GDM3 Autologin als Domänenbenutzer?
GDM3 Autologin als Domänenbenutzer?
Hallo zusammen,
ich suche nach einer Möglichkeit, den Computer automatisch als Domänenbenutzer anzumelden.
Die GDM3-Möglichkeit für lokale Benutzer kenne ich:
AutomaticLoginEnable=true
AutomaticLogin=YOUR_USER_NAME
Aber wie klappt das für Domänenbenutzer?
Ein Passwort ist vorhanden und könnte hinterlegt werden, die Sicherheitsaspekte sind mir bekannt.
Üblicherweise authentifizieren sich Domänenbenutzer via winbind und erhalten ein Kerberos-Ticket. Dieses wiederum sorgt für die gewünschten Rechte an den Netzwerkshares (mit fertig konfiguriertem PAM-mount) und dem Proxy.
Aus diesem Grund ist mir eine Domänenanmeldung auch am liebsten. Alternativ könnte man natürlich etwas mit einem lokalen Benutzer und smbclient oder mount mit Credentials "basteln" und auch die Proxydaten entsprechend setzen, aber diese Arbeit würde ich mir eigentlich gerne ersparen falls es eine einfachere Lösung gibt.
Viele Grüße
Christian
ich suche nach einer Möglichkeit, den Computer automatisch als Domänenbenutzer anzumelden.
Die GDM3-Möglichkeit für lokale Benutzer kenne ich:
AutomaticLoginEnable=true
AutomaticLogin=YOUR_USER_NAME
Aber wie klappt das für Domänenbenutzer?
Ein Passwort ist vorhanden und könnte hinterlegt werden, die Sicherheitsaspekte sind mir bekannt.
Üblicherweise authentifizieren sich Domänenbenutzer via winbind und erhalten ein Kerberos-Ticket. Dieses wiederum sorgt für die gewünschten Rechte an den Netzwerkshares (mit fertig konfiguriertem PAM-mount) und dem Proxy.
Aus diesem Grund ist mir eine Domänenanmeldung auch am liebsten. Alternativ könnte man natürlich etwas mit einem lokalen Benutzer und smbclient oder mount mit Credentials "basteln" und auch die Proxydaten entsprechend setzen, aber diese Arbeit würde ich mir eigentlich gerne ersparen falls es eine einfachere Lösung gibt.
Viele Grüße
Christian
Re: GDM3 Autologin als Domänenbenutzer?
Wenn Domänenlogin aktiviert sind
so greift auch gdm darauf zu, siehe /etc/pam.d/gdm-*, @include common-* -> /etc/pam.d/common-*.
Zuerst wird versucht pam_unix, dann pam_winbind.
Wenn die Maschine zur Domäne gehört, sollte auch der Autologin-funktionieren.
Vielleicht muß der Benutzername in Sonderform angegeben werden
benutzer@domaene
domaene\\benutzer
domaene/benutzer
In diesem Beispiel https://wiki.pumpingstationone.org/Linux_Winbind_Setup ist es nur der Name:
Code: Alles auswählen
dpkg-reconfigure libpam-runtime
resp.
pam-auth-update
Zuerst wird versucht pam_unix, dann pam_winbind.
Wenn die Maschine zur Domäne gehört, sollte auch der Autologin-funktionieren.
Vielleicht muß der Benutzername in Sonderform angegeben werden
benutzer@domaene
domaene\\benutzer
domaene/benutzer
In diesem Beispiel https://wiki.pumpingstationone.org/Linux_Winbind_Setup ist es nur der Name:
/etc/lightdm/lightdm.conf
Ubuntu Only, enable showing the other user login.
[SeatDefaults]
user-session=ubuntu
greeter-session=unity-greeter
autologin-user=ps1member
greeter-show-manual-login=true
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: GDM3 Autologin als Domänenbenutzer?
Klar, klappt alles. Nur der Autologin nicht.Wenn Domänenlogin aktiviert sind
...
