

Code: Alles auswählen

echo $USER_PASSWORD | kinit $PAM_USER -c /tmp/krb5cc_$(id $PAM_USER | cut -d\= -f2 | cut -d\( -f1)
Das klappt zwar leidlich gut, bringt seinerseits aber wieder den Gnome-Keyring dazu beim Autologin nach einem Passwort zu fragen. Spätestens hier ist das nur noch ein hässlicher Hack, den ich gerne ändern möchte.

In der krb5-doc habe ich leider auch keinen Hinweis darauf gefunden. ".k5login" bezieht sich ja lediglich darauf, welche anderen User die eigenen Tickets verwenden dürfen. Selbst wenn ich hier als (lokaler) root eine ".k5login" Datei anlegen würde, dann bekäme ich immer noch keine Rechte/Tickets für Dateien / Dienste des Autologin-Benutzers.

Viele Grüße und Danke für alle Anregungen.

Antworten