Я устанавливаю freeradius 3 в debian 9. Я могу войти в систему с пользователем из текстового файла в радиусе, но я хочу войти в систему с пользователем из Active Directory.
Сначала я устанавливаю эту библиотеку.
apt установить samba winbind krb5-user krb5-config -y
Затем я настраиваю царство вот так.
Default Kerberos version 5 realm: XXX.EDU
Kerberos servers for your realm: ad.xxx.local
Administrative server for your Kerberos realm: ad.xxx.local
В файле /etc/samba/smb.conf. Я поместил этот код в строку workgroup = XXX
security = ADS
realm = XXX.EDU
encrypt passwords = yes
client use spnego = yes
idmap config *:backend = tdb
idmap config *:range = 2000-9999
idmap config XXX:backend = ad
idmap config XXX:schema_mode = rfc2307
idmap config XXX:range = 10000-99999
winbind nss info = rfc2307
winbind trusted domains only = no
winbind use default domain = yes
winbind enum users = yes
winbind enum groups = yes
winbind refresh tickets = Yes
В файле /etc/krb5.conf
[libdefaults]
default_realm = XXX.EDU
dns_lookup_realm = true
dns_lookup_kdc = false
forwardable = true
[realms]
XXX.EDU = {
kdc = ad.xxx.local
admin_server = ad.xxx.local
}
[domain_realm]
.xxx.local = XXX.EDU
xxx.local = XXX.EDU
После перезагрузки сервера я использую эту команду.
net ads join -U Administrator
Это совместный успех.
Joined 'XXX' to dns domain 'xxx.edu'
После этого я использую эту команду для проверки пользователя, но она ничего не показывает.
wbinfo -u
Я тестирую вход пользователя с помощью этой команды.
usr/bin/ntlm_auth --domain=XXX --username=user_ad@xxx.edu --password=pass_user_ad
Это такая ошибка показа. Я уверен, что у меня есть пользователь user_ad@xxx.edu в AD, но он не найден.
NT_STATUS_NO_SUCH_USER: No such user (0xc0000064)
Если я сменил домен вот так.
usr/bin/ntlm_auth --domain=XXX.EDU --username=user_ad@xxx.edu --password=pass_user_ad
Это ошибка шоу.
NT_STATUS_NO_MEMORY: Memory allocation error (0xc0000017)
Как использовать пользователя активного каталога с freeradius?
добавить ip активного каталога в качестве сервера имен и домен добавить имя домена поиска в файл /etc/resolve.conf.