centos6.3 authentikacio AD-be

Red Hat, Fedora, CentOS

Hello,

Valakinek mar sikerult a targyban emlitett dolgot megcsinalni? A szituacio az hogy kell egy centralizalt authencikacio wind2k8 AD-be ami kerberos-t hasznal.
Valahogy nem akar menni es nem tudom hogy tudnek tobb infot kinyerni hogy megoldjam.

Az sssd config:
[sssd]
services = nss, pam
config_file_version = 2
debug-level = 0xFFF0

domains = AD
[domain/AD]

ldap_uri = ldap://exampleDC.windows.domain.com/
ldap_id_use_start_tls = False
ldap_search_base = OU=Valami User,DC=windows,DC=domain,DC=com
ldap_sasl_mech = GSSAPI
ldap_sasl_authid = test/test.windows.domain.com@WINDOWS.DOMAIN.COM
ldap_krb5_keytab = /etc/krb5.keytab # ez egy symlink /tmp/krb5cc_0, ez manualisan hoztam letre a kinit segitsegel
ldap_krb5_init_creds = true
#ldap_krb5_ticket_lifetime = 86400
krb5_realm = WINDOWS.DOMAIN.COM
krb5_server = exampleDC.windows.domain.com
krb5_kpasswd = exampleDC.windows.domain.com
krb5_canonicalize = False
enumerate = True
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
cache_credentials = True
#
# Plus config for AD
#
ldap_user_name = sAMAccountName
ldap_user_object_class = user
ldap_group_object_class = group
case_sensitive = False

debug-level = 0xFFF0

[nss]
# Exclude certain users from being fetched from the sss NSS database.
# This is particularly useful for system accounts.
filter_users = root, named, apache, dbus
filter_group = root
debug-level = 0xFFF0
[pam]
debug-level = 0xFFF0
[sudo]
debug-level = 0xFFF0
[autofs]

[ssh]

krb5.conf:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = WINDOWS.DOMAIN.COM
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true

[realms]
WINDOWS.DOMAIN.COM = {
kdc = exampleDC.windows.domain.com
admin_server = exampleDC.windows.domain.com
}

[domain_realm]
windows.domain.com = WINDOWS.DOMAIN.COM
.windows.domain.com = WINDOWS.DOMAIN.COM

[appdefaults]
pam = {
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}

es vegul a system-aut pam fajl:
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 500 quiet_success
auth sufficient pam_sss.so use_first_pass
auth required pam_deny.so

account required pam_access.so
account required pam_unix.so broken_shadow
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 500 quiet
account [default=bad success=ok user_unknown=ignore] pam_sss.so
account required pam_permit.so

password requisite pam_cracklib.so try_first_pass retry=3 type=
password sufficient pam_unix.so md5 shadow nullok try_first_pass use_authtok
password sufficient pam_sss.so use_authtok
password required pam_deny.so

session optional pam_keyinit.so revoke
session required pam_limits.so
session optional pam_oddjob_mkhomedir.so skel=/etc/skel
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
session optional pam_sss.so

Sehogy sem akar menni az authentikacio, es igazat megvalva elakadtam. Az ldapsearch meg, mert ugye megvan a kerberos ticket, es azt hasznalva szepen tudom browsolni a fa azon reszeit amikre van jogom. De a login.....

Van vlakinek otlete?

  • 7213 megtekintés

( m1k1 v | 2013. 02. 15., p – 15:02 )

nsswitch.conf megvan?

/etc/nsswitch.conf
passwd: files sss
shadow: files sss
group: files sss

( m1k1 v | 2013. 02. 15., p – 16:03 )

/var/log/secure-ba mit ír a sikertelen belépéskor?

egyáltalán local belépés, vagy ssh?

Feb 15 16:53:07 test login: pam_unix(login:auth): check pass; user unknown
Feb 15 16:53:07 test login: pam_unix(login:auth): authentication failure; logname=LOGIN uid=0 euid=0 tty=tty1 ruser= rhost=
Feb 15 16:53:07 test login: pam_succeed_if(login:auth): error retrieving information about user USER
Feb 15 16:53:09 test login: FAILED LOGIN 1 FROM (null) FOR USER, User not known to the underlying authentication module

olyan mintha nem hasznalna a pam_sss es a pam_krb sem.

ja local. az ssh csak utana lesz.

--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

mintha nem futna az sssd
service sssd status mit mutat?

ezután a sor után vmi ilyesminek kellett volna jönnie:
pam_unix(login:auth): authentication failure
pam_sss(login:auth)

ha nem fut akkor:
chkconfig sssd on
service sssd start

többet nem lesz vele gond
ha nem indul nézd meg az /etc/sssd/sssd.confot és adjál neki chmod 600-at

a jog renden. service fut. az sssd logja meg azt mondja h nem tudja olvasni a keyfile-t. most meg az adsokkal generalunk egyet, remelem az segit. ja cenntos6.3
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

( mr shadow v | 2013. 02. 15., p – 17:45 )

feliratkozás
--
"'The time has come,' the Walrus said"

( szsz | 2013. 02. 18., h – 13:49 )

Helló!

Van esetleg valami haladás az ügyben?
Anno az sssd-vel kicsit tovább jutottam, mint te, de aztán belefutottam ebbe a hibába. Ekkor hagytam a fenébe az egészet - mindezt teljes lelki nyugalommal -, mivel a winbind idmap_ad backend-del csont nélkül ment és megy azóta is, Debian/Ubuntu/CentOS rendszerekkel egyaránt. Nem mellékes az sem, hogy ez utóbbi működését sikerült teljes egészében megemésztenem, szemben az sssd dolgaival.

Nagyon hasznos olvasmány a témában: http://www.redhat.com/resourcelibrary/reference-architectures/integrati…

Szabi