Hallo,
ich habe mir eine VM mit Debian Etch aufgesetzt und versucht diese in unsere Windows Domäne zu hängen.
Das ganze hab ich nach einer Anleitung aus dem Internet mit winbind gemacht und zum Teil funktioniert es auch. Allerdings hab ich auch noch ein paar Probleme bei denen ihr mir hoffentlich helfen könnt.
Also erstmal was funktioniert:
-Zuweisung der IP über den zuständigen DHCP Server
-Ich kann mich mit meinem Domänen Account anmelden, Also Domäne\User
-getent passwd liefert mir alle lokalen sowie Domänen Benutzer, bzw getent group die Gruppen
-Auflösung von NetBIOS Namen über unseren Wins Server so dass z.B. ping pcname funktioniert
Probleme habe ich aber noch mit der Rechtevergabe.
Zum einem damit meinem Domänenbenutzer bestimmte Rechte auf meinem Debian System zu geben und zum anderen das mein Debian System die Rechte meines Domänenbenutzers in der Domäne auch nutzt.
Beispiel für das letztere ist unser Proxy Server der in der Domäne hängt und den Internetzugriff reguliert. Mein Domänenbenutzer hat da die Berechtigungen um ins Internet zu gelangen. Wenn ich aber jetzt als der Domänenbenutzer angemeldet bin und export http_proxy="http://proxy;port" eingebe und dann mit lynx auf http://www.google.de will werde ich trotzdem nochmal nach Benutzernamen und Kennwort gefragt obwohl die Authentifizierung ja durch meine Anmeldung am System schon da sein müsste.
In der anderen Richtung hab ich ja dann das Problem das wenn ich etwas über apt installieren möchte, ich root sein muss. Mein lokaler root hat aber natürlich keine Rechte den Proxy zu benutzen um etwas aus dem Internet zu laden. Also müßte ich apt ja wenn das Problem oben gelöst ist über meinen Domänenbenutzer ausführen. Aber wie gebe ich dem die Rechte das er apt-get ausführen darf/kann?
PS: Ich hab woanders den Tipp bekommen das ich den Domänenbenutzer einem lokalen Benutzer zuweisen muss, über den net Befehl. Aber irgendwie Blick ich da nicht so ganz durch wie das gehen soll bzw. wie ich dann z.B. meinem Domäne\User den root Account zuweise...
Debian Client in Windows Domäne nutzen
Hi,
ich habe das mal vor einem halben Jahr versucht und bin zwar nicht daran gescheitert, aber die möglichen Ergebnisse waren sehr unbefriedigend. Ich muss aber zugeben, dass ich mich nicht mehr so genau erinnern kann, deswegen meine Antworten bitte selber verifizieren.
Mit den Berechtigungen der Windows-Gruppen und der Linux-Gruppen wird das alles nicht so möglich sein, denn erstens sind es verschiedene Gruppen (auch wenn sie den selben namen haben) und zweitens kann linux ja nicht wissen, was die "Domain-Admins" alles dürfen. Die Sache mit apt würde ich via sudo lösen.
Nun zum Proxy: Ich weiß ja nicht was für ein Proxy im Einsatz ist, aber da du das single-sign-on beschreibst gehe ich mal davon aus, dass es entweder etwas ms-nahes oder zumindest auf NTLM (http://de.wikipedia.org/wiki/NTLM) basierendes ist. Alternativ kann man da bestimmt auch was mit kerberos drehen. Die Frage bleibt jedoch, kann das der Proxy auch und inwieweit wird die authentifikation bei linux klappen, da Windows ja eine modifiziertes Kerberos verwendet (glaube ich zumindest)
Das mappen der Benutzernamen sagt mir irgendwas, aber ich kann es gerade nicht assoziieren. Wenn wirds aber was mit PAM zu tun haben.
Hier noch ein paar Links, die ich damals verwendet habe:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.debian-administration.org/articles/340
http://www.debian-administration.org/articles/395
Ich hatte damals vor einen vollständigen Ersatz der Windowsumgebung zu schaffen, aber leider habe ich das Projekt eingestellt, aufgrund sehr vieler Probleme
Hoffe es hilft dir ein wenig
ich habe das mal vor einem halben Jahr versucht und bin zwar nicht daran gescheitert, aber die möglichen Ergebnisse waren sehr unbefriedigend. Ich muss aber zugeben, dass ich mich nicht mehr so genau erinnern kann, deswegen meine Antworten bitte selber verifizieren.
Mit den Berechtigungen der Windows-Gruppen und der Linux-Gruppen wird das alles nicht so möglich sein, denn erstens sind es verschiedene Gruppen (auch wenn sie den selben namen haben) und zweitens kann linux ja nicht wissen, was die "Domain-Admins" alles dürfen. Die Sache mit apt würde ich via sudo lösen.
