[solved] User aus AD mit sssd (und adcli)

[McAldo]

Ich versuche mittels sssd ein Notebook in eine AD einzubinden, um mich mit einem AD-User anmelden zu können. sssd, damit das auch offline möglich ist.

Habe dazu sssd wie folgt konfiguriert:

Code: Alles auswählen

[sssd]
domains = foobar.de
config_file_version = 2
services = nss, pam

[domain/FOOBAR.DE]
ad_domain = foobar.de
ad_server = dc1.foobar.de
krb5_realm = FOOBAR.DE
realmd_tags = joined-with-samba
cache_credentials = true
id_provider = ad
access_provider = ad
auth_provider = ad
krb5_store_password_if_offline = true
default_shell = /bin/bash
ldap_id_mapping = false
use_fully_qualified_names = false
fallback_homedir = /home/%d/%u
simple_allow_groups = admins, users

Installiert sind diese Pakete:

Code: Alles auswählen

libnss-sss:amd64
libpam-sss:amd64
libsss-idmap0
libsss-nss-idmap0
libsss-simpleifp0
libsss-sudo
python-sss
sssd
sssd-ad
sssd-ad-common
sssd-common
sssd-dbus
sssd-ipa
sssd-krb5
sssd-krb5-common
sssd-ldap
sssd-proxy
sssd-tools
realmd
adcli

Das joinen in die AD hat mittels

Code: Alles auswählen

adcli join --login-user=adminuser foobar.de

funktioniert.

Der Befehl "adcli info foobar.de" bringt auch eine passende Ausgabe:

Code: Alles auswählen

[domain]
domain-name = foobar.de
domain-short = FOOBARDE
domain-forest = root.adfoobar.com
domain-controller = DC1.foobar.de
domain-controller-site = DE-Foo
domain-controller-flags = gc ldap ds kdc timeserv closest writable full-secret ads-web
domain-controller-usable = yes
domain-controllers = DC1.foobar.de DC2.foobar.de
[computer]
computer-site = DE-Foo

"getent passwd" oder "id $USER" liefert jedoch keine entsprechenden Einträge aus der AD.

Starte ich den sssd neu kommt im Logfile "/var/log/sssd/sssd_nss.log" diese Meldung:

Code: Alles auswählen

[sssd[nss]] [id_callback] (0x0010): The Monitor returned an error [org.freedesktop.DBus.Error.NoReply]

Was fehlt oder ist falsch? Was muss vorhanden sein, damit User und Gruppen aus der AD mittels sssd abgefragt werden können?

[McAldo]

So, anmelden und erstellen vom Home-Dir klappt nun mit dieser sssd.conf:

Code: Alles auswählen

[sssd]
domains = foobar.de
config_file_version = 2
services = nss, pam

[domain/FOOBAR.DE]
ad_domain = foobar.de
ad_server = dc1.foobar.de, dc1.foobar.de
krb5_realm = FOOBAR.DE
realmd_tags = joined-with-samba
cache_credentials = true
id_provider = ad
access_provider = ad
auth_provider = ad
krb5_store_password_if_offline = true
override_homedir = /home/%u
default_shell = /bin/bash
ldap_id_mapping = true
ldap_schema = ad
use_fully_qualified_names = false
fallback_homedir = /home/%u
simple_allow_groups = admins, users

[pam]
offline_credentials_expiration = 30
offline_failed_login_attempts = 3
offline_failed_login_delay = 30

Allerdings wird das home-dir noch mit 0755 erstellt (also drwxr-xr-x). Es soll aber nur 0700 (drwx------) sein. Welcher Parameter macht das im sssd?

[habakug]

Hallo,

hast du probiert pam_mkhomedir einzusetzen? Das geht aus deinen Postings nicht hervor. Du kannst da eine umask setzen:

Code: Alles auswählen

session    required    pam_mkhomedir.so skel=/etc/skel/ umask=00xx

Siehe hier [1].

Gruss, habakug

[1] https://help.ubuntu.com/lts/serverguide ... -mkhomedir

[McAldo]

Das mit dem pam_mkhomedir ist schon mit dabei, man muss nur die Subnetmask anpassen in der Konfigurationsdatei.

Danke für die Hilfe.