Inloggen in Linux via Active Directory - Linux en overige clients

vrijdag 19 mei 2006 10:51

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

Ik heb al een hele tijd gegoogled en getest etc, maar het wil nog niet echt lukken.

Situatie:

Ik heb een testomgeving opgezet met het volgende:
1 windows 2000 domain controller (standaard instellingen) + Services For Unix 3.5
1 Suse 9 enterprise Server

Nu wil ik het volgende:
Alle gebruikers die in de Active Directory zitten, moeten kunnen inloggen op de Linux Server met hun eigen gebruikersnaam en wachtwoord.

Ik heb het volgende al gedaan:

Op de Windows server:
- Services For Unix geinstalleerd op de w2k domain controller
- Een gebruiker aangemaakt "linuxgebruiker" in de AD en Unix Attributes ingevuld

Op de linux server:

- LDAP client geconfigureerd
Inhoud van de LDAP.conf file:

host 10.0.0.3
base cn=users,dc=testomgeving,dc=local
binddn cn="LDAP BIND",cn=users,dc=testomgeving,dc=local
bindpw ldap
port 636
ldap_version 3
scope sub
ssl no
nss_base_passwd cn=users,dc=testomgeving,dc=local?sub
nss_base_shadow cn=users,dc=testomgeving,dc=local?sub
nss_base_group cn=users,dc=testomgeving,dc=local?sub
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_objectclass posixGroup Group
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn
pam_login_attribute sAMAccountName
pam_filter objectclass= user
pam_member_attribute msSFU30PosixMember
pam_password ad
pam_filter objectclass=posixAccount

- NSS en PAM geinstalleerd.

Als ik nu in de console "ldapsearch -x" in tik, dan krijg ik de hele AD structuur te zien, maar ik kan nog steeds niet inloggen. Ik krijgt dan de melding: " Login Failed "

Wie kan mij verder helpen?

vrijdag 19 mei 2006 10:55

Acties:

0 Henk 'm!

Equator

Crew Council

#whisky #barista

Wordt er nog wat gelogd in de WIndows Security Log, en op je auth.log lokaal op je unix/linux systeem

vrijdag 19 mei 2006 10:58

Acties:

0 Henk 'm!

sariel

Weet niet of het helpt...maar ik lees hier iets over AD4Unix
http://www.securityfocus.com/infocus/1563
http://sourceforge.net/projects/ad4unix/

misschien kan het helpen?

[ Voor 13% gewijzigd door sariel op 19-05-2006 10:59 ]

Copy.com

vrijdag 19 mei 2006 11:01

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

Equator schreef op vrijdag 19 mei 2006 @ 10:55:
Wordt er nog wat gelogd in de WIndows Security Log, en op je auth.log lokaal op je unix/linux systeem

Ik zie niets in de log files

vrijdag 19 mei 2006 11:03

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

sariel schreef op vrijdag 19 mei 2006 @ 10:58:
Weet niet of het helpt...maar ik lees hier iets over AD4Unix
http://www.securityfocus.com/infocus/1563
http://sourceforge.net/projects/ad4unix/

misschien kan het helpen?

Ik heb al heel veel van die tutorial gevonden en geprobeerd, maar er is nog geen een gelukt. Volgens mij zie ik iets heel kleins en simpels over het hoofd

vrijdag 19 mei 2006 11:03

Acties:

0 Henk 'm!

DumbAss

Ik heb authenticatie via een AD ook opgzet. Maar ik heb gebruik gemaakt van winbind. Dit vond ik een stuk makkelijker dan met ldap lopen kloten. Maar goed, daar heb je misschien niks aan.

Vanutsteen.nl => nerds only | iRacing

vrijdag 19 mei 2006 11:05

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

DumbAss schreef op vrijdag 19 mei 2006 @ 11:03:
Ik heb authenticatie via een AD ook opgzet. Maar ik heb gebruik gemaakt van winbind. Dit vond ik een stuk makkelijker dan met ldap lopen kloten. Maar goed, daar heb je misschien niks aan.

Als het werkt, dan kan is dat ook goed

Kan je mij uitleggen hoe je het voor elkaar gekregen hebt via winbind?

vrijdag 19 mei 2006 11:34

Acties:

0 Henk 'm!

capedro

Ik heb het eens een keer voor elkaar gekregen bij mijn vorige werkgever, echter de documentatie mag ik niet publiceren (bedrijfsgeheim)... maar met Google kwam ik op:
Join Linux to Active Directory with Winbind door gebruik te maken van WindBind..

