Ubuntu mit AD Login

Hallo zusammen,

bin aktuell dabei einen Linux Rechner aufzusetzen und möchte dass bestimmte AD User sich dort mit AD Konto anmelden können und auch sudo nutzen können.

Damit die User sich anmelden können habe ich mich an folgende Anleitung gehalten:

Utilising Kerberos/AD auth in Ubuntu 14.04 with realmd - Myles Gray

Funktioniert soweit auch fast alles. Bevor ich ein realm deny mache logge ich mich mit meinem Admin Account ein --> klappt.

Wenn ich dann Versuche die AD Gruppe mit folgendem Code zu berechtigen kann ich mich nicht einloggen
.
Code:
realm permit -R domain.example.com -g Linux_Users

Als Lösung habe ich meinen User mittels realm permit domain\\user berechtigt. Einloggen klappt aber immer noch nicht obwohl eine AD Gruppe in der mein Account ist in den sudoers hinterlegt ist (jede Zeile wurde einzeln getestet)

Code:
%linux_admins        ALL=(ALL) ALL
%linux_admins        ALL=(ALL:ALL) ALL
%linux_admins@herrenknecht.com        ALL=(ALL) ALL
%linux_admins@herrenknecht.com        ALL=(ALL:ALL) ALL

Jetzt stehe ich leider auf dem schlauch wie ich das hinbekomme dass ich User über Gruppen Berechtigen kann. Würde mich über Tipps/Tricks freuen.

Falls weiter Infos notwendig sein sollten bitte bescheid sagen, ich stelle diese dann schnellstmöglich bereit.

Gruß
Chris
 
Ausgaben sind drinne, aber ich werde nicht ganz schlau daraus.

1. Erfolgreiche Anmeldung mit gefolgtem sudo su - root sieht wie folgt aus:
Code:
May 22 08:12:03 Ubuntuserver sshd[8494]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne  user=Domäne\Username
May 22 08:12:04 Ubuntuserver sshd[8494]: pam_sss(sshd:auth): authentication success; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne user=Domäne\Username
May 22 08:12:09 Ubuntuserver sshd[8494]: Accepted password for Domäne\\Username from x.x.x.x port 53495 ssh2
May 22 08:12:09 Ubuntuserver sshd[8494]: pam_unix(sshd:session): session opened for user Domäne\Username by (uid=0)
May 22 08:12:41 Ubuntuserver sudo: Username : problem with defaults entries ; TTY=pts/1 ; PWD=/home/Domäne/Username ;
May 22 08:12:44 Ubuntuserver sudo: pam_unix(sudo:auth): authentication failure; logname=Username uid=2243480 euid=0 tty=/dev/pts/1 ruser=Username rhost=  user=Username
May 22 08:12:44 Ubuntuserver sudo: pam_sss(sudo:auth): authentication success; logname=Username uid=2243480 euid=0 tty=/dev/pts/1 ruser=Username rhost= user=Username
May 22 08:12:44 Ubuntuserver sudo: Username : TTY=pts/1 ; PWD=/home/Domäne/Username ; USER=root ; COMMAND=/bin/su - root
May 22 08:12:44 Ubuntuserver sudo: pam_unix(sudo:session): session opened for user root by Username(uid=0)
May 22 08:12:44 Ubuntuserver su[8665]: Successful su for root by root
May 22 08:12:44 Ubuntuserver su[8665]: + /dev/pts/1 root:root
May 22 08:12:44 Ubuntuserver su[8665]: pam_unix(su:session): session opened for user root by Username(uid=0)
May 22 08:14:20 Ubuntuserver sshd[8695]: Connection closed by 127.0.0.1 [preauth]

Hier bin ich etwas verundert dass er erstmal sagt dass er einen authentication failure hat. Ist das normal weil er erstmal versucht den User mit "Lokalen" Login Daten anzumelden?

2. Anmeldung mit existierendem User der sich nicht einloggen kann.
Einmal mit Domäne\User versucht, einmal mit User@Domäne
Code:
May 22 08:15:43 Ubuntuserver sshd[8705]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne  user=Domäne\User
May 22 08:15:43 Ubuntuserver sshd[8705]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne user=Domäne\User
May 22 08:15:43 Ubuntuserver sshd[8705]: pam_sss(sshd:auth): received for user Domäne\User: 17 (Failure setting user credentials)
May 22 08:15:45 Ubuntuserver sshd[8705]: Failed password for Domäne\\User from x.x.x.x port 46316 ssh2
May 22 08:16:10 Ubuntuserver sshd[8709]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne  user=User@Domäne
May 22 08:16:10 Ubuntuserver sshd[8709]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne user=User@Domäne
May 22 08:16:10 Ubuntuserver sshd[8709]: pam_sss(sshd:auth): received for user User@Domäne: 17 (Failure setting user credentials)
May 22 08:16:12 Ubuntuserver sshd[8709]: Failed password for User@Domäne from x.x.x.x port 46317 ssh2
May 22 08:17:01 Ubuntuserver CRON[8712]: pam_unix(cron:session): session opened for user root by (uid=0)
May 22 08:17:01 Ubuntuserver CRON[8712]: pam_unix(cron:session): session closed for user root

Hier lehnt er zwar ab was sich ja auch mit dem Ergebnis deckt, aber ich verstehe nicht warum. Der User ist in der berechtigten Gruppe drinne, sollte also EIGENTLICH klappen.

