Como usar o Active Directory para autenticar usuários do Linux

7

Quais são as melhores práticas para usar o Active Directory para autenticar usuários em caixas linux (Debian)?

A maneira que eu gostaria que funcionasse seria adicionar usuários AD a um grupo - digamos, administradores linux ou servidor web linux , e com base em sua participação em grupo, eles / Não seria concedido acesso a um determinado servidor. Idealmente, a conta raiz seria a única mantida da maneira padrão.

Meus objetivos ao fazer isso são os seguintes:

  • Para permitir alterações de senha em um só lugar
  • Para conceder automaticamente a certas pessoas acesso aos servidores linux usando suas credenciais do AD
  • Para consolidar todas as informações do usuário em um banco de dados

As coisas que eu quero evitar são:

  • algo difícil / contra-intuitivo para o administrador do Active Directory gerenciar
  • bloqueando os usuários se os servidores do AD estiverem inacessíveis por algum motivo (isto é, precisar armazenar as credenciais em cache de alguma forma)
  • algo muito complexo ou não padrão que será quebrado da próxima vez que eu fizer upgrade do servidor.
por Brent 10.06.2009 / 22:02

5 respostas

4

Veja também Clientes Linux em domínios do Windows e Como é prático autenticar um servidor Linux em AD?

    
por 10.06.2009 / 22:11
4

O software que você está procurando é chamado Likewise-open.

Da página deles:

  • Une sistemas não Windows a domínios do Active Directory em uma única etapa a partir da linha de comando ou de uma GUI
  • Autentica usuários com um único nome de usuário e senha no Windows e fora do Windows
  • Aplica as mesmas políticas de senha para usuários que não são Windows e usuários do Windows
  • Suporta várias florestas com relações de confiança entre florestas unidirecionais e bidirecionais
  • Crachás em cache para o caso de o seu controlador de domínio ficar inativo
  • Fornece conexão única para SSH e Putty
  • Mecanismo de autenticação de última geração compatível com Kerberos, NTLM e SPNEGO
  • Nenhuma alteração de esquema no Active Directory é necessária

Nós o usamos em algumas máquinas aqui e parece funcionar bem.

link

    
por 10.06.2009 / 22:12
3

Eu usei o Likewise-Open e descobri que ele é bugs e não é muito confiável. No ano passado, mudei para o Centrify, tanto para Linux quanto para Mac, e não tive que mexer muito com isso. Eu prefiro a configuração do arquivo conf do Centrify à configuração do arquivo de registro do Likewise-Open que requer manipulação com ferramentas externas.

link

    
por 01.05.2012 / 17:08
3

Não há motivos para você usar qualquer software externo na maioria das distribuições.

Para o Debian / Ubuntu você pode fazê-lo com libnss-ldap e libpam-krb5. Existem alguns truques para conseguir 100%. Isso pressupõe que você tenha "unixHomeDirectory" preenchido para usuários Linux, suas caixas Linux estão usando NTP comum com seus sistemas Windows (requerido pelo Kerberos) e que você está OK com pesquisas NSS de texto simples (não senha, mas informações de associação ao grupo etc - você também pode use TLS, mas isso é mais complicado de configurar). Você NÃO deve ter o pam_ldap como senha ou fonte de autenticação no PAM, a menos que esteja configurado para usar o TLS.

/etc/ldap.conf

# LDAP Configuration for libnss-ldap and libpam-ldap.
# Permit host to continue boot process with out contacting LDAP server
bind_policy soft
# Define LDAP servers to use for queries, these must be Global Catalog servers
uri ldap://ldap.site.company.local
# Define root search location for queries
base dc=company,dc=local
#debug 1
# LDAP version, almost always going to be v3, it is quite mature
ldap_version 3
# Username used to proxy authentication. You can have this in a separate file owned by root for security OR use TLS/SSL (see man page)
# Do NOT use LDAP for authentication if you are using plain text binds, use Kerberos instead (and LDAP for authorization only). See libpam-krb5.
binddn cn=ldap-auth-svc,ou=ldap,ou=services,dc=site,dc=company,dc=local
# Password for proxy acct
bindpw SooperSekeretPazzwerd
#  TCP port to perform queries on, 3268 is a Global Catalog port which will reply for all users in *.company.local
port 3268
# Search range scope (sub = all)
scope sub
# Tell the client to close TCP connctions after 30 seconds, Windows will do this on the server side anyways, this will prevent errors from showing up in the logs.
 idle_timelimit 30
# Expect queries for group membership to return DN for group members instead of usernames (lets you use MSAD group membership seamlessly)
nss_schema rfc2307bis
# Filters - User accounts must have a UID >= 2000 to be recognized in this configuration and must have a unixHomeDirectory defined.
nss_base_group dc=company,dc=local?sub?&(objectClass=group)(gidNumber=*)
nss_base_user dc=company,dc=local?sub?&(objectClass=user)(!(objectClass=localputer))(uidNumber>=2000)(unixHomeDirectory=*)
nss_base_shadow dc=company,dc=local?sub?&(objectClass=user)(!(objectClass=localputer))(uidNumber>=2000)(unixHomeDirectory=*)
# Object Class mappings.  You may want to have the posixAccount to map to "mail" and have users login with their email addresses, i.e.  "nss_map_objectclass posixAccount mail".
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_objectclass posixGroup group
# Attribute mappings.
nss_map_attribute uniqueMember member
nss_map_attribute uid sAMAccountName
nss_map_attribute homeDirectory unixHomeDirectory
nss_map_attribute shadowLastChange pwdLastSet
# Attribute in LDAP to query to match the username used by PAM for authentication
pam_login_attribute sAMAccountName
# Filter for objects which are allowed to login via PAM
pam_filter objectclass=User

Você não deve precisar editar o /etc/krb5.conf assumindo que suas caixas Linux estão usando servidores DNS que conhecem o AD (as zonas _msdcs com os registros SRV apropriados são resolvíveis)

/etc/nsswitch.conf deve ter "arquivos ldap" para usuários, grupos, sombra.

Para Red Hat usando SSSD:

/etc/sssd/sssd.conf

[domain/AD]
id_provider = ldap
auth_provider = krb5
chpass_provider = krb5
access_provider = ldap

ldap_uri = ldap://ldap.company.local:3268/
ldap_search_base = dc=company,dc=com
ldap_default_bind_dn = cn=ldap-auth-svc,ou=ldap,ou=services,dc=site,dc=company,dc=local
ldap_default_authtok = SooperSekeretPazzwerd
ldap_schema = rfc2307bis
ldap_user_object_class = user
ldap_group_object_class = group
ldap_user_name = sAMAccountName
ldap_user_home_directory = unixHomeDirectory
enumerate = true
ldap_tls_reqcert = never
ldap_tls_cacertdir = /etc/openldap/cacerts

ldap_id_use_start_tls = False
cache_credentials = True
krb5_realm = SITE.COMPANY.COM
case_sensitive = false
[sssd]
services = nss, pam
config_file_version = 2

domains = AD
[nss]
filter_users = root,named,avahi,nscd
    
por 15.08.2013 / 15:59
0

Você deve avaliar o raio. Configure as caixas de linux para usar o pam-radius e instale o plugin NPS do radius do MS. Ele vai falar com o AD. Você pode obter uma visão geral no pdf eguide aqui: link (no reg) . Apenas ignore os bits de autenticação de dois fatores.

    
por 05.02.2013 / 20:02