KDM en LDAP/AD authenticatie - Linux en overige clients

woensdag 29 juli 2015 14:31

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Topicstarter

bah, waarom is het opzetten van een login met AD credentials altijd zo complex onder linux? Je kan in 10 minuten een domain controller opzetten met Samba, maar daarna je clients laten inloggen duurt iets langer.

No keyboard detected. Press F1 to continue.

woensdag 29 juli 2015 14:52

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Hmm, ik ben altijd wel in een half uur, met wat pech een uur, klaar en kunnen ze aanmelden. Genoeg guides die je laat werken met Winbind of andere oplossingen.

Commandline FTW | Tweakt met mate

woensdag 29 juli 2015 15:42

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Topicstarter

en toch ...

Deze keer heb ik de [url=https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto]guide[url] gevolgd die ik bij Ubuntu heb gevonden (zeer simpel en eenvoudig). Wanneer ik dan een wbinfo -u doe, een getent passwd of een net ads info dan krijg ik keurig altijd de gewenste resultaten. Ga ik dan inloggen in kdm dan krijg ik een login failed.

Blijven zoeken. Vroeg of laat komen we de fout wel tegen (liever vroeg, heb tegen de chef beloofd dat ik tegen volgende week de eerste systemen zou kunnen uitrollen).

No keyboard detected. Press F1 to continue.

woensdag 29 juli 2015 17:28

Acties:

0 Henk 'm!

init6

Blokker_1999 schreef op woensdag 29 juli 2015 @ 14:31:
bah, waarom is het opzetten van een login met AD credentials altijd zo complex onder linux? Je kan in 10 minuten een domain controller opzetten met Samba, maar daarna je clients laten inloggen duurt iets langer.

Zet het in een configuration management tool zoals ansible, 1 keer uitzoeken en daarna altijd kunnen pushen.

woensdag 29 juli 2015 17:40

Acties:

0 Henk 'm!

Compizfox

Bait for wenchmarks

Blokker_1999 schreef op woensdag 29 juli 2015 @ 15:42:
en toch ...

Deze keer heb ik de [url=https://help.ubuntu.com/community/ActiveDirectoryWinbindHowto]guide[url] gevolgd die ik bij Ubuntu heb gevonden (zeer simpel en eenvoudig). Wanneer ik dan een wbinfo -u doe, een getent passwd of een net ads info dan krijg ik keurig altijd de gewenste resultaten. Ga ik dan inloggen in kdm dan krijg ik een login failed.

Blijven zoeken. Vroeg of laat komen we de fout wel tegen (liever vroeg, heb tegen de chef beloofd dat ik tegen volgende week de eerste systemen zou kunnen uitrollen).

Ik denk dat je het in de richting van PAM moet zoeken. Tenminste, ik neem aan dat KDM dat gebruikt voor authenticatie.

Configureren van winbind is nog niet genoeg: dat een getent passwd de goede lijst users oplevert betekent alleen dat het systeem weet dat de users bestaan. Om in te kunnen loggen, moet daarnaast ook nog een manier gedefinieerd zijn om te authenticeren. Dat gaat meestal via PAM.

[ Voor 15% gewijzigd door Compizfox op 29-07-2015 17:42 ]

Gewoon een heel grote verzameling snoertjes

woensdag 29 juli 2015 17:53

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Topicstarter

mja, maar pam laat zich tegenwoordig ook zeer eenvoudig en vlot bijwerken met alle juiste entries dankzij pam-auth-update. Morgen eens verder kijken met de nodige logs. Heb op het einde wel snel een blik geworpen op /var/log/auth_log en zag daar toch winbind entries icm met kdm voorbij komen. Met tijd komt alles goed

No keyboard detected. Press F1 to continue.

woensdag 29 juli 2015 20:31

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Eerste test altijd op console of via SSH aanmelden. Werkt dat, dan is alles prima ingesteld. Doet KDM het dan nog steeds niet, dan moet je daar tegenaan gaan schoppen.

