Hallo zusammen,
hat jemand Erfahrung mit der Authentifizierung der Centos-Benutzer gegen ein Windows Active Directory ? Allerdings sollte ldap verwendet werden, nicht winbind / samba.
Über Rückmeldungen würde ich mich freuen.
Viele Grüße
Ralf Lutz
Also ich benutze winbindd und kann das nur empfehlen. Auch Kereberos funktioniert einwandfrei. Wir setzen hier 2003 und 2008 Server ein.
Chris
Am Donnerstag, den 16.10.2008, 14:44 +0200 schrieb Ralf.Lutz@Heidelberg.de:
Hallo zusammen,
hat jemand Erfahrung mit der Authentifizierung der Centos-Benutzer gegen ein Windows Active Directory ? Allerdings sollte ldap verwendet werden, nicht winbind / samba.
Über Rückmeldungen würde ich mich freuen.
Viele Grüße
Ralf Lutz
financial.com AG
Munich head office/Hauptsitz München: Maria-Probst-Str. 19 | 80939 München | Germany Frankfurt branch office/Niederlassung Frankfurt: Messeturm | Friedrich-Ebert-Anlage 49 | 60327 Frankfurt | Germany Management board/Vorstand: Dr. Steffen Boehnert (CEO/Vorsitzender) | Dr. Alexis Eisenhofer | Dr. Yann Samson | Matthias Wiederwach Supervisory board/Aufsichtsrat: Dr. Dr. Ernst zur Linden (chairman/Vorsitzender) Register court/Handelsregister: Munich – HRB 128 972 | Sales tax ID number/St.Nr.: DE205 370 553
Hallo Ralf,
Am 16.10.2008, 14:44 Uhr, schrieb Ralf.Lutz@Heidelberg.de:
hat jemand Erfahrung mit der Authentifizierung der Centos-Benutzer gegen ein Windows Active Directory ? Allerdings sollte ldap verwendet werden, nicht winbind / samba.
habe zwar selber keine Erfahrung, ber mir kam ein Artikel aus dem aktuellen Linux-Magazin (Ausgabe 11/08) in den Sinn. Darin wird die Software "Likewise Open" vorgestellt, mit der Linux-Clients in AD-Umgebungen eingebunden werden können. Schau mal hier, vielleicht ist ads eine Lösung für dich: http://www.likewisesoftware.com/products/likewise_open/index.php
Ausserdem gibt es eine Enterprise-Version, siehe Herstellerseite http://www.likewisesoftware.com.
Gruss Christoph
habe zwar selber keine Erfahrung, ber mir kam ein Artikel aus dem aktuellen Linux-Magazin (Ausgabe 11/08) in den Sinn. Darin wird die Software "Likewise Open" vorgestellt, mit der Linux-Clients in AD-Umgebungen eingebunden werden können. Schau mal hier, vielleicht ist ads eine Lösung für dich: http://www.likewisesoftware.com/products/likewise_open/index.php
Ausserdem gibt es eine Enterprise-Version, siehe Herstellerseite http://www.likewisesoftware.com.
Gruss Christoph
Komisch die Feature-Liste ist identisch zu winbindd ;))
financial.com AG
Munich head office/Hauptsitz München: Maria-Probst-Str. 19 | 80939 München | Germany Frankfurt branch office/Niederlassung Frankfurt: Messeturm | Friedrich-Ebert-Anlage 49 | 60327 Frankfurt | Germany Management board/Vorstand: Dr. Steffen Boehnert (CEO/Vorsitzender) | Dr. Alexis Eisenhofer | Dr. Yann Samson | Matthias Wiederwach Supervisory board/Aufsichtsrat: Dr. Dr. Ernst zur Linden (chairman/Vorsitzender) Register court/Handelsregister: Munich – HRB 128 972 | Sales tax ID number/St.Nr.: DE205 370 553
Nur um mal klar zu machen wie einfach winbindd unter CentOS einzurichten ist, es reicht ein einziger Aufruf:
authconfig-tui --kickstart --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=$DOMAIN --winbindjoin="Administrator" --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablewinbindusedefaultdomain --enablelocauthorize
Das ganze geht auch interaktiv in dem man "authconfig" aufruft. Bei Multi-Site sollte man auch noch --smbservers benutzen, hier kann man eine Liste von AD-Servern angeben.
Als weitere Gimmicks kann man Logins cachen (Laptops) oder nur user reinlassen die in einer bestimmten User-Gruppe sind.
Chris
financial.com AG
Munich head office/Hauptsitz München: Maria-Probst-Str. 19 | 80939 München | Germany Frankfurt branch office/Niederlassung Frankfurt: Messeturm | Friedrich-Ebert-Anlage 49 | 60327 Frankfurt | Germany Management board/Vorstand: Dr. Steffen Boehnert (CEO/Vorsitzender) | Dr. Alexis Eisenhofer | Dr. Yann Samson | Matthias Wiederwach Supervisory board/Aufsichtsrