Üdv mindenkinek!
Szeretnék egy linuxos gépet authentikáció szintjén integrálni egy windows tartományba.Most ott tartok, hogy a szükséges file hibamentesen legenerálva a tartományvezérlőn...
Ktpass -princ host/myserver.mydomain.hu@MYDOMAIN.HU -mapuser myserver -pass mypass -out myserver.keytab -crypto des-cbc-crc -desonly -ptype KRB5_NT_PRINCIPAL -rndpass
... majd hozzáadva a /etc/krb5.keytab fájlhoz.
$ ktutil
> rkt myserver.keytab
> list
> wkt /etc/krb5.keytab
> q
$
Az ellenőrzés is hibamentes...
$
$ kinit administrator
$
... visszakapom a promptot, nincs hibaüzenet.
Ezek után a /usr/share/doc/libpam-krb5/README.Debian szerint elvégzem a szükséges módosításokat.
/etc/pam.d/common-account
account required pam_krb5.so minimum_uid=1000
account required pam_unix.so
/etc/pam.d/common-auth
auth sufficient pam_krb5.so minimum_uid=1000
auth required pam_unix.so try_first_pass nullok_secure
/etc/pam.d/common-password
password sufficient pam_krb5.so minimum_uid=1000
password required pam_unix.so nullok obscure min=4 max=8 md5
/etc/pam.d/common-session
session optional pam_krb5.so minimum_uid=1000
session required pam_unix.so
Ezek után ha megpróbálok SSH-n keresztül bejelentkezni akkor a művelet sikertelen.
Sep 15 09:24:20 myserver sshd[15506]: Invalid user administrator from 92.121.61.127
Sep 15 09:24:20 myserver sshd[15506]: Failed none for invalid user administrator from 92.121.61.127 port 33504 ssh2
Sep 15 09:24:25 myserver sshd[15506]: (pam_krb5): none: pam_sm_authenticate: entry (0x1)
Sep 15 09:24:25 myserver sshd[15506]: (pam_krb5): administrator: krb5_get_init_creds_password: Preauthentication failed
Sep 15 09:24:25 myserver sshd[15506]: (pam_krb5): administrator: pam_sm_authenticate: exit (failure)
Sep 15 09:24:25 myserver sshd[15506]: (pam_unix) check pass; user unknown
Sep 15 09:24:25 myserver sshd[15506]: (pam_unix) authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=proba.hu
Sep 15 09:24:27 myserver sshd[15506]: Failed password for invalid user administrator from 92.121.61.127 port 33504 ssh2
Mit rontok el?
Kell még valami ezeken a beállításokon kívül?
A válaszokat előre is köszönöm.
- 1273 megtekintés
Hozzászólások
Kene a keytab file tartalma (klist -t /etc/krb5.keytab asszem).
A krb5.conf-ban megadtad, hogy a kdc az a windowsos gep es nem te vagy? Kene a krb5.conf tartalma...
Vigyazz, nem KDC-t kell epitened, elvben meg kadmin szerverre sincs szukseged, mert ezeket a funkciokat a windows nyujtja.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
/etc/krb5.conf
[libdefaults]
default_realm = MYDOMAIN.HU
default_tkt_enctypes = des-cbc-md5
default_tgs_enctypes = des-cbc-md5
dns_lookup_realm = true
dns_lookup_kdc = true
krb4_config = /etc/krb.conf
krb4_realms = /etc/krb.realms
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
MYDOMAIN.HU = {
kdc = ad.mydomain.hu:88
admin_server = ad.mydomain.hu
default_domain = mydomain.hu
}
[domain_realm]
.mydomain.hu = MYDOMAIN
mydomain.hu = MYDOMAIN
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = true
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
}
[logging]
default = FILE:/var/log/krb5def.log
kinit = FILE:/var/log/krb5ini.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/krb5adm.log
[login]
krb4_convert = true
krb4_get_tickets = false
Az ad.mydomain.hu gép a windows tartományvezérlő.
krb5.keytab
myserver:~# klist -tk
Keytab name: FILE:/etc/krb5.keytab
KVNO Timestamp Principal
---- ----------------- --------------------------------------------------------
23 09/12/08 19:31:28 host/myserver.mydomain.hu@MYDOMAIN.HU
myserver:~#
--
maszili
- A hozzászóláshoz be kell jelentkezni
Végül a megoldás az lett, hogy kiegészítettem a PAM konfigját egy hiányzó sorral...
/etc/pam.d/common-auth
auth sufficient pam_winbind.so
Így pl. az SSH sikeresen végez felhasználó azonosítást a windows tartományból a PAM segítségével.
--
maszili
- A hozzászóláshoz be kell jelentkezni