Commandline FTW | Tweakt met mate

donderdag 30 juli 2015 10:30

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Topicstarter

winbind mag dan tegenwerken, met krb5 lukt het dan weer wel:

Jul 30 10:27:44 nuc1504 kdm: :0[876]: pam_krb5(kdm:auth): user RTG8401 authenticated as RTG8401@WIE.LOCAL

Maar nu doet kdm weer moeilijk: A critical error occured. Please look at KDM's logfile(s) ... waar vervolgens niets in staat. Eens zien of we dit ook nog kunnen oplossen.

--edit--

En ook daar hebben we nu succes. Nu nog zien of we dit succes kunnen dupliceren, en dan kunnen we aan deployment beginnen denken.

[ Voor 16% gewijzigd door Blokker_1999 op 30-07-2015 10:57 ]

No keyboard detected. Press F1 to continue.

donderdag 30 juli 2015 12:18

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

Ik heb de reacties afgesplitst uit het Kroeg topic, want dat is niet voor bedoelt voor dit soort problemen. De TS is daardoor wat rommelig.

Commandline FTW | Tweakt met mate

vrijdag 31 juli 2015 13:12

Acties:

0 Henk 'm!

Blokker_1999

Full steam ahead

Topicstarter

Daar het afgesplitst is zal ik even mijn werk erbij zetten voor het geval iemand ooit tegen gelijkaardige problemen aanloopt. Het KDM probleem bleek uiteindelijk ergens in de smb.conf te zitten. Moet de oude en nieuwe nog eens goed vergelijken om te zien wat ik daar gemist heb

deze stappen zijn samengeraapt na het volgen van verschillende tutorials en zijn bij mij ondertussen in een scriptje geplaatst om snel te kunnen uitvoeren.

apt-get install samba smbclient samba-common winbind krb5-user libpam-krb5

root@nuc1505:~# cat /etc/krb5.conf
[libdefaults]
        default_realm = DOMAIN.TLD
        ticket_lifetime = 36000
        clockskew = 300
        dns_lookup_realm = false
        dns_lookup_kdc = false

[realms]
        DOMAIN.TLD = {
        kdc = 192.168.1.1:88
        admin_server = 192.168.1.1:749
        default_domain = 192.168.1.1
        }

[domain_realm]
        .DOMAIN.TLD = DOMAIN.TLD
        DOMAIN.TLD = DOMAIN.TLD

[logging]
        kdc = FILE:/var/log/krb5kdc.log
        admin_server = FILE:/var/log/kadmin.log
        default = FILE:/var/log/krb5lib.log

root@nuc1505:~# cat /etc/samba/smb.conf
[global]
        allow trusted domains = Yes
        workgroup = DOMAIN
        server string = 'string'
        security = ads
        realm = DOMAIN.TLD
        password server = 192.168.1.1
        domain master = no
        local master = no
        preferred master = no
        idmap backend = tdb
        idmap uid = 10000-99999
        idmap gid = 10000-99999
        idmap config DOMAIN:backend = rid
        idmap config DOMAIN:range = 10000-99999
        winbind separator = +
        winbind enum users = yes
        winbind enum groups = yes
        winbind use default domain = yes
        winbind nested groups = yes
        winbind refresh tickets = yes
        template homedir = /home/%D/%U
        template shell = /bin/bash
        client use spnego = yes
        client ntlmv2 auth = yes
        encrypt passwords = true
        restrict anonymous = 2
        log file = /var/log/samba/log.%m
        max log size = 50

testen kerberos:

kinit username@DOMAIN.COM
klist

zorgen dat nsswitch in orde is op volgende lijnen:

root@nuc1505:~# cat /etc/nsswitch.conf
passwd:         compat krb5 ldap winbind
group:          compat krb5 ldap winbind
shadow:         compat krb5 ldap winbind

services herstarten:

/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start

domain join&test

net join -U administrator
net ads testjoin
net ads info
wbinfo -u
getent passwd

pam in orde zetten:

pam-auth-update --package

--package zorgt voor een non interactive update, alles word dan blijkbaar aangezet. Ideaal voor het aanroepen vanuit een script zonder user interaction.

lijntje toegevoegd aan /etc/pam.d/common-session:
session required pam_mkhomedir.so umask=0022 skel=/etc/skel

No keyboard detected. Press F1 to continue.