Авторизация в Active Directory через ssh

0

1

Есть машина, на ней CentOS 6.4, машина введена в домен, на ней можно авторизоваться доменным аккаунтом. Но подключение по ssh не проходит. Для ssh что-то нужно дополнительно настроить?

Ссылка

←	Соорудить хитро*опый DNS

Не поднимается IPsec tunnel

→

смотреть в pam, вообще вводить в домен не обязательно, достаточно поставить pam_krb5 и авторизоваться через него.

blind_oracle ★★★★★
(05.02.14 10:52:34 MSK)

В /etc/pamd.d/ssh(d) нужно по аналогии с файлом в pam.d, имеющим отношение к авторизации в системе в целом, прописать так же строки для разрешения авторизации через ldap, что-то вроде:

auth    sufficient      pam_ldap.so
account sufficient      pam_permit.so

kostik87 ★★★★★
(05.02.14 10:53:33 MSK)

Ссылка

Ответ на: комментарий от blind_oracle 05.02.14 10:52:34 MSK

Поставил, отредактировал pam.d/system-auth-ac:


auth        required      pam_env.so
auth		required	pam_krb5.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        required      pam_deny.so

account		required	pam_krb5.so
account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 500 quiet
account     required      pam_permit.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password	sufficient	pam_krb5.so use_authok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
session		sufficient	pam_krb5.so

при попытке авторизоваться доменным аккаунтом пишет в secure:

Feb  5 14:22:44 ad-centos-1 login: pam_krb5[1735]: error resolving user name 'user01' to uid/gid pair
Feb  5 14:22:44 ad-centos-1 login: pam_krb5[1735]: error getting information about 'user01'
Feb  5 14:22:44 ad-centos-1 login: pam_unix(login:auth): check pass; user unknown
Feb  5 14:22:44 ad-centos-1 login: pam_succeed_if(login:auth): error retrieving information about user user01
Feb  5 14:22:46 ad-centos-1 login: FAILED LOGIN 2 FROM (null) FOR user01, User not known to the underlying authentication module

krb5.conf:


[logging]
 default = FILE:/var/log/krb5libs.log
 kdc = FILE:/var/log/krb5kdc.log
 admin_server = FILE:/var/log/kadmind.log

[libdefaults]
 default_realm = AD-CENTOS.LOCAL
 dns_lookup_realm = false
 dns_lookup_kdc = false
 ticket_lifetime = 24h
 renew_lifetime = 7d
 forwardable = true

[realms]
 AD-CENTOS.LOCAL = {
  kdc = AD-CENTOS.LOCAL
  admin_server = AD-CENTOS.LOCAL
 }

[domain_realm]
 .AD-CENTOS.LOCAL = AD-CENTOS.LOCAL
 AD-CENTOS.LOCAL = AD-CENTOS.LOCAL

# kinit -V user01
Using default cache: /tmp/krb5cc_0
Using principal: user01@AD-CENTOS.LOCAL
Password for user01@AD-CENTOS.LOCAL: 
Authenticated to Kerberos v5

pianolender ★★★
(05.02.14 14:24:57 MSK) автор топика

Ссылка

а как в домен-то вводил? обычно хватает sssd настроить, и тогда всё работает само, но у меня поиск по треду не находит sss.

anonymous
(05.02.14 14:52:35 MSK)

Ответ на: комментарий от anonymous 05.02.14 14:52:35 MSK

winbind использовал. настроил kerberos, самбу, nsswitch, а потом сказал «net ads join -U администратор»

pianolender ★★★
(05.02.14 15:23:50 MSK) автор топика

Ответ на: комментарий от pianolender 05.02.14 15:23:50 MSK

тогда переделывай всё, так будет лучше

anonymous
(05.02.14 15:25:05 MSK)

/etc/nsswitch.conf поправил?

Kiborg ★★★
(05.02.14 15:34:18 MSK)

Ответ на: комментарий от Kiborg 05.02.14 15:34:18 MSK

Да, но, видать, неправильно. Что именно там должно стоять?

pianolender ★★★
(05.02.14 16:14:23 MSK) автор топика

Ответ на: комментарий от anonymous 05.02.14 15:25:05 MSK

Что, ещё раз все то же самое сначала сделать?

pianolender ★★★
(05.02.14 16:14:46 MSK) автор топика

Ответ на: комментарий от pianolender 05.02.14 16:14:23 MSK

у меня так:

...
passwd:   compat winbind
group:    compat winbind
shadow:   compat
...

Кроме того, в /etc/pam.d/sshd:

@include common-auth

а в common-auth:

auth	[success=2 default=ignore]	pam_unix.so nullok_secure
auth	[success=1 default=ignore]	pam_winbind.so <кучапараметров>

Есть еще pam-auth-update, которые рулит конфигами в /etc/pam.d.