Wenn die Maschine zur Domäne gehört, sollte auch der Autologin-funktionieren.
Stimmt auch./etc/pam.d/common-*.
Klar.Zuerst wird versucht pam_unix, dann pam_winbind.
Code: Alles auswählen
/etc/gdm3/daemon.conf
AutomaticLoginEnable=true
AutomaticLogin=YOUR_USER_NAME
Ergebnis:
Autologin klappt tatsächlich bei einem existierenden Domänenbenutzer und wird bei einem falschen Benutzer nicht angemeldet. Soweit gut, hätte ich nicht erwartet.
Aber was beim Autologin natürlich nicht klappt - nicht klappen KANN - ist der ganze "Authentifizierungs-Kram" am Domain-Controller (=Kerberos). Logisch, denn woher soll der Server auch wissen, das es der legitime Benutzer ist, der das Kerberos-TGT haben will. "Irgendwie" muss der Server ja das Passwort bekommen. Jetzt könnte man es noch mit einer Form von Credential-caching probieren, aber das ist auch nicht, was ich will.
Ich habe es jetzt nochmal in der AutomaticLogin=USER:PASSWORD Schreibweise versucht, aber jetzt "will er gar nicht mehr", sprich: der Bootsplash bleibt angezeigt, von GDM oder gar Desktop keine Spur.
Re: GDM3 Autologin als Domänenbenutzer?
libpam-krb5 und andere?
autologin des dm sollte, weil ja per pam, dann auch darauf wirken.
EDIT
krb ist in den pam.d/common-* vor unix und winbind.
hört sich doch genau nach dem Gewünschten an.Es unterstützt Authentifizierung gegen einen Kerberos-v5-KDC, Abruf von Tickets und die Füllung eines anfänglichen Ticket-Caches, Benutzer-Autorisierung mittels einer ~/.k5login-Datei und das Ändern von Kerberos-Passwörtern.
autologin des dm sollte, weil ja per pam, dann auch darauf wirken.
weil pam das so sagt (angewiesen vom dm), und es durch die Domänen- resp. AD-Mitgliedschaft dazu berechtigt ist?denn woher soll der Server auch wissen, das es der legitime Benutzer ist,
EDIT
krb ist in den pam.d/common-* vor unix und winbind.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: GDM3 Autologin als Domänenbenutzer?
Code: Alles auswählen
dpkg -l libpam-krb5
||/ Name Version Architektur Beschreibung
+++-==============-============-============-=================================
ii libpam-krb5:am 4.6-3+b1 amd64 PAM module for MIT Kerberos
Habe diese Reihenfolge in den /etc/pam.d/common-* Dateien::
Code: Alles auswählen
auth [success=3 default=ignore] pam_krb5.so minimum_uid=1000
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
session optional pam_krb5.so minimum_uid=1000
session required pam_unix.so
session optional pam_winbind.so
# here are the per-package modules (the "Primary" block)
account [success=2 new_authtok_reqd=done default=ignore] pam_unix.so
account [success=1 new_authtok_reqd=done default=ignore] pam_winbind.so
account requisite pam_deny.so
account required pam_permit.so
# and here are more per-package modules (the "Additional" block)
account required pam_krb5.so minimum_uid=1000
# end of pam-auth-update config
password [success=3 default=ignore] pam_krb5.so minimum_uid=1000
password [success=2 default=ignore] pam_unix.so obscure use_authtok try_first_pass sha512
password [success=1 default=ignore] pam_winbind.so use_authtok try_first_pass
Zuletzt geändert von chmeyer am 26.09.2016 16:24:41, insgesamt 1-mal geändert.
Re: GDM3 Autologin als Domänenbenutzer?
In diesen Dateien würde ich nur mit äußerster Vorsicht etwas händisch ändern,chmeyer hat geschrieben: Einzig common-auth weicht ab. Werde mal ausprobieren es zu ändern.
mit meiner äußerst bescheidenen Kenntnis des pam lasse ich ohnehin die Finger davon.
Vielleicht mal hier und da eine Option versuchsweise hinzufügen/weglassen/ändern,
aber nichts mit der Abfolge der Einträge, da sie zum Sicherheitskonzept des Systems gehören.
Zudem könnte die implizite Ausführung des 'pam-auth-update' / 'dpkg-reconfigure libpam-runtime' bei entsprechenden Upgrades/(De)Installationen die Änderung wieder zurücksetzen.
Oder wegen Beachtung der händischen Änderung werden nötige Änderungen unterbunden,
was wiederum das Sicherheitskonzept berührt.
mfg rendegast
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
-----------------------
Viel Eifer, viel Irrtum; weniger Eifer, weniger Irrtum; kein Eifer, kein Irrtum.
(Lin Yutang "Moment in Peking")
Re: GDM3 Autologin als Domänenbenutzer?
Danke für die Warnung im Umgang mit PAM-Konfigurationsdateien, Rendegast.
Jetzt ist schon ein halbes Jahr vergangen und ich sehe leider immer noch keine Lösung.
Vielleicht gibt es ja doch noch die ein oder andere Idee, wie ich den ADS mit meinem Machine-Account dazu bringe, ein "Autologin"-Kerberos-TGT-Ticket für einen (anonymen) Domänenbenutzer auszustellen?
Dabei fordert PAM / Kerberos aber leider kein TGT an, statt dessen erledigt das ein Skript (das per pam_script als root beim Anmelden ausgeführt wird) mit dem Befehl:
Das klappt zwar leidlich gut, bringt seinerseits aber wieder den Gnome-Keyring dazu beim Autologin nach einem Passwort zu fragen. Spätestens hier ist das nur noch ein hässlicher Hack, den ich gerne ändern möchte.
In der krb5-doc habe ich leider auch keinen Hinweis darauf gefunden. ".k5login" bezieht sich ja lediglich darauf, welche anderen User die eigenen Tickets verwenden dürfen. Selbst wenn ich hier als (lokaler) root eine ".k5login" Datei anlegen würde, dann bekäme ich immer noch keine Rechte/Tickets für Dateien / Dienste des Autologin-Benutzers.
Viele Grüße und Danke für alle Anregungen.
Jetzt ist schon ein halbes Jahr vergangen und ich sehe leider immer noch keine Lösung.
Vielleicht gibt es ja doch noch die ein oder andere Idee, wie ich den ADS mit meinem Machine-Account dazu bringe, ein "Autologin"-Kerberos-TGT-Ticket für einen (anonymen) Domänenbenutzer auszustellen?
Im Moment funktioniert mein Autologin mit einem lokalen Domänenbenutzer-Konto (das per pam_mkhomedir erstellt und beim Herunterfahren gelöscht wird).weil pam das so sagt (angewiesen vom dm), und es durch die Domänen- resp. AD-Mitgliedschaft dazu berechtigt ist?denn woher soll der Server auch wissen, das es der legitime Benutzer ist,
Dabei fordert PAM / Kerberos aber leider kein TGT an, statt dessen erledigt das ein Skript (das per pam_script als root beim Anmelden ausgeführt wird) mit dem Befehl:
Code: Alles auswählen
echo $USER_PASSWORD | kinit $PAM_USER -c /tmp/krb5cc_$(id $PAM_USER | cut -d\= -f2 | cut -d\( -f1)
In der krb5-doc habe ich leider auch keinen Hinweis darauf gefunden. ".k5login" bezieht sich ja lediglich darauf, welche anderen User die eigenen Tickets verwenden dürfen. Selbst wenn ich hier als (lokaler) root eine ".k5login" Datei anlegen würde, dann bekäme ich immer noch keine Rechte/Tickets für Dateien / Dienste des Autologin-Benutzers.
Viele Grüße und Danke für alle Anregungen.