Nun zum Proxy: Ich weiß ja nicht was für ein Proxy im Einsatz ist, aber da du das single-sign-on beschreibst gehe ich mal davon aus, dass es entweder etwas ms-nahes oder zumindest auf NTLM (http://de.wikipedia.org/wiki/NTLM) basierendes ist. Alternativ kann man da bestimmt auch was mit kerberos drehen. Die Frage bleibt jedoch, kann das der Proxy auch und inwieweit wird die authentifikation bei linux klappen, da Windows ja eine modifiziertes Kerberos verwendet (glaube ich zumindest)
Das mappen der Benutzernamen sagt mir irgendwas, aber ich kann es gerade nicht assoziieren. Wenn wirds aber was mit PAM zu tun haben.
Hier noch ein paar Links, die ich damals verwendet habe:
http://www.pro-linux.de/work/server/samba3-domaene.html
http://www.debian-administration.org/articles/340
http://www.debian-administration.org/articles/395
Ich hatte damals vor einen vollständigen Ersatz der Windowsumgebung zu schaffen, aber leider habe ich das Projekt eingestellt, aufgrund sehr vieler Probleme
Hoffe es hilft dir ein wenig
Ja mit dem Proxy liegst du richtig das er auf Windows basiert, wobei ich da jetzt auch nichts genaueres zu sagen kann weil ich ihn nicht weiter kenne.
Über Kerberos hab ich jetzt auch schon was gelesen, muss ich mal schauen das ich mir am Wochenende die VM nochmal neu inklusive Kerberos aufsetze.
Deine Links werde ich auch mal durchschauen. Auf jeden Fall schonmal danke für die Infos.
Über Kerberos hab ich jetzt auch schon was gelesen, muss ich mal schauen das ich mir am Wochenende die VM nochmal neu inklusive Kerberos aufsetze.
Deine Links werde ich auch mal durchschauen. Auf jeden Fall schonmal danke für die Infos.
Also ich hab mich jetzt mal an den 2. Link von dir gehalten, aber beim joinen in die Domäne per net ads -join... erhalte ich immer die Meldung
Was ich noch komisch finde ist das kinit ich@Domäne nach der Passwort eingabe einfach nichts ausgibt. Sollte da nicht eine Erfolgsmeldung (oder ein Fehler) kommen?
und kann da jetzt nicht soviel mit anfangen bzw. wüßte ich nicht wo etwas falsch eingetragen sein sollte.Using short name --Domäne
Failed to set servicePrincipalNames.Please ensure that
the DNS Domain of this server matches the AD domain,
OR rejoin with using Domain Admin credentials.
Disbaled account for 'pc' in realm 'Domäne'
Was ich noch komisch finde ist das kinit ich@Domäne nach der Passwort eingabe einfach nichts ausgibt. Sollte da nicht eine Erfolgsmeldung (oder ein Fehler) kommen?
Das Problem war wohl das in der /etc/hosts der Domänen Name für meine Workstation falsch war. bzw. nicht komplett ausgeschrieben. Das heißt ich bin jetzt wieder in der Domäne drin.
Komischerweise kann ich mich aber nicht als Domänenbenutzer, also Domäne\User, anmelden. Es kommt immer die Meldung Login incorret und in der /var/logs/auth.log steht Authentification failed
getent passwd listet mich allerdings auf...
Komischerweise kann ich mich aber nicht als Domänenbenutzer, also Domäne\User, anmelden. Es kommt immer die Meldung Login incorret und in der /var/logs/auth.log steht Authentification failed
getent passwd listet mich allerdings auf...
Irgendwie kann ich mich jetzt wieder als Domänenbenutzer anmelden, die Session wird aber direkt wieder geschlossen so dass ich direkt wieder im Login stehe.
In der auth.log steht jedesmal:
... pam_winbind[2137]: user 'Domäne\User' granted access
... pam_winbind[2137]: user 'Domäne\User' granted OK
... pam_winbind[2137]: user 'Domäne\User' granted access
...login[2137]: (pam_unix) session opened for user Domäne\User
...login[2137]: (pam_unix) session closed for user Domäne\User
In der auth.log steht jedesmal:
... pam_winbind[2137]: user 'Domäne\User' granted access
... pam_winbind[2137]: user 'Domäne\User' granted OK
... pam_winbind[2137]: user 'Domäne\User' granted access
...login[2137]: (pam_unix) session opened for user Domäne\User
...login[2137]: (pam_unix) session closed for user Domäne\User