Samba 4 AD SmartCard Login

Probleme mit Samba, NFS, FTP und Co.
Antworten
prOXimal01
Beiträge: 6
Registriert: 17.05.2016 17:23:18

Samba 4 AD SmartCard Login

Beitrag von prOXimal01 » 08.02.2023 15:23:08

Hallo,

ich hoffe hier kann mir jemand helfen. Bin kurz vor dem verzweifeln. Ich möchte beim Login Smartcards verwenden, in Form von Yubikeys. Ich bin nachdieser Anleitung vorgegangen...

https://wiki.samba.org/index.php/Samba_ ... tion_Point

... auf dem Testsystem hat das auch wunderbar geklappt. Jetzt wollte ich es final aufsetzen und dabei eine neue PKI-Struktur verwenden mit Chain of Trust. Nachdem ich nun einige Probleme im Bezug auf den CRL Distribution Point und Kerberos ausräumen konnte, hapert es jetzt vermutlich an den CLient-Zertifikaten. Beim Login unter WIndows steht dann:

"Die Anmeldeinforamtionen konnten nicht überprüft werden."

In der Ereignisanzeige vom Windows-Client steht dann ID 4625 mit Status 0xc000006d. Im Auth-Log vom Samba steht dann zusätzlich NT_STATUS_PKINIT_FAILURE. Der samba-ad-dc Service läuft aber ganz normal. Samba-Version ist 4.17.4 unter Debian 11

Ansonsten werden keine weiteren Fehler ausgegeben. Zeit ist sync zwischen DC und Client. Die pkcs12 Zertifkate für die Client habe ich folgendermaßen angelegt:

Code: Alles auswählen

openssl req -new -addext 'subjectAltName = otherName:msUPN;UTF8:m.mustermann@sub.contoso.de,email:copy' -newkey rsa:2048 -keyout private/mmustermann-key.pem -out mmustermann-req.pem -config openssl.cnf
openssl ca -config openssl.cnf -extensions usr_cert_scarduser -in mmustermann-req.pem -out mmustermann-cert.pem
cat mmustermann-cert.pem chain.pem > mmustermann-chain.pem
openssl pkcs12 -in mmustermann-chain.pem -inkey private/mmustermann-key.pem -export -out mmustermann.p12
Im "chain.pem" wurden einfach an erster Stelle das Intermediate CA und darunter die Root CA zusammengefügt, ebenfalls mit cat. Das P12 habe ich dann auf den Yubikey installiert und mit einer PIN gesichert. Nach EIngabe der PIN am Client geht es nicht weiter.

Hat jemand Erfahrung damit? Kann mir vielleicht einen Fingerzeig geben, wo ich weiter nach Fehlern suchen kann?

Gruß

Benutzeravatar
debilian
Beiträge: 1162
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: Samba 4 AD SmartCard Login

Beitrag von debilian » 08.02.2023 16:02:31

nimm deinen Server (Namen) da weg....
ein IIS im Internet ist schon schlimm genug (duck&renn)

gruss
-- nichts bewegt Sie wie ein GNU --

prOXimal01
Beiträge: 6
Registriert: 17.05.2016 17:23:18

Re: Samba 4 AD SmartCard Login

Beitrag von prOXimal01 » 08.02.2023 18:53:41

debilian hat geschrieben: ↑ zum Beitrag ↑
08.02.2023 16:02:31
nimm deinen Server (Namen) da weg....
ein IIS im Internet ist schon schlimm genug (duck&renn)

gruss
Den verstehe ich jetzt nicht. Was meinst du genau? Das sind jetzt einfach nur Fake-Namen.

Benutzeravatar
debilian
Beiträge: 1162
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: Samba 4 AD SmartCard Login

Beitrag von debilian » 08.02.2023 19:15:30

contoso.de
ist Fake?
-- nichts bewegt Sie wie ein GNU --

prOXimal01
Beiträge: 6
Registriert: 17.05.2016 17:23:18

Re: Samba 4 AD SmartCard Login

Beitrag von prOXimal01 » 08.02.2023 19:57:22

debilian hat geschrieben: ↑ zum Beitrag ↑
08.02.2023 19:15:30
contoso.de
ist Fake?
MS
Jep. Angelehnt an die contoso.com aus den Büchern für die MS Zertifizierung. Microsoft verwendet es immer noch gerne auf der Microsoft Learn Seite. Also ist definitiv nicht von mir. MS hat sich wohl die Domain gesichert und lässt da jetzt einen IIS als Werbung laufen. Habe damit aber nichts zu tun.

Benutzeravatar
debilian
Beiträge: 1162
Registriert: 21.05.2004 14:03:04
Wohnort: 192.168.43.7
Kontaktdaten:

Re: Samba 4 AD SmartCard Login

Beitrag von debilian » 08.02.2023 21:05:45

ok, sry - Tunnelblick ;-)
-- nichts bewegt Sie wie ein GNU --

Benutzeravatar
oln
Beiträge: 483
Registriert: 05.01.2021 09:41:24

Re: Samba 4 AD SmartCard Login

Beitrag von oln » 09.02.2023 13:28:56

Moin,
ich kann mich nicht mehr erinnern wo ich das gelesen habe. Aber dort stand, dass der Common Name mit Domain angegeben werden muss.
In etwa so:

Code: Alles auswählen

Common Name: DEINEDOMAIN\max.mustermann
PS: Hast du zwei DCs?
Gruß Ole
AbuseIPDB

prOXimal01
Beiträge: 6
Registriert: 17.05.2016 17:23:18

Re: Samba 4 AD SmartCard Login

Beitrag von prOXimal01 » 09.02.2023 14:13:10

oln hat geschrieben: ↑ zum Beitrag ↑
09.02.2023 13:28:56
Moin,
ich kann mich nicht mehr erinnern wo ich das gelesen habe. Aber dort stand, dass der Common Name mit Domain angegeben werden muss.
In etwa so:

Code: Alles auswählen

Common Name: DEINEDOMAIN\max.mustermann
PS: Hast du zwei DCs?
Das habe ich auch schon probiert. Das ist die alte Schreibweise. Ich bin so vorgegangen wie im Samba Wiki, da wird per ADSI Edit der User Principal Name ermittelt. Da steht es auch mit Username@fqdn drin. Also so wie oben in meinem Beispiel. Aber prinzipiell muss beides gehen. Man sieht auch im Auth Log, das er bereits die Umwandlung vollzieht. Als ich beim ersten Versuch exakt nach Anleitung vom Samba WIki vorgegangen bin, nur mit einem Root CA, da hat das einwandfrei funktioniert. Der einzige Unterschied besteht eben darin, das jetzt eine Chain of Trust erstellt wurde.

Antworten