Active Directory: Server 2008 e RHEL 5.10

5

Desculpas se isso é um re-post. Eu estive pesquisando e pesquisando o tópico por mais de três semanas e eu enfrentei o mesmo problema várias vezes e não consegui contornar isso.

Aviso: Eu não sou um administrador de sistemas, embora tenha sido forçado a entrar no cargo no trabalho.

Fui encarregado de implementar uma configuração do Active Directory (no Server 2008) para o ambiente que contém as caixas do Windows XP, Windows 7, Server 2003, Servidor 2008, Server 2008 R2 e Red Hat Enterprise 5.10. Bastante fácil. Obtenha um guia rápido on-line, configure um servidor VM de teste, conecte meu cliente Win7 ao meu novo AD. Obras.

Repita, mas tente conectar uma VM do RHEL 5.10 ao AD? Sem dados.

Eu segui cerca de três guias diferentes sobre como configurar o Linux para se conectar ao AD. O mais completo seria: Autenticando o UNIX / Linux no Windows 2008R2 Especificamente, a configuração do RHEL: Parte 3: RHEL 5.6

Plano de ataque listado:

  1. Faça o ldapsearch funcionar com uma ligação simples, não criptografada
  2. Configurar LDAP
  3. Verifique se o LDAP funciona com getent (1), id (1), etc
  4. Exportar o certificado da CA raiz do Windows para o UNIX
  5. Verifique se o certificado da CA funciona com o OpenSSL
  6. Importar o certificado da CA
  7. Obtenha o LDAPS trabalhando com o ldapsearch
  8. Alterar o LDAP para usar LDAPS em vez de LDAP
  9. Verificar se o Kerberos funciona: Inicialmente, sem um host principal (krb5.keytab)
  10. Configure o PAM para usar o Kerberos (edit /etc/pam.conf)
  11. Verifique se serviços como login podem usar IDs kerberizados e se a senha funciona
  12. Crie um keytab principal do host no Windows. Importe-o para o UNIX.
  13. Verifique se kinit -k funciona
  14. Edite /etc/krb5/krb5.conf para incluir “verify_ap_req_nofail = true” na seção [libdefaults]. Isso protegerá a caixa do UNIX para provar que está falando com o KDC de ossos quebrados.
  15. Obtenha o logon único em funcionamento

Seguiu as etapas palavra por palavra, alterando IPs e Hostnames para corresponder ao meu ambiente de teste. Uma exceção foi feita:

C:\>ktpass /princ host/[email protected] \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1

Recebi a mensagem de erro: recebendo o domínio de destino para o usuário especificado.

C:\>ktpass /princ host/[email protected] \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1$

Especifique uma conta de máquina com o sinal de dólar e o KTPASS seja executado sem erros.

Tudo funciona 100% até testarmos o Kerberos:

[root@rhelad ~]# kinit -k
kinit(v5): Client not found in Kerberos database while getting initial credentials

OK, google o erro e conseguimos:

Your kerberos principal may differ from your username on your local system.

credentials krb5_get_init_creds_password() failed: Client not found in Kerberos database Make sure that you're typing in the right name and the server has the right name (double check the account tab of the user, especially the realm)

Então eu verifiquei e toquei e pesquisei e não consegui nada. De acordo comigo a configuração no RHEL está correta e eu tenho o computador e as contas de usuário criadas no AD, sem problemas.

Minha suposição aqui é que configurei o RHEL corretamente, mas baguncei algum lugar na criação da configuração de clientes baseados no RHEL no AD. Sim, eu habilitei e configurei os atributos do UNIX, então não é isso.

Alguém poderia me indicar / mostrar as etapas corretas para adicionar e configurar computadores e usuários UNIX no AD? Eu ficaria feliz em 'despejar' configurações, se assim o desejar.

    
por ShadowedR 01.12.2014 / 09:15

1 resposta

0

Você pode simplificar sua vida usando uma ferramenta como o Powerbroker Identity Services ou o PBIS. Eles têm uma versão de código aberto disponível em seu site link

Isto é o que eu estou usando atualmente no trabalho para unir nossos hosts linux ao AD e isso funcionou para mim em várias versões do centos e do ubuntu.

    
por 09.02.2015 / 01:44