Kiborg ★★★
(05.02.14 16:43:59 MSK)

Ссылка

Ответ на: комментарий от pianolender 05.02.14 16:14:46 MSK

да, и это будет правильно, а самба нафиг не нужна

anonymous
(05.02.14 16:45:46 MSK)

Ссылка

Ответ на: комментарий от pianolender 05.02.14 16:14:46 MSK

sssd настраивается за 5 минут без всяких самб с винбиндами. На сайте проекта сайте есть хорошая дока

user_undefined ★
(05.02.14 21:04:42 MSK)

Ответ на: комментарий от user_undefined 05.02.14 21:04:42 MSK

И при этом по ssh можно ходить будет с учёткой из AD?

imul ★★★★★
(05.02.14 21:11:27 MSK)

Ответ на: комментарий от imul 05.02.14 21:11:27 MSK

да, в принципе все что использует pam сможет ходить под учетками из AD

user_undefined ★
(06.02.14 12:05:14 MSK)

Ответ на: комментарий от user_undefined 06.02.14 12:05:14 MSK

То есть всё-таки pam_ldap.

imul ★★★★★
(06.02.14 16:02:49 MSK)

Ответ на: комментарий от imul 06.02.14 16:02:49 MSK

нет, только pam_sss, что-то типа такого получается

...
auth        required      pam_env.so
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 500 quiet
auth        sufficient    pam_sss.so use_first_pass
auth        required      pam_deny.so

password    requisite     pam_cracklib.so try_first_pass retry=3 type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    sufficient    pam_sss.so use_authtok
password    required      pam_deny.so
...

user_undefined ★
(06.02.14 17:29:08 MSK)

Ответ на: комментарий от user_undefined 06.02.14 17:29:08 MSK

+ примерно такого вида конфиг sssd.conf

# vim: set filetype=config
[sssd]
config_file_version = 2
reconnection_retries = 3
sbus_timeout = 30
services = nss, pam
domains = EXAMPLE 
#debug_level = 3
debug_level = 9

[nss]
filter_groups = root,zabbix,nginx,bacmon
filter_users = root,zabbix,nginx,bacmon
reconnection_retries = 3

# The entry_cache_timeout indicates the number of seconds to retain an
# entry in cache before it is considered stale and must block to refresh.
# The entry_cache_nowait_timeout indicates the number of seconds to
# wait before updating the cache out-of-band. (NSS requests will still
# be returned from cache until the full entry_cache_timeout). Setting this
# value to 0 turns this feature off (default).
#entry_cache_timeout = 600
#entry_cache_nowait_timeout = 300

[pam]
reconnection_retries = 3


[domain/EXAMPLE]
description = example domain
enumerate = False
min_id = 1000
debug_level = 9

access_provider = ldap 
auth_provider = krb5
chpass_provider = krb5
id_provider = ldap


ldap_search_base = dc=example,dc=ru

ldap_tls_cacertdir = /etc/openldap/certs
ldap_schema = rfc2307bis
ldap_default_bind_dn = CN=user,OU=Service accounts,OU=Accounts,DC=example,DC=ru
ldap_default_authtok_type = password
ldap_default_authtok = pwd

#ldap_uri = ldaps://srvdc001.example.ru/, ldaps://srvdc001.example.ru/

ldap_access_filter = memberOf:1.2.840.113556.1.4.1941:=CN=SERVER,OU=UNIX Hosts,OU=Access groups,DC=example,DC=ru

ldap_user_search_base = OU=Accounts,DC=example,DC=ru
ldap_user_object_class = user

ldap_group_search_base = OU=UNIX Groups,OU=Access groups,DC=example,DC=ru
ldap_group_object_class = group


ldap_user_name = sAMAccountName
ldap_user_uid_number = uidNumber
ldap_user_gid_number = gidNumber
ldap_user_home_directory = unixHomeDirectory
ldap_user_shell = loginShell
ldap_user_principal = userPrincipalName
ldap_group_object_class = group

ldap_force_upper_case_realm = True

cache_credentials = True
ldap_id_use_start_tls = False

#krb5_password = srvdc001.example.ru
#krb5_server = srvdc001.example.ru
krb5_canonicalize = false
krb5_realm = EXAMPLE.RU

user_undefined ★
(06.02.14 17:41:08 MSK)

Ответ на: комментарий от user_undefined 06.02.14 17:41:08 MSK

осталось прийти и его зарплату забрать в кассе

anonymous
(06.02.14 17:48:25 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Соорудить хитро*опый DNS

Admin

Не поднимается IPsec tunnel

→

Похожие темы