[Ubuntu server] LDAP Client & Active Directory

Tot nu toe heb ik uitsluitend Windows operating systemen en programmatuur gebruikt, maar nu werd het toch echt tijd om eens aan de slag te gaan met Linux.
Ik loop daarbij tegen een ogenschijnlijk simpel issue aan, dat ik tot mijn spijt niet zelf op blijk te kunnen lossen.

Wat is de bedoeling:
De webmaster moet de Ubuntu LAMP server in de DMZ kunnen beheren (Apache, Samba, FTP) en daarbij gebruik kunnen maken van zijn Active Directory gebruikersnaam en wachtwoord.

Wat is de opstelling?

• Eén goed werkende Windows 2003 R2 Domain Controller in het LAN
• Eén Ubuntu 8.10 LAMP server met webmin 1.450, die zich bevindt in de DMZ
• Een werkende verbinding (bind) tussen de Ubuntu server en de DC middels LDAPS-GC (port 636)
• Toekennen van rechten om de AD en de Global Catalog (GC) te lezen

Wat is nu het probleem?
Het lukt me niet om de LDAP Client in Ubuntu server gebruikers te laten vinden in Active Directory.
Het is mogelijk om door de juiste OU in de Search Base te bladeren en daarbij worden alle gebruikers als containers (CN) getoond.
Toch geeft de 'validate configuration' button van Webmin als resultaat: "no users found in base".
Het lijkt er op dat niet de juiste attributen worden gevonden of dat deze niet juist worden uitgelezen.

Wat heb ik geprobeerd?

• Ik heb de DC NIS server gemaakt
• Het AD schema is geupdateted met de Unix attributen
• Alle gebruikers en -groepen voorzien van de juiste Unix attributen.
• De Ubuntu server "ldap.conf" file is voorzien van de # RFC 2307 (AD) mappings
• De "libnss-ldap" service wordt automatisch opgestart

Wat heb ik gevonden?
Op GoT blijkt dit niet zo veel besproken: het meest in de buurt komt dit topic, maar daar wordt helaas geen oplossing beschreven.

Nu is Linux geheel nieuw voor me en heb ik dus mijn toevlucht moeten zoeken tot Webmin, hoewel ik heb gezien dat dit niet (meer) ondersteund wordt op Ubuntu server.

Wie kan me vertellen wat ik vergeten heb / over het hoofd zie / verkeerd heb gedaan ?

Niemand?

Als de probleembeschrijving niet duidelijk is, hoor ik het graag.
Zou het echt zo zijn dat er niemand hier op GoT zijn Ubuntu server aan Active Directory hangt?

Ik waag met deze *schop* nog een laatste poging...

Tijd voor een kleine update:

Vanaf een Windows machine heb ik met behulp van Microsofts LDP.exe (uit de Support Tools) de LDAP search kunnen testen en geen problemen gevonden.

De Ubuntu Server kan ook de catalogue doorbladeren en ik krijg alle attributen te zien. Het lijkt erop dat de bind dus succesvol is, maar dat de ldap-query die Webmin uitvoert niet naar de juiste attributen zoekt.

Iemand ervaring met Webmin en Active Directory?

Overigens staat er een foutje in de openingspost: LDAPS-GC is natuurlijk poort 3269, niet 636.

[ Voor 9% gewijzigd door Arcesilaus op 17-03-2009 10:40 ]

Ter verduidelijking:

Ik wil graag op PAM niveau middels LDAPS de server aan het AD hangen.
Daartoe heb ik in eerste instantie de betreffende config files via Webmin aangepast en later heb ik los van Webmin geprobeerd om de connectie op te zetten.

Ik heb nog een gegoogled volgens de tip en bleek de meeste pagina's al wel bekeken te hebben.
In navolging van de beschrijving op deze website heb ik de config files nog maar eens aangepast:

Dit is mijn /etc/nsswitch.conf:

passwd: files ldap
group: files ldap
shadow: files ldap
hosts: files dns mdns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis

En dit is de /etc/ldap.conf:

# Connection settings
uri ldaps://majestix.emmahuis.local:3269/
base cn=remote users,ou=clients,dc=emmahuis,dc=local
scope sub
tls_checkpeer yes
ssl yes
ldap_version 3
binddn DOMAIN\USER
bindpw PASSWORD

# Search bases
nss_base_passwd cn=remote users,ou=clients,dc=emmahuis,dc=local
nss_base_shadow cn=remote users,ou=clients,dc=emmahuis,dc=local
nss_base_group cn=remote users,ou=clients,dc=emmahuis,dc=local

# Custom mappings
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid sAMAccountName
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute gecos name
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_objectclass posixGroup Group
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute cn cn
pam_login_attribute sAMAccountName

# PAM settings
pam_filter objectclass=User
pam_password ad
pam_member_attribute msSFU30PosixMember
pam_groupdn cn=remote users,ou=clients,dc=emmahuis,dc=local


Met deze files kan ik in Webmin wel de structuur zien, maar worden dus een users gevonden.
Vreemd genoeg (voor mij, althans), krijg ik in de console van de server een connectie error als ik een LDAP search wil uitvoeren.

Even los van de Webmin interface, is de vraag eigenlijk: wat mankeert er aan deze config files?

Tijd voor een update...

Dank voor de hulp en mijn excuses voor de lange stilte - ik heb soms door drukte weinig tijd om te sleutelen

Allereerst heb ik maar eens een schone Ubuntu-server install gedaan en nog eens wat websites met handleidingen doorgenomen, zoals deze en deze. In de ldap.conf file heb ik nu ook de mapping van "PosixAccount" naar "user" staan.

Ik heb de plain ldapsearch gedaan zoals aangeraden, al blijkt dat niet naar de Global Catalog te kunnen, en ook niet zonder meer over SSL (ik moet daarvoor waarschijnlijk eerst openSSL configureren), maar de search gaat over port 389, default LDAP prima.

Het resultaat is prima als ik zonder filter zoek naar "users", maar zodra ik een filter aanzet (objectclass=posixaccount), gaat het mis: dan zijn er geen resultaten.

Nu heb ik via AdsiEdit gekeken in de ActiveDirectory en er bestaat geen attribuut met die naam. Voor zover ik het begrijp (en dat lijkt helaas onvoldoende), zorgt de nss-mapping in de ldap.conf er juist voor dat er gezicht wordt naar het attribuut "user", in plaats van "posixaccount".
Dit lijkt echter niet te werken.

Klopt het dat er geen attribuut is met de naam "posixaccount"?
Wat zou ik verder over het hoofd kunnen zien?