[solved] User aus AD mit sssd (und adcli)

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

[solved] User aus AD mit sssd (und adcli)

Beitrag von McAldo » 25.05.2018 11:24:43

Ich versuche mittels sssd ein Notebook in eine AD einzubinden, um mich mit einem AD-User anmelden zu können. sssd, damit das auch offline möglich ist.

Habe dazu sssd wie folgt konfiguriert:

Code: Alles auswählen

[sssd]
domains = foobar.de
config_file_version = 2
services = nss, pam

[domain/FOOBAR.DE]
ad_domain = foobar.de
ad_server = dc1.foobar.de
krb5_realm = FOOBAR.DE
realmd_tags = joined-with-samba
cache_credentials = true
id_provider = ad
access_provider = ad
auth_provider = ad
krb5_store_password_if_offline = true
default_shell = /bin/bash
ldap_id_mapping = false
use_fully_qualified_names = false
fallback_homedir = /home/%d/%u
simple_allow_groups = admins, users
Installiert sind diese Pakete:

Code: Alles auswählen

libnss-sss:amd64
libpam-sss:amd64
libsss-idmap0
libsss-nss-idmap0
libsss-simpleifp0
libsss-sudo
python-sss
sssd
sssd-ad
sssd-ad-common
sssd-common
sssd-dbus
sssd-ipa
sssd-krb5
sssd-krb5-common
sssd-ldap
sssd-proxy
sssd-tools
realmd
adcli
Das joinen in die AD hat mittels

Code: Alles auswählen

adcli join --login-user=adminuser foobar.de
funktioniert.

Der Befehl "adcli info foobar.de" bringt auch eine passende Ausgabe:

Code: Alles auswählen

[domain]
domain-name = foobar.de
domain-short = FOOBARDE
domain-forest = root.adfoobar.com
domain-controller = DC1.foobar.de
domain-controller-site = DE-Foo
domain-controller-flags = gc ldap ds kdc timeserv closest writable full-secret ads-web
domain-controller-usable = yes
domain-controllers = DC1.foobar.de DC2.foobar.de
[computer]
computer-site = DE-Foo
"getent passwd" oder "id $USER" liefert jedoch keine entsprechenden Einträge aus der AD.

Starte ich den sssd neu kommt im Logfile "/var/log/sssd/sssd_nss.log" diese Meldung:

Code: Alles auswählen

[sssd[nss]] [id_callback] (0x0010): The Monitor returned an error [org.freedesktop.DBus.Error.NoReply]
Was fehlt oder ist falsch? Was muss vorhanden sein, damit User und Gruppen aus der AD mittels sssd abgefragt werden können?
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: User aus AD mit sssd (und adcli)

Beitrag von McAldo » 25.05.2018 14:32:27

So, anmelden und erstellen vom Home-Dir klappt nun mit dieser sssd.conf:

Code: Alles auswählen

[sssd]
domains = foobar.de
config_file_version = 2
services = nss, pam

[domain/FOOBAR.DE]
ad_domain = foobar.de
ad_server = dc1.foobar.de, dc1.foobar.de
krb5_realm = FOOBAR.DE
realmd_tags = joined-with-samba
cache_credentials = true
id_provider = ad
access_provider = ad
auth_provider = ad
krb5_store_password_if_offline = true
override_homedir = /home/%u
default_shell = /bin/bash
ldap_id_mapping = true
ldap_schema = ad
use_fully_qualified_names = false
fallback_homedir = /home/%u
simple_allow_groups = admins, users

[pam]
offline_credentials_expiration = 30
offline_failed_login_attempts = 3
offline_failed_login_delay = 30
Allerdings wird das home-dir noch mit 0755 erstellt (also drwxr-xr-x). Es soll aber nur 0700 (drwx------) sein. Welcher Parameter macht das im sssd?
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: User aus AD mit sssd (und adcli)

Beitrag von habakug » 25.05.2018 17:54:09

Hallo,

hast du probiert pam_mkhomedir einzusetzen? Das geht aus deinen Postings nicht hervor. Du kannst da eine umask setzen:

Code: Alles auswählen

session    required    pam_mkhomedir.so skel=/etc/skel/ umask=00xx
Siehe hier [1].

Gruss, habakug

[1] https://help.ubuntu.com/lts/serverguide ... -mkhomedir
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Benutzeravatar
McAldo
Moderator
Beiträge: 2064
Registriert: 26.11.2003 11:43:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Terra / Sol-System / Milchstraße

Re: User aus AD mit sssd (und adcli)

Beitrag von McAldo » 25.06.2018 11:43:03

Das mit dem pam_mkhomedir ist schon mit dabei, man muss nur die Subnetmask anpassen in der Konfigurationsdatei.

Danke für die Hilfe.
Achte auf deine Gedanken, denn sie werden Worte.
Achte auf deine Worte, denn sie werden Handlungen.
Achte auf deine Handlungen, denn sie werden Gewohnheiten.
Achte auf deine Gewohnheiten, denn sie werden dein Charakter.
Achte auf deinen Charakter, denn er wird dein Schicksal.
(Talmud)

Antworten