auch wenn es schon ein paar ähnliche Beiträge gibt: es ist doch wieder anders.
Die Konfiguration des Active Directory funktioniert "eigentlich" schon seit längerem gut, orientiert habe ich mich (unter anderem) an der Anleitung von: http://wiki.debian.org/AuthenticatingLi ... eDirectory
Gefühlt seit dem Update auf Debian 8.7 gibt es aber vermehrt Probleme bei der Anmeldung von Domänenbenutzern (Anmeldung nicht möglich):
journalctl liefert folgende Erkenntnis:
Code: Alles auswählen
pam_krb5(sshd:auth): authentication failure; logname=...
pam_unix(sshd:auth): check pass; user unknown
pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=...
Danach (oder behelfsweise mit einem "service winbind restart") funktioniert wieder alles perfekt.
Es scheint so, als hängt winbind beim Kontakt zum Domänenkontroller.
/etc/samba/smb.conf
Code: Alles auswählen
[global]
security = ads
realm = XXX.ABCD
workgroup = XXX
# Wir haben den Windows DC und brauchen nicht "Samba name server" zu sein.
local master = no
# Für Kerberos:
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
# Für winbind:
idmap config * : backend = tdb
idmap config * : range = 11000-20000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
winbind refresh tickets = yes
template homedir = /home/%D/%U
template shell = /bin/bash
Code: Alles auswählen
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files wins
/etc/pam.d/common-auth
Code: Alles auswählen
# here are the per-package modules (the "Primary" block)
auth [success=4 default=ignore] pam_krb5.so minimum_uid=1000
auth sufficient pam_script.so
auth [success=2 default=ignore] pam_unix.so nullok_secure try_first_pass
auth [success=1 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass
# here's the fallback if no module succeeds
auth requisite pam_deny.so
# prime the stack with a positive return value if there isn't one already;
# this avoids us returning an error just because nothing sets a success code
# since the modules above will each just jump around
auth required pam_permit.so
# and here are more per-package modules (the "Additional" block)
# end of pam-auth-update config