Аутентификация OpenBSD 5.6 в Windows Server 2008R2 Active Directory?
Как мне сделать openBSD для аутентификации на Windows server 2008R2? В настоящее время я установил Identity Management для Unix (IDMU). Также я установил login_ldap в openbsd. но я не знаю, что настраивать в клиенте openBSD и Windows Server 2008. Моя цель - создать учетные записи в структуре каталогов Windows Server и иметь возможность входить в систему с этими учетными записями с компьютера openbsd.
1 ответ
На самом деле, пакет, который вам нужен login_krb5
, Другой пакет, который вам нужен, это heimdal
пакет. Вам также нужно будет обновить до 5.7 как heimdal
не доступен как пакет в 5.6.
Как только вы это сделали, скопируйте /usr/local/libexec/auth/login_krb5*
в /usr/libexec/auth
, Вам нужно будет это сделать, иначе процесс входа не сможет их найти.
Наконец, необязательный шаг заключается в добавлении /usr/local/heimdal/bin
на ваш системный путь. Это позволит вам использовать инструменты Kerberos для тестирования вашей конфигурации. Если вы решите не делать этого, вам нужно будет указать полный путь к каждому из этих исполняемых файлов (например, /usr/local/heimdal/bin/ktutil
)
После того, как вы сделали все это (или хотя бы первые два шага), вот что вы делаете (адаптировано из этой статьи):
Создайте новую учетную запись пользователя в своем домене AD - не создавайте учетную запись компьютера, поскольку она не будет работать. Присвойте ему любой пароль (он будет изменен позже) и отключите истечение срока действия пароля и его изменение.
Создайте свой keytab и установите случайный пароль (где
myhost
пользователь, которого вы создали,myhost.fqdn
это имя вашего сервера иEXAMPLE.COM
это ваш домен):C:\> ktpass -out c:\temp\myhost.keytab -princhost/myhost.fqdn@EXAMPLE.COM -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass
Надежно скопируйте файл myhost.keytab на свой сервер и удалите локальную копию.
Скопируйте таблицу ключей в
/etc/heimdal
:# ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab
Настройте файл конфигурации в
/etc/heimdal/krb5.conf
с нижеследующим - это тот самый минимум, который вам понадобится.[libdefaults] clockskew = 300 default_realm = EXAMPLE.COM
[realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }
[domain_realm] .EXAMPLE.COM = EXAMPLE.COM
Убедитесь, что вы можете получить билет:
# kinit Administrator@EXAMPLE.COM Administrator@EXAMPLE.COM's Password:
# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: Administrator@EXAMPLE.COM
Issued Expires Principal Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM
В
/etc/login.conf
, замените строку ниже::tc=auth-defaults:\
Со следующей строкой:
:auth=krb5-or-pwd:\
Это скажет системе использовать Kerberos для всех пользователей, кроме root. Если вход не выполнен, он возвращается к локальным паролям.
Создайте любых пользователей, которых вы хотите аутентифицировать с помощью Kerberos. Это должно быть сделано, если вы хотите использовать Kerberos - нет автоматического процесса. Неважно, какой пароль вы им дадите, так как он сначала проверит Kerberos.
Проверьте свои логины через SSH. Радуйтесь, что они работают.
Дайте мне знать, если вы застряли.