Anbindung von Kerberos an das Windows Active Directory

[Trollkirsche]

Hallo zusammen,

Zurzeit arbeite ich an der Integration der Linux Benutzer an das Active Directory. Mittlerweile bin ich trotz Recherchen komplett ratlos wie das nun genau alles funktionieren soll und welche Komponenten hierfür genutzt werden.

Falls einer von euch mir mitteilen könnte, ob meine Idee der Realisierung überhaupt möglich ist, wäre ich schonmal einen grossen Schritt weiter.

Ziel ist wie geplant, die Linux Server und deren Benutzer an das Active Directory anbinden zu können, damit diese dort zentral verwaltet werden. Installiert wurde bereits ein Kerberos Server auf einem Linux Testhost, der die Autorisierung der Benutzer selbst übernimmt.
Die Benutzer können sich nun zentral über das Kerberos System ein Ticket besorgen und haben anschliessend Zugriff auf alle SSH Dienste der Linux Server ohne Passworteingabe.

Wie muss ich jetzt nun genau vorgehen, damit der Kerberos Server die Authentifizierung über das Active Directory vornimmt? Ich habe ebenfalls schon versucht SSSD zu installieren, doch leider wurde keine Konfigurationsdatei erstellt und auch im Internet
finden sich nur Teilfetzen, wie man nun eine solche Datei für eine Anbindung an das AD vornehmen muss.

Der Realm Discover ist erfolgreich. Die Dömäne wird gefunden. Ich erhalte folgende Einträge:

ad.example.com
type: kerberos
realm-name: AD.EXAMPLE.COM
domain-name: ad.example.com
configured: no
server-software: active-directory
client-software: sssd
required-package: oddjob
required-package: oddjob-mkhomedir
required-package: sssd
required-package: adcli
required-package: samba-common-tools

Die Pakete selbst hab ich eigentlich installiert, dennoch erhalte ich diese Meldungen. Verbinden kann ich mich nicht. Ich erhalte folgende Ausgabe :
realm: Couldn't join realm: Insufficient permissions to join the domain

Wenn ich in den Logs schaue, sehe ich folgendes :
realmd: adcli: couldn't connect to ad.example.com domain: Couldn't authenticate to active directory: SASL(-1): generic failure: GSSAPI Error: Unspecified GSS failure. Minor code may provide more information (Server not found in Kerberos database)

Ich wäre schonmal froh wenn einer, der sich auskennt, so lieb wäre mitzuteilen, ob ich hier auf dem richtigen Wege bin und mich nicht verrant habe.. Ich weiss nichtmal ob ich nun die ganzen Linux Server im AD nachbilden muss...

Bis dann,

[Blackbox]

Vielleicht wäre noch wichtig, wie die Gegenseite (AD) aussieht, also welcher Windows Serverversion kommt zum Einsatz?
Wie testest du die Anmeldung? - ui, oder via cli?

Meine letzte Linux AD-Integration ist bereits zu lang her, und meine (Rest)Kenntnisse bestimmt längst veraltet.

[Trollkirsche]

Vielleicht wäre noch wichtig, wie die Gegenseite (AD) aussieht, also welcher Windows Serverversion kommt zum Einsatz?
Wie testest du die Anmeldung? - ui, oder via cli?

Meine letzte Linux AD-Integration ist bereits zu lang her, und meine (Rest)Kenntnisse bestimmt längst veraltet.

Kein Problem. Wenn man etwas länger nicht gemacht hat, vergisst mans, das kenn ich sehr gut.

Mal abgesehen davon bin ich von der Situation etwas genervt. Ich habe nun mitgeteilt, dass es Kerberos auch für Windows gibt und man dann gleich alles auf dem gleichen System hätte.
Der Windows Mensch meinte, Kerberos sei Linux.

Für mich macht es mehr Sinn, wenn alles auf einer Maschine ist.

[Blackbox]

Hilft dir vielleicht dieser Artikel [0] aus dem Linux-Magazin etwas weiter?

[0] https://www.linux-magazin.de/ausgaben/2 ... ellenhund/