Werkt goed

_{Heb nog wat gevonden}
Ik heb nog wel een document gevonden welke ik wel mag publiceren, dit document bevat geen bedrijfsgeheimen... Je kan het downloaden vanaf 1 van mijn servers en bevat hoe je SLES9 kan koppelen aan MS AD.

http://downloads.adslweb.net/docs/AD-polyserve-ano.pdf

_{PS In deze omgeving maakte ik wel gebruik van Polyserve Matrixserver, maar dit heeft verder geen gevolg voor de MS AD koppeling}

[ Voor 41% gewijzigd door capedro op 19-05-2006 11:39 . Reden: Linkje naar documentatie ]

My weblog

vrijdag 19 mei 2006 19:00

Acties:

0 Henk 'm!

Tomsworld

officieel ele fan :*

Als je een windows 2003R2 domein controller is het een beetje eenvoudiger:

http://adminspotting.net/...and-Active-Directory.html

"De kans dat een snee brood op een nieuw tapijt valt met de beboterde zijde onderaan, is recht evenredig met de prijs van het tapijt"

zaterdag 20 mei 2006 07:25

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

mmmm.... ziet er nuttig uit, maar waarom zou dit alleen maar werken op een Windows 2003 domain controller en niet op Windows 2000?

Ik heb ondertussen ook een aantal testen gedaan met Samba en Winbind.
Het is me daarmee gelukt om in ieder geval de users te laten zien op in het aanlogscherm, maar als ik een user selecteer en het wachtwoord opgeef, dan geeft Suse nog steeds de melding "Login Failed"

Als ik in de logs kijk, zie ik het volgende: No such user, PAM error 10, NT Error NO_SUCH_USER

Ik heb de gebruiker handmatig aangemaakt in de passwd file. Het was toen wel mogelijk om met die gebruiker in te loggen. Het is echter niet de bedoeling dat ik alle users die in de AD staan in ga zitten tikken in de passwd file van Suse.

Heb ik toch nog wat fout gedaan?

zaterdag 20 mei 2006 10:41

Acties:

0 Henk 'm!

capedro

Anoniem: 119060 schreef op zaterdag 20 mei 2006 @ 07:25:
Als ik in de logs kijk, zie ik het volgende: No such user, PAM error 10, NT Error NO_SUCH_USER

Ik heb de gebruiker handmatig aangemaakt in de passwd file. Het was toen wel mogelijk om met die gebruiker in te loggen. Het is echter niet de bedoeling dat ik alle users die in de AD staan in ga zitten tikken in de passwd file van Suse.

Heb ik toch nog wat fout gedaan?

Dit is niet echt de bedoeling van het concept... heb je die manual doorgelopen welke ik gelinkt had...

Kijk eens ff goed naar puntje 3 hier uit:

3. Wijzigen configuratie van

Wijzig vervolgens het bestand:
code:
1
2
3
4
auth: call_modules=winbind
account: call_modules=winbind
password:
session: none
Wijzig de navolgende records

passwd: compat winbind
group: compat winbind

Voeg aan de volgende bestanden:
- /etc/pam.d/login
- /etc/pam.d/sshd

De volgende regel toe:
code:
1
session optional pam_mkhomedir.
Gebruik de optie 'optional' homedirectory
opnieuw gemaakt.

En anders nog eens een keer aanmelden bij de AD.... het moet gewoon werken

My weblog

maandag 22 mei 2006 15:05

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

Ik ben weer een heel stuk verder....

Ik kan nu inloggen met de gebruikers uit de AD. Het enige is dat ik een foutmelding krijg dat de homedirectory niet gevonden kan worden en dan sluit KDE weer af.
Als ik zelf een map aanmaak onder de /home directory met de naam van de gebruiker, dan kan de gebruiker wel inloggen zonder fouten.

De rechten op de /home directory zijn als volgt: drwxrwxrwx

Waarom wordt er niet automatisch een map aangemaakt voor de gebruiker als deze nog niet aanwezig is?

Wat zie ik over het hoofd?

maandag 22 mei 2006 15:28

Acties:

0 Henk 'm!

capedro

Anoniem: 119060 schreef op maandag 22 mei 2006 @ 15:05:
Ik ben weer een heel stuk verder....

