Toon posts:

[Debian] AD & Winbind, inloggen met AD-user wil niet

Pagina: 1
Acties:

donderdag 14 juli 2005 20:30

Acties:
  • cor-gijs
  • Registratie: Maart 2000
  • Laatst online: 21-09-2025

cor-gijs

Dig further for bigger hole

Topicstarter
Na wat geklus is het mij gelukt om m'n Debian 3.1 bak met samba 3 en winbind in een AD-domein te hangen. Ik krijg mooi de mededeling dat ik verbonden ben aan het domein, kan de users en groups uit de AD zien en kan AD-users rechten geven voor bestanden en directory's e.d.
erg mooi

Nou wil ik ook dat bepaalde AD-users in kunnen loggen op de Debian-bak, vooral via SSH. In deze HowTo heb ik gelezen hoe dat moet. Ik heb de pam-modules aangepas zoals beschreven in de HowTo, maar toch wil het niet helemaal.

Wanneer ik via SSH of direct op de bak inlog met een AD-user: DOMEINNAAM+usernaam kan ik gewoon een passwoord invullen. dan krijg ik mooi de standaard Debian-welkomsboodschap en vervolgens wordt de verbinding meteen weer verbroken.
Dit gebeurt normaal gesproken ook bij gebruikers die wel in /etc/passwd staan, maar dan met /bin/false achter hun naam ipv /bin/bash.
Helaas staan de AD-users niet in /etc/passwd, dus kan ik dit niet aanpassen. Hoe kan ik ervoor zorgen dat ik met een AD-user in kan loggen? moet ik dan wat veranderen in /etc/pam.d/login en ssh?

Wanneer dit lukt wil ik eigen ook dat alleen bepaalde users (bijv. de users uit een bepaalde group in de AD) in kunnen loggen op de bak. Hoe krijg ik dat voor elkaar?

There is no adequate defense, except stupidity, against the impact of a new idea.

donderdag 14 juli 2005 21:39

Acties:
  • cor-gijs
  • Registratie: Maart 2000
  • Laatst online: 21-09-2025

cor-gijs

Dig further for bigger hole

Topicstarter
als ik kijk in mijn /var/log/auth.log, zie ik het volgende staan over een mislukte login:
code:
1
2
3
4
5

Jul 14 21:31:42 localhost pam_winbind[2185]: user 'STRESSKAMER+bartd' granted access
Jul 14 21:31:42 localhost pam_winbind[2185]: user 'STRESSKAMER+bartd' granted access
Jul 14 21:31:42 localhost sshd[2185]: Accepted keyboard-interactive/pam for STRESSKAMER+bartd from 192.168.0.1 port 39598 ssh2
Jul 14 21:31:42 localhost sshd[2188]: (pam_unix) session opened for user STRESSKAMER+bartd by (uid=0)
Jul 14 21:31:42 localhost sshd[2188]: (pam_unix) session closed for user STRESSKAMER+bartd


klopt het nou dat de login mislukt vanwegen het feit dat de uid van bartd 0 is? kan ik die ergens wijzigen, of kan ik ergens instellen dat users met een uid van 0 ook in mogen loggen?

There is no adequate defense, except stupidity, against the impact of a new idea.

vrijdag 15 juli 2005 11:58

Acties:
  • cor-gijs
  • Registratie: Maart 2000
  • Laatst online: 21-09-2025

cor-gijs

Dig further for bigger hole

Topicstarter
even een klein schopje, ik kan me niet voorstellen dat niemand hier iets vanaf weet :D

There is no adequate defense, except stupidity, against the impact of a new idea.

vrijdag 15 juli 2005 16:32

Acties:
  • urk_forever
  • Registratie: Juni 2001
  • Laatst online: 04-02 17:31

urk_forever

Volgens mij kan je in de smb.conf aangeven welke uid's en gid's gemapt worden voor domein accounts. Misschien moet je daar eens naar kijken.
En verder zie ik geen foutmelding over het mislukken van authentication, dus dat lijkt goed te gaan.

Hail to the king baby!

vrijdag 15 juli 2005 18:04

Acties:
  • Jelmer
  • Registratie: Maart 2000
  • Laatst online: 07:42

Jelmer

opened by uid=0 wil zeggen dat root die sessie aangemaakt heeft (komt omdat SSH uiteraard als root draait).

Je kunt in smb.conf ook aangeven welke shell er by default gebruikt moet worden. Wat je ook kunt doen is: ssh STRESSKAMER+bartd@server /bin/sh uitvoeren, dan geef je aan dat er ipv de standaard shell een programma gestart dient te worden.

zondag 17 juli 2005 14:27

Acties:
  • cor-gijs
  • Registratie: Maart 2000
  • Laatst online: 21-09-2025

cor-gijs

Dig further for bigger hole

Topicstarter
Het werkt! nadat ik in smb.conf de volgende regel heb toegevoegd:
code:
1

template shell = /bin/bash

kan ik inloggen via ssh. het is weer geweldig. nu zou ik ik er dus voor willen zorgen dat alleen users uit een bepaalde AD-group in kunnen loggen en de rest niet. iemand suggesties?

There is no adequate defense, except stupidity, against the impact of a new idea.

zondag 17 juli 2005 17:03

Acties:
  • Jelmer
  • Registratie: Maart 2000
  • Laatst online: 07:42

Jelmer

Dat moet ook met PAM kunnen. Heb het zelf nooit gebruikt, maar bekijk /etc/pam.d/login en /etc/security/group.conf & access.conf eens. Succes!

[ Voor 6% gewijzigd door Jelmer op 17-07-2005 17:03 ]

zondag 17 juli 2005 18:08

Acties:
  • cor-gijs
  • Registratie: Maart 2000
  • Laatst online: 21-09-2025

cor-gijs

Dig further for bigger hole

Topicstarter
Ik denk dat ik met /etc/security/access.conf een heel eind kom, daar ga ik later aan knutselen. nu eerst een biertje in de achtertuin ;)

There is no adequate defense, except stupidity, against the impact of a new idea.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq