Аутентификация OpenBSD 5.6 в Windows Server 2008R2 Active Directory?

Как мне сделать openBSD для аутентификации на Windows server 2008R2? В настоящее время я установил Identity Management для Unix (IDMU). Также я установил login_ldap в openbsd. но я не знаю, что настраивать в клиенте openBSD и Windows Server 2008. Моя цель - создать учетные записи в структуре каталогов Windows Server и иметь возможность входить в систему с этими учетными записями с компьютера openbsd.

1 ответ

На самом деле, пакет, который вам нужен login_krb5, Другой пакет, который вам нужен, это heimdal пакет. Вам также нужно будет обновить до 5.7 как heimdal не доступен как пакет в 5.6.

Как только вы это сделали, скопируйте /usr/local/libexec/auth/login_krb5* в /usr/libexec/auth, Вам нужно будет это сделать, иначе процесс входа не сможет их найти.

Наконец, необязательный шаг заключается в добавлении /usr/local/heimdal/bin на ваш системный путь. Это позволит вам использовать инструменты Kerberos для тестирования вашей конфигурации. Если вы решите не делать этого, вам нужно будет указать полный путь к каждому из этих исполняемых файлов (например, /usr/local/heimdal/bin/ktutil)

После того, как вы сделали все это (или хотя бы первые два шага), вот что вы делаете (адаптировано из этой статьи):

  1. Создайте новую учетную запись пользователя в своем домене AD - не создавайте учетную запись компьютера, поскольку она не будет работать. Присвойте ему любой пароль (он будет изменен позже) и отключите истечение срока действия пароля и его изменение.

  2. Создайте свой keytab и установите случайный пароль (где myhost пользователь, которого вы создали, myhost.fqdn это имя вашего сервера и EXAMPLE.COM это ваш домен):

    C:\> ktpass -out c:\temp\myhost.keytab -princhost/myhost.fqdn@EXAMPLE.COM -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass

  3. Надежно скопируйте файл myhost.keytab на свой сервер и удалите локальную копию.

  4. Скопируйте таблицу ключей в /etc/heimdal:

    # ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab

  5. Настройте файл конфигурации в /etc/heimdal/krb5.conf с нижеследующим - это тот самый минимум, который вам понадобится.

    [libdefaults] clockskew = 300 default_realm = EXAMPLE.COM

    [realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }

    [domain_realm] .EXAMPLE.COM = EXAMPLE.COM

  6. Убедитесь, что вы можете получить билет:

    # kinit Administrator@EXAMPLE.COM Administrator@EXAMPLE.COM's Password:# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: Administrator@EXAMPLE.COM

    Issued Expires Principal Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM

  7. В /etc/login.conf, замените строку ниже:

    :tc=auth-defaults:\

    Со следующей строкой:

    :auth=krb5-or-pwd:\

    Это скажет системе использовать Kerberos для всех пользователей, кроме root. Если вход не выполнен, он возвращается к локальным паролям.

  8. Создайте любых пользователей, которых вы хотите аутентифицировать с помощью Kerberos. Это должно быть сделано, если вы хотите использовать Kerberos - нет автоматического процесса. Неважно, какой пароль вы им дадите, так как он сначала проверит Kerberos.

  9. Проверьте свои логины через SSH. Радуйтесь, что они работают.

Дайте мне знать, если вы застряли.

Другие вопросы по тегам