我们正在尝试将Linux机器(debian 4.0)绑定到W2k3 AD。我们已经正确配置了Kerberos,以便可以获取TGT,并且用户可以正确进行身份验证。然而,PAM似乎是个棘手的问题。例如,当我们尝试作为AD用户之一通过SSH连接到Linux机器时,身份验证成功(根据auth.log),但我从未获得shell。默认环境已正确配置,PAM甚至可以正确创建Homedir。作为参考,我们松散地遵循以下链接:https://help.ubuntu.com/community/ActiveDirectoryHowto。
使用kerberos将Linux绑定到Active Directory
4
- Roe
1
这是编程吗?这个问题在Ubuntu论坛上更适合吗? - Guy
4个回答
1
如果您确信除了PAM之外的一切都正常工作,我建议将debug选项传递给pam_krb5.so,以查看是否能够得出发生了什么的线索。
我还建议使用nss-ldap进行正确设置的验证。
我还建议使用nss-ldap进行正确设置的验证。
getent passwd avalidusername
- Pontus
0
POSIX账户要求在用户账户中设置一个有效的shell。使用LDAP时,这由属性loginShell引用。您需要使用PAM并将适当的属性映射到配置中的loginShell,或者在DC上激活MS服务以扩展AD模式以包括所需的POSIX属性。
请参阅http://www.ietf.org/rfc/rfc2307.txt作为LDAP的RFC2307定义的参考。
- s00th
0
一个简单的解决方案.. pam_krb5+ldap 项目
pam_krb5+ldap 项目是 pam_krb5 PAM 模块的一个分支,它提供了非常方便的配置方式,使得 Linux 客户端可以对现有的 Active Directory 域和/或 OpenLDAP 服务器进行身份验证。
- jas
0
我曾在我们的服务器上使用Likewise来完成类似的工作。以下是我们用于配置它的过程:
安装Likewise:
$ sudo apt-get update
$ sudo apt-get install likewise-open
加入域(假设域名为"domain.local")
$ sudo domainjoin-cli join domain.local Administrator
$ sudo update-rc.d likewise-open defaults
$ sudo /etc/init.d/likewise-open start
假设您正在使用sudo并希望AD用户能够拥有sudoer权限,则需要编辑sudoers文件。可以使用以下命令完成此操作:
$ sudo visudo
然后将以下内容添加到文件末尾(假设域名为“DOMAIN”,所有应该具备sudo权限的用户都在Active Directory中名为“linux_admin”的组中):
%DOMAIN\\linux_admin ALL=(ALL) ALL
- fuzzymonk
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接
- 相关问题
- 4 我应该使用域名还是域控制器名称绑定到Active Directory?
- 11 使用PHP进行安全绑定到Active Directory时出现问题
- 3 使用Unbound ID通过SSL绑定到Active Directory
- 4 Active Directory
- 10 检验和失败:Kerberos / Spring / Active Directory(2008)
- 12 通过Kerberos认证与Active Directory通信
- 4 使用Kerberos进行PHP Active Directory身份验证
- 3 将Active Directory架构创建到OpenLDAP中
- 15 Java单点登录:针对Active Directory的Kerberos身份验证
- 3 使用Active Directory用户主体名称进行Java Kerberos身份验证