Ik kan nu inloggen met de gebruikers uit de AD. Het enige is dat ik een foutmelding krijg dat de homedirectory niet gevonden kan worden en dan sluit KDE weer af.
Als ik zelf een map aanmaak onder de /home directory met de naam van de gebruiker, dan kan de gebruiker wel inloggen zonder fouten.

De rechten op de /home directory zijn als volgt: drwxrwxrwx

Waarom wordt er niet automatisch een map aangemaakt voor de gebruiker als deze nog niet aanwezig is?

Wat zie ik over het hoofd?

Aan de bestanden:
/etc/pam.d/login
/etc/pam.d/sshd

De tekst:

code:

1	session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

toevoegen...

_{volgens mij staat alles in het PDF-bestand wat ik je al eerder gegeven had....}

[ Voor 1% gewijzigd door capedro op 22-05-2006 15:29 . Reden: Tiepoohs ]

My weblog

maandag 22 mei 2006 15:30

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

slecht nieuws....
Die regels heb ik al toegevoegd. Geen resultaat

dinsdag 23 mei 2006 07:27

Acties:

0 Henk 'm!

capedro

Anoniem: 119060 schreef op maandag 22 mei 2006 @ 15:30:
slecht nieuws....
Die regels heb ik al toegevoegd. Geen resultaat

Wazig... bij mij kreeg ik dan als ik met bv SSH inlogde de melding dat de homedir werd aangemaakt...

Wat is je exacte melding kan je die misschien posten?!?

My weblog

dinsdag 23 mei 2006 08:26

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

De exacte melding die ik krijg:

No write access to $HOME directory (/)

In de log zie ik dat hij de direcotry / probeert te pakken, omdat de map met de naam van de gebruiker niet te vinden is in de directory /Home

dinsdag 23 mei 2006 10:09

Acties:

0 Henk 'm!

capedro

Anoniem: 119060 schreef op dinsdag 23 mei 2006 @ 08:26:
De exacte melding die ik krijg:

No write access to $HOME directory (/)

In de log zie ik dat hij de direcotry / probeert te pakken, omdat de map met de naam van de gebruiker niet te vinden is in de directory /Home

en in je /etc/samba/smb.conf:

code:

[global]
workgroup = TEST
security = ads
realm = TEST.NL
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind seperator= +
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
printer admin = @ntadmin, root, administrator
username map = /etc/samba/smbusers
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
password server = *
template shell = /bin/bash
template homedir = /home/%U
profile acls = yes
admin users = Administrator

En dan met name het regeltje:

template homedir = /home/%U

Het ziet er naar uit dat hij dus voor iedere user $HOME definieert als de root (/).

My weblog

dinsdag 23 mei 2006 10:32

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

Sorry... staat ook goed.

Als ik namelijk de volgende map aanmaak /Home/test , dan kan de gebruiker Test zonder foutmeldingen inloggen.
Bestaat dat mapje niet, dan krijgt de gebruiker de eerder genoemde foutmelding

dinsdag 23 mei 2006 11:07

Acties:

0 Henk 'm!

capedro

Anoniem: 119060 schreef op dinsdag 23 mei 2006 @ 10:32:
Sorry... staat ook goed.

Als ik namelijk de volgende map aanmaak /Home/test , dan kan de gebruiker Test zonder foutmeldingen inloggen.
Bestaat dat mapje niet, dan krijgt de gebruiker de eerder genoemde foutmelding

Op welke wijze probeer je in te loggen

* SSH
* KDE/GNome via XDM
* Login via een tty

Als je KDE oid gebruikt, voeg dan aan het bestand /etc/pam.d/xdm het regeltje:

code:

1	session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

toe....

My weblog

dinsdag 23 mei 2006 12:02

Acties:

0 Henk 'm!

Anoniem: 119060

Topicstarter

Hartstikke bedankt!!!!

Alles werkt

dinsdag 23 mei 2006 18:38

Acties:

0 Henk 'm!

capedro

Mooi zo!!!!

Het heeft mij destijds ook wat hoofdbrekens gekost... maar op die server waarvoor ik het gedaan heb logde men alleen in middels ssh dus xdm hoefde ik niet aan te passen (er was niet eens een X-omgeving geinstalleerd)

My weblog

Pagina: 1

Reageer