Anbindung von Kerberos an das Windows Active Directory

Alle weiteren Dienste, die nicht in die drei oberen Foren gehören.
Antworten
Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Anbindung von Kerberos an das Windows Active Directory

Beitrag von Trollkirsche » 28.05.2020 10:57:24

Hallo zusammen,

Zurzeit arbeite ich an der Integration der Linux Benutzer an das Active Directory. Mittlerweile bin ich trotz Recherchen komplett ratlos wie das nun genau alles funktionieren soll und welche Komponenten hierfür genutzt werden.

Falls einer von euch mir mitteilen könnte, ob meine Idee der Realisierung überhaupt möglich ist, wäre ich schonmal einen grossen Schritt weiter.

Ziel ist wie geplant, die Linux Server und deren Benutzer an das Active Directory anbinden zu können, damit diese dort zentral verwaltet werden. Installiert wurde bereits ein Kerberos Server auf einem Linux Testhost, der die Autorisierung der Benutzer selbst übernimmt.
Die Benutzer können sich nun zentral über das Kerberos System ein Ticket besorgen und haben anschliessend Zugriff auf alle SSH Dienste der Linux Server ohne Passworteingabe.

Wie muss ich jetzt nun genau vorgehen, damit der Kerberos Server die Authentifizierung über das Active Directory vornimmt? Ich habe ebenfalls schon versucht SSSD zu installieren, doch leider wurde keine Konfigurationsdatei erstellt und auch im Internet
finden sich nur Teilfetzen, wie man nun eine solche Datei für eine Anbindung an das AD vornehmen muss.

Der Realm Discover ist erfolgreich. Die Dömäne wird gefunden. Ich erhalte folgende Einträge:

ad.example.com
type: kerberos
realm-name: AD.EXAMPLE.COM
domain-name: ad.example.com
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools

Die Pakete selbst hab ich eigentlich installiert, dennoch erhalte ich diese Meldungen. Verbinden kann ich mich nicht. Ich erhalte folgende Ausgabe :
realm: Couldn't join realm: Insufficient permissions to join the domain

Wenn ich in den Logs schaue, sehe ich folgendes :
realmd: adcli: couldn't connect to ad.example.com domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)

Ich wäre schonmal froh wenn einer, der sich auskennt, so lieb wäre mitzuteilen, ob ich hier auf dem richtigen Wege bin und mich nicht verrant habe.. Ich weiss nichtmal ob ich nun die ganzen Linux Server im AD nachbilden muss...

Bis dann,

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Anbindung von Kerberos an das Windows Active Directory

Beitrag von Blackbox » 28.05.2020 14:15:45

Vielleicht wäre noch wichtig, wie die Gegenseite (AD) aussieht, also welcher Windows Serverversion kommt zum Einsatz?
Wie testest du die Anmeldung? - ui, oder via cli?

Meine letzte Linux AD-Integration ist bereits zu lang her, und meine (Rest)Kenntnisse bestimmt längst veraltet.
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Trollkirsche
Beiträge: 497
Registriert: 08.08.2015 15:03:09
Wohnort: Schweiz Zürich

Re: Anbindung von Kerberos an das Windows Active Directory

Beitrag von Trollkirsche » 28.05.2020 14:38:15

Blackbox hat geschrieben: ↑ zum Beitrag ↑
28.05.2020 14:15:45
Vielleicht wäre noch wichtig, wie die Gegenseite (AD) aussieht, also welcher Windows Serverversion kommt zum Einsatz?
Wie testest du die Anmeldung? - ui, oder via cli?

Meine letzte Linux AD-Integration ist bereits zu lang her, und meine (Rest)Kenntnisse bestimmt längst veraltet.
Kein Problem. Wenn man etwas länger nicht gemacht hat, vergisst mans, das kenn ich sehr gut.

Mal abgesehen davon bin ich von der Situation etwas genervt. Ich habe nun mitgeteilt, dass es Kerberos auch für Windows gibt und man dann gleich alles auf dem gleichen System hätte.
Der Windows Mensch meinte, Kerberos sei Linux. :mrgreen:

Für mich macht es mehr Sinn, wenn alles auf einer Maschine ist.

Benutzeravatar
Blackbox
Beiträge: 4289
Registriert: 17.09.2008 17:01:20
Lizenz eigener Beiträge: GNU Free Documentation License

Re: Anbindung von Kerberos an das Windows Active Directory

Beitrag von Blackbox » 28.05.2020 18:34:22

Hilft dir vielleicht dieser Artikel [0] aus dem Linux-Magazin etwas weiter?

[0] https://www.linux-magazin.de/ausgaben/2 ... ellenhund/
Eigenbau PC: Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Desktop PC: Dell Inspiron 530 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Notebook: TUXEDO BU1406 - Debian Sid - Kernel: 6.5.13 - Xfce 4.18 mit sway
Alles Minimalinstallationen und ohne sudo/PA/PW.
Rootserver: Rocky Linux 9.3 - Kernel: 5.14

Freie Software unterstützen, Grundrechte stärken!

Antworten