[teilweise gelöst] Debian OpenLDAP Benutzer an Windows Server anmelden

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

[teilweise gelöst] Debian OpenLDAP Benutzer an Windows Server anmelden

Beitrag von joe2017 » 06.07.2018 11:32:02

Hallo zusammen,

ich habe einen Debian 9.4.0 Stretch LDAP/Kerberos Server und muss mich mit meinen LDAP Benutzern an einem Windows Server 2012 R2 via RDP anmelden.
Jetzt habe ich gelesen, dass dies ausschließlich mit dem Tool PGina funktioniert.

Hier habe ich jetzt jedoch folgendes Problem.
Ich kann mit PGina konfigurieren, das meine Benutzer der Lokalen Gruppe "Remote Desktop Users" hinzugefügt werden. Jedoch muss ich mich hierzu erst einmal lokal an dem Server anmelden.
Eine direkte Anmeldung mit RDP funktioniert nicht, da der Benutzer noch nicht in Windows existiert.

Hat schon jemand Erfahrungen mit PGina gemacht? Oder gibt es noch eine andere Möglichkeit sich mit einem OpenLDAP User an einem Windows Server anzumelden?
Kann man evtl. dem Windows Server mitteilen welche OpenLDAP Gruppen es gibt? Dann könnte man diese OpenLDAP Gruppe der Remote Desktop Users Gruppe hinzufügen.
Zuletzt geändert von joe2017 am 13.07.2018 08:54:02, insgesamt 1-mal geändert.

Benutzeravatar
joe2017
Beiträge: 1125
Registriert: 07.08.2017 14:29:51

Re: Debian OpenLDAP Benutzer an Windows Server anmelden

Beitrag von joe2017 » 09.07.2018 12:54:47

Hallo zusammen,

ich wollte hier nur kurz eine Lösung mit dem Tool PGina liefern.
Hierzu muss man einfach zwei Gruppenrichtlinien in Windows anpassen.

Lokale Computer Policy \ Administrative Templates \ Windows Components \ Remote Desktop Services \ Remote Desktop Session Host \ Security \
set client connection encryption level - Enable - low level
require user authentication for remote connection by using NLA - Disable


Zusätzlich in PGina:
Local Machine Plugin Configuration
Mandatory Groups - Remote Desktop Users


LDAP Plugin Settings
Authorization - If not member of LDAP Group "xyz" deny


Es wäre trotzdem schön wenn es eine Alternative zu PGina gäbe. Leider habe ich bislang nichts passendes gefunden.
Vielleicht kennt von euch noch jemand eine Alternative?

Antworten