Аутентификация OpenBSD 5.6 в Windows Server 2008R2 Active Directory?

Question

Аутентификация OpenBSD 5.6 в Windows Server 2008R2 Active Directory?

Как мне сделать openBSD для аутентификации на Windows server 2008R2? В настоящее время я установил Identity Management для Unix (IDMU). Также я установил login_ldap в openbsd. но я не знаю, что настраивать в клиенте openBSD и Windows Server 2008. Моя цель - создать учетные записи в структуре каталогов Windows Server и иметь возможность входить в систему с этими учетными записями с компьютера openbsd.

2

active-directory windows-server-2008 ldap authentication openbsd

Источник

Enmanuelh17 08 май '15 в 20:00

1 ответ

Другие вопросы по тегам active-directory windows-server-2008 ldap authentication openbsd

Aaron Mason 01 фев '16 в 06:13 2016-02-01 06:13 · Answer 1 · 2016-02-01 06:13

На самом деле, пакет, который вам нужен login_krb5, Другой пакет, который вам нужен, это heimdal пакет. Вам также нужно будет обновить до 5.7 как heimdal не доступен как пакет в 5.6.

Как только вы это сделали, скопируйте /usr/local/libexec/auth/login_krb5* в /usr/libexec/auth, Вам нужно будет это сделать, иначе процесс входа не сможет их найти.

Наконец, необязательный шаг заключается в добавлении /usr/local/heimdal/bin на ваш системный путь. Это позволит вам использовать инструменты Kerberos для тестирования вашей конфигурации. Если вы решите не делать этого, вам нужно будет указать полный путь к каждому из этих исполняемых файлов (например, /usr/local/heimdal/bin/ktutil)

После того, как вы сделали все это (или хотя бы первые два шага), вот что вы делаете (адаптировано из этой статьи):

Создайте новую учетную запись пользователя в своем домене AD - не создавайте учетную запись компьютера, поскольку она не будет работать. Присвойте ему любой пароль (он будет изменен позже) и отключите истечение срока действия пароля и его изменение.
Создайте свой keytab и установите случайный пароль (где myhost пользователь, которого вы создали, myhost.fqdn это имя вашего сервера и EXAMPLE.COM это ваш домен):
C:\> ktpass -out c:\temp\myhost.keytab -princhost/myhost.fqdn@EXAMPLE.COM -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass
Надежно скопируйте файл myhost.keytab на свой сервер и удалите локальную копию.
Скопируйте таблицу ключей в /etc/heimdal:
# ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab
Настройте файл конфигурации в /etc/heimdal/krb5.conf с нижеследующим - это тот самый минимум, который вам понадобится.
[libdefaults] clockskew = 300 default_realm = EXAMPLE.COM
[realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }
[domain_realm] .EXAMPLE.COM = EXAMPLE.COM
Убедитесь, что вы можете получить билет:
# kinit Administrator@EXAMPLE.COM Administrator@EXAMPLE.COM's Password:# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: Administrator@EXAMPLE.COM
Issued Expires Principal Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM
В /etc/login.conf, замените строку ниже:
:tc=auth-defaults:\
Со следующей строкой:
:auth=krb5-or-pwd:\
Это скажет системе использовать Kerberos для всех пользователей, кроме root. Если вход не выполнен, он возвращается к локальным паролям.
Создайте любых пользователей, которых вы хотите аутентифицировать с помощью Kerberos. Это должно быть сделано, если вы хотите использовать Kerberos - нет автоматического процесса. Неважно, какой пароль вы им дадите, так как он сначала проверит Kerberos.
Проверьте свои логины через SSH. Радуйтесь, что они работают.

Дайте мне знать, если вы застряли.