3. User der nicht existiert
Code:
May 22 08:27:41 Ubuntuserver sshd[9066]: Invalid user hanswurst from x.x.x.x
May 22 08:27:41 Ubuntuserver sshd[9066]: input_userauth_request: invalid user hanswurst [preauth]
May 22 08:27:43 Ubuntuserver sshd[9066]: pam_unix(sshd:auth): check pass; user unknown
May 22 08:27:43 Ubuntuserver sshd[9066]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne
May 22 08:27:43 Ubuntuserver sshd[9066]: pam_sss(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=Client.Domäne user=hanswurst
May 22 08:27:43 Ubuntuserver sshd[9066]: pam_sss(sshd:auth): received for user hanswurst: 10 (User not known to the underlying authentication module)
May 22 08:27:45 Ubuntuserver sshd[9066]: Failed password for invalid user hanswurst from x.x.x.x port 47834 ssh2

War lediglich als Versuchszweck um zu sehen wie er reagiert. Weiß nicht ob die Daten bei Analysezwecken weiterhelfen oder ob das so die Standartausgabe ist.

Gruß
Chris
 
Kannst du denn die User-Daten mittels getent abrufen? Oftmals bekommt man dabei auch die besseren Fehlermeldungen.
 
Bin mir jetzt nicht ganz sicher wie du meinst.

Habe eben mit
Code:
getent passwd User
probiert und die folgende Ausgabe erhalten
Code:
User:*:2243480:2200513:User:/home/Domne/User:/bin/bash

Das war für einen User der sich schon Anmelden konnte
wenn ich das für einen User mache der nicht in der Datei steht kommt weder eine Ausgabe noch eine Fehlermeldung.

Wenn ich nur getent passwd eingebe bekomme ich lediglich die Lokalen Nutzer angezeigt.

Hab ich das jetzt falsch verstanden, oder passt das so.
Die Googel Suche hat mit bei getent nur zu den Befeheln gebracht die ich oben gepostet hat.

Gruß
Chris
 
Das lässt eigentlich nur den Rückschluss zu, dass der AD-Server nicht korrekt erreicht werden kann. Wie ist denn pam_sss bei dir eingetragen (grep -r sss /etc/pam*)?
 
Entschuldigung für die späte Antwort. War gestern noch im Urlaub.

Code:
/etc/pam.d/common-session:session       optional                        pam_sss.so
/etc/pam.d/common-password:password     sufficient                      pam_sss.so use_authtok
/etc/pam.d/common-account:account       [default=bad success=ok user_unknown=ignore]    pam_sss.so
/etc/pam.d/common-auth:auth     [success=1 default=ignore]      pam_sss.so use_first_pass

Hoffe die Ausgabe passt so

gruß
Chris
 
Diesmal kommt meine Antwort auch nicht schneller. Hatte mit AD-Logins auf Linux zu lange nichts mehr zu tun und musste nochmal einiges nachschlagen. Soweit ich das einschätzen kann, sehe ich seitens des Linux-Rechners aber erstmal keinen Fehler. Ich kann mir daher nur 2 Fehler vorstellen. Entweder ist die Zeit der beiden Rechner (AD-Server und Linux-Client) nicht synchron oder der Linux-Client kann nicht ungehindert auf alle Ports des AD zugreifen. Dass du sssd und Kerberos korrekt installiert und konfiguriert hast, nehme ich dabei erstmal an. Das Howto geht da ja leider nur rudimentär drauf ein, aber die Default-Config von Ubuntu ist ja eigentlich recht brauchbar und der kinit-Schritt ist ja im Howto enthalten. Kannst das aber mal mit Configuring your Linux box to be a full AD member gegenprüfen. Dort sind die wichtigsten Konfigurationen aufgezeigt.
 
Für mich hat sich heute die Thematik "leider" erledigt.
Ich habe heute gekündigt weil ich in einem neuen Unternehmen anfangen kann und daher ist dieser Thread für mich leider nicht mehr relevant.

In den verbleibenden Tagen soll ich mich "wichtigeren" Themen zuwenden.

Gruß
Chris
 
Zurück
Oben