我有相当多的Ubuntu服务器17.04主机,必须join到现有的Windows AD域(Windows Server 2016)。 我从来没有做过,但我意识到几个方法来实现这一点,如:同样,Centrify,SSSD和Winbind。 您可以分享一下您的一般经验,并告诉您这些解决scheme的可靠性,易于configuration/维护吗? 如果你能分享任何链接到最新的文章/手册涵盖这个话题,我也只能find一对3到5岁的人,他们并没有像预期的那样工作。 非常感谢你的帮助!
下午好。 我已经仔细阅读了各种关于让Linux系统使用AD进行身份validation的文章,但是还没有看到什么东西逼近我打我的头。 这里有很多设置,请耐心等待。 首先,我们的目标是让我们所有的Linux和Unix系统对AD进行身份validation。 这在数百个系统中不是可选的; 用户账户pipe理早已成为一个问题。 我们有几个AD实例:一个是所有系统pipe理员帐户应该存在的“pipe理AD”(“MAD”)。 MAD不相信其他域名。 所有其他域(“CAD”,“FAD”,“坏”)都相信MAD。 大多数系统将与CAD,FAD或BAD相关联。 只有内部系统将与MAD相关联。 主要的平台是RHEL,我有5,6,7的混合物.5不会很快消失,尽pipe在不到一年的时间里它会退出RH的支持,但是我仍然得到人口5与AD集成在一起。 任何解决scheme都需要在5,6和7的工作,因为我们不想支持多种方式的做事。 我的主要select(至less是我正在工作的)是Winbind和SSSD。 鉴于两者之间的select,我宁愿SSSD Winbind是“相当古老”。 还有一个要求是“组”和“id”产生的AD信息,因为我们打算使用openssh的“AllowGroups”function来限制login到特定的AD组。 我遵循每一个手册,每一个指导,每一个指导,当它归结于它时,总有一件似乎没有被有效logging的东西阻挡了我。 一般来说,我对unix / linux相当强大,但是我对AD,Kerberos或LDAP不够强大。 出于实验目的,我将从全新安装的ISO(kickstart,一些基本的configuration)开始,在KS中没有设置validation位。 第1步:同步时间。 完成。 第2步:安装/激活oddjob。 完成。 步骤3:确保目标系统有正向和反向DNS条目。 完成。 手动到目前为止,我不能依靠后面的步骤来解决问题。 我会应付的。 步骤4:configurationKerberos。 /etc/krb5.conf的消毒版本: includedir /var/lib/sss/pubconf/krb5.include.d/ [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults] default_realm = CAD.LAB dns_lookup_realm = true dns_lookup_kdc = true ticket_lifetime […]
我试图在我的公司部署freeIPA。 networking非常简单: <10 FC20(和FC21 beta)台式机 <5台FC20服务器(包括带有freeIPA的服务器) 1 Synology NAS DS1813 +(DSM 5.0) 我首先模拟虚拟机上的所有东西(包括Synology NAS)。 Synology也应该导出NFS共享,尽可能与freeIPA集成。 另外,我希望它为freeIPA用户提供NFS主目录(主目录目前在客户端是本地的)。 状态: freeIPA Server up(4.1.1) 注册Fedora客户端,我可以用LDAP用户login Synology:问题 关于Synology的客户状态和我的具体问题: DSM没有ipa-client-install ,所以我试图遵循通用和零散的(最新的手册不可用,据我所知)指令,如: http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/linux-manual.html http://docs.fedoraproject.org/en-US/Fedora/18/html/FreeIPA_Guide/kerb-nfs.html http://wiki.linux-nfs.org/wiki/index.php/NFS_and_FreeIPA 它可以看到并使用freeIPA服务器作为唯一的DNS服务器 提到的第一步是“ 安装SSSD 1.5.x或更高版本,如果尚未安装。 问题是,SSSD似乎不适用于DSM。 我能在这里做什么? SSSD的缺席是一个表演塞? 下面的一个评论指出,这不是一个显示限制,因为SSSD只是一个客户端的凭证caching。但是:我可以忽略SSSDconfiguration,忘记它,或者它的缺席意味着一些不同的步骤客户端configuration? 这真的是可选的吗? NFS共享:假设我设法正确地注册了Synology,我不清楚为了将LDAP用户作为主共享使用哪些步骤。 有经验的人能给我一个简短的清单吗? 特别是关于要遵循的步骤的顺序 ? 我知道如何在Synology站点创build导出,以及如何从客户端使用它。 但是在这里,我还有另外一些困难,就是把出口作为家庭用品,并将其整合到免费的IPA中。 增加的复杂性,没有明确的指导给我头痛。 注意到用户很less,所以我更愿意创build新的LDAP用户,然后移动/重新拥有文件,而不是迁移用户。 我想尽可能避免的是用Synology站中的configuration文件手动搞定。 只要我通过用户界面做事情,我就可以把事情的可能性降到最低。 万一有什么不足之处,我很乐意更新这个问题。 谢谢!
背景 我试图以我在AWS Directory Services Simple AD中创build的用户身份login(通过SSH,运行到运行sssd的Amazon Linux EC2实例)。 我使用Kerberos进行身份validation,并使用LDAP(通过sssd )来识别用户。我通过ELB通过多个代理服务器连接到简单AD。 问题 当我将ELBconfiguration为使用TLS作为Kerberos端口时, sssd无法连接到Kerberos服务器,login失败。 没有TLS,它工作得很好,一旦我login没有TLS的证书caching和login继续工作时,我再次打开TLS。 RFC 6251介绍了如何通过TLS传输Kerberos V5,所以假设这应该是可能的,对吗? 我不确定我是否没有正确地执行此操作,或者如果sssd不支持通过TLS的Kerberos。 谷歌search没有产生任何成果,手册页没有任何看似与他们有关的东西。 请注意,我的LDAPS通过ELB完美工作,所以我至less知道我并不完全偏离轨道。 TL; DR如何回答我的问题 告诉我: 在通过TLS或Kerberos设置Kerberos时,我所做的是错误的 sssd不支持通过TLS的Kerberos 错误信息 这是从sssd的输出。 请注意,我编辑了IP地址。 (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307171: Sending request (218 bytes) to MYTEAM.MYCOMPANY.INTERNAL (Thu Dec 31 18:36:43 2015) [[sssd[krb5_child[2780]]]] [sss_child_krb5_trace_cb] (0x4000): [2780] 1451587003.307390: Initiating […]
在运行OpenSUSE 12.2的机器上,我们安装了OpenLDAP和sssd守护进程。 我们正在使用这两个服务进行用户身份validation。 最近我们创build了一个脚本,dynamic地为我们的虚拟主机创build新的networking用户,但现在我们正在处理一个问题。 似乎sssd使用某种caching,在getent passwd它返回已经从LDAP中删除的用户。 有时它不会立即返回最近创build的用户,因为它需要在脚本中进一步(用setfacl和chown设置权限)。 重新启动LDAP, sssd或nscd没有帮助,既不用sss_cache -U刷新caching。 我们尝试降低caching在sssdconfiguration,但它似乎不影响任何东西。 我们需要以某种方式在将新用户添加到LDAP或完全禁用caching后明确地刷新caching。 有没有人遇到类似的问题?
因此,在提出这个问题之后,我一直在testing驾驶FreeIPA作为基于这个问题的中央authentication源: pipe理对多个linux系统的访问 我遇到的一个问题是,如果一个用户被授予本地root权限,他们可以依次loginFreeIPA目录中的任何用户。 即使该用户无法通过HBAC规则访问该特定计算机。 示例场景: FreeIPA客户机PC1 。 FreeIPA中的两名用户:Bob和Alice。 Alice不允许通过HBAC规则访问PC1。 Bob在PC1上有本地根目录。 Bob可以在PC1上成为Alice。 我能find的唯一信息是在/etc/pam.d/su中注释掉这一行: auth sufficient pam_rootok.so 如果他试图:爱丽丝,现在问爱丽丝的密码的本地根 但是,如果Bob有root权限,他可以轻松地启用上面的PAM / su行。 FreeIPA不应该阻止Alice的账户访问PC1,无论是通过直接login企图还是本地root访问? 如何阻止本地根可以以任何FreeIPA用户身份login?
我已经build立了一个使用用户帐户的LDAP服务器。 我已经成功地configuration了一个Rails应用程序来对这个LDAP服务器进行身份validation。 我正在尝试configurationSSSD以对LDAP进行身份validation,但不喜欢单个用户的密码。 错误: $ su – leopetr4 Password: su: incorrect password SSSD识别用户,但不是密码: $ id leopetr4 uid=9583(leopetr4) gid=9583(leopetr4) groups=9583(leopetr4) 以下是用户logging的样子: # ldapsearch -x -W -D "cn=admin,dc=my_domain,dc=com" -H ldaps://my_hostname.my_domain.com "(uid=leopetr4)" Enter LDAP Password: # extended LDIF # # LDAPv3 # base <dc=my_domain,dc=com> (default) with scope subtree # filter: (uid=leopetr4) # requesting: ALL # # leopetr4, People, […]
我想用realmdjoinUbuntu 14.04 LTS的Active Directory域。 要做到这一点,我刚刚安装realmd和一些依赖这个命令: aptitude install realmd sssd sssd-tools samba-common krb5-user 。 安装后,我试图join我的领域与命令realm –verbose join ad.example.com -U Administrator要求的pipe理员密码,但他们坠毁与这个输出: * Resolving: _ldap._tcp.ad.example.com * Performing LDAP DSE lookup on: 10.7.0.2 * Successfully discovered: ad.example.com Password for Administrator: * Unconditionally checking packages * Resolving required packages * Installing necessary packages: samba-common-bin * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.QARGGX […]
在FreeBSD 10.0中运行Windows Server 2012 R2的Active Directory中使用sssd与AD后端与Kerberos TGT一起工作,对用户进行身份validation所需的步骤是什么?
我正在build立一个FreeIPA域名。 在我的实验室里有三台虚拟机:域控制器ipadc1 ,和两个客户puppet和wordpress (创意,是的,我知道)。 所有三个虚拟机都运行新安装的CentOS 6.4(FreeIPA 3.0.0)。 我已经安装了IPA服务器,创build了一个域,我们将在这里调用example.us ,启用DNS服务和自动DNS更新。 我已经成功将两个虚拟机join了域。 但dynamicDNS更新只能将AAAAlogging放入DNS中。 没有Alogging被插入。 dyanmic更新和BIND更新策略的DNS区域设置似乎也是正确的。 两个客户端虚拟机实际上都有 IPv4地址; puppet有一个静态的IPv4地址, wordpress从DHCP获取它的IPv4地址。 这似乎没有什么差别。 # ip as dev eth0 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000 link/ether 52:54:00:3c:d5:f5 brd ff:ff:ff:ff:ff:ff inet 172.25.50.227/24 brd 172.25.50.255 scope global eth0 inet6 2001:db8:16:bf:5054:ff:fe3c:d5f5/64 scope global dynamic valid_lft 86180sec preferred_lft 14180sec inet6 […]