我如何让openBSD对Windows Server 2008 R2进行身份validation? 我目前已经安装了Unix的身份pipe理(IDMU)。 另外我已经在openbsd中安装了login_ldap。 但是我不知道在openBSD客户端和Windows Server 2008中要configuration什么。我的目标是在windows sever目录结构中创build帐户,并能够从openbsd计算机login这些帐户。
其实,你需要的软件包是login_krb5 。 你需要的其他软件包是heimdal软件包。 您还需要升级到5.7,因为heimdal在5.6中不可用。
完成之后,将/usr/local/libexec/auth/login_krb5*复制到/usr/libexec/auth 。 您需要这样做,否则login过程将无法find它们。
最后,可选步骤是将/usr/local/heimdal/bin到系统path中。 这将允许您使用Kerberos工具来testing您的configuration。 如果您select不执行此操作,则需要引用每个可执行文件的完整path(例如/usr/local/heimdal/bin/ktutil )
一旦你完成了所有这些(或者至less是前两步),下面是你所做的事情(改编自本文 ):
在您的AD域中创build一个新的用户帐户 – 不要创build一个计算机帐户,因为它不会工作。 给它任何密码(它会稍后改变),并禁用密码过期和密码更改。
创build你的keytab并设置一个随机的密码(其中myhost是你创build的用户, myhost.fqdn是你服务器的名称, EXAMPLE.COM是你的域名):
C:\> ktpass -out c:\temp\myhost.keytab -princhost/[email protected] -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass
将myhost.keytab文件安全地复制到您的服务器上,并删除本地副本。
将密钥表复制到/etc/heimdal :
# ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab
使用下面的configuration文件在/etc/heimdal/krb5.confconfiguration文件 – 这是您将需要的最低限度。
[libdefaults] clockskew = 300 default_realm = EXAMPLE.COM
[realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }
[domain_realm] .EXAMPLE.COM = EXAMPLE.COM
确认你可以得到一张票:
# kinit [email protected] [email protected]'s Password: # klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: [email protected]
Issued Expires Principal Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/[email protected]
在/etc/login.conf ,replace下面的行:
:tc=auth-defaults:\
用以下行:
:auth=krb5-or-pwd:\
这将告诉系统为除root以外的所有用户使用Kerberos。 如果login失败,则回退到本地密码。
创build您希望使用Kerberos进行身份validation的任何用户。 如果您希望使用Kerberos,则必须执行此操作 – 没有自动进程。 不要紧,你给他们什么密码,因为它会首先检查Kerberos。
通过SSHtesting您的login。 很高兴他们工作。
让我知道如果你卡住了。