Назад | Перейти на главную страницу

Аутентификация OpenBSD 5.6 в активном каталоге Windows server 2008R2?

Как заставить openBSD аутентифицироваться на Windows server 2008R2? В настоящее время я установил Identity Management для Unix (IDMU). Также я установил login_ldap в openbsd. но я не знаю, что настраивать в клиенте openBSD и на сервере Windows 2008. Моя цель - создать учетные записи в структуре каталогов сервера Windows и иметь возможность входить в систему с этими учетными записями с компьютера openbsd.

Собственно, вам нужен пакет login_krb5. Другой необходимый вам пакет - это heimdal пакет. Вам также необходимо будет перейти на 5.7, поскольку heimdal недоступен как пакет в версии 5.6.

Как только вы это сделаете, скопируйте /usr/local/libexec/auth/login_krb5* к /usr/libexec/auth. Вам нужно будет сделать это, иначе процесс входа не сможет их найти.

Наконец, необязательный шаг - добавить /usr/local/heimdal/bin на ваш системный путь. Это позволит вам использовать инструменты Kerberos для проверки вашей конфигурации. Если вы решите не делать этого, вам нужно будет указать полный путь к каждому из этих исполняемых файлов (например, /usr/local/heimdal/bin/ktutil)

После того, как вы сделали все это (или, по крайней мере, первые два шага), вот что вы делаете (адаптировано из Эта статья):

  1. Создайте новую учетную запись пользователя в своем домене AD - не создавайте учетную запись компьютера, так как она не будет работать. Дайте ему любой пароль (он изменится позже) и отключите срок действия пароля и изменение пароля.

  2. Создайте свою keytab и установите случайный пароль (где myhost пользователь, которого вы создали, myhost.fqdn это имя вашего сервера и EXAMPLE.COM это ваш домен):

    C:\> ktpass -out c:\temp\myhost.keytab -princhost/myhost.fqdn@EXAMPLE.COM -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass

  3. Надежно скопируйте файл myhost.keytab на свой сервер и удалите локальную копию.

  4. Скопируйте keytab в /etc/heimdal:

    # ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab

  5. Настройте файл конфигурации на /etc/heimdal/krb5.conf с указанным ниже - это самый минимум, который вам понадобится.

    [libdefaults] clockskew = 300 default_realm = EXAMPLE.COM

    [realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }

    [domain_realm] .EXAMPLE.COM = EXAMPLE.COM

  6. Убедитесь, что вы можете получить билет:

    # kinit Administrator@EXAMPLE.COM Administrator@EXAMPLE.COM's Password: # klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: Administrator@EXAMPLE.COM

    Issued Expires Principal Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM

  7. В /etc/login.confзамените строку ниже:

    :tc=auth-defaults:\

    Со следующей строкой:

    :auth=krb5-or-pwd:\

    Это укажет системе использовать Kerberos для всех пользователей, кроме root. Если логин не удался, он возвращается к локальным паролям.

  8. Создайте любых пользователей, которых вы хотите аутентифицировать с помощью Kerberos. Это необходимо сделать, если вы хотите использовать Kerberos - автоматического процесса нет. Неважно, какой пароль вы им дадите, сначала он проверит Kerberos.

  9. Проверьте свои логины через SSH. Радуйтесь, что они работают.

Дай мне знать, если ты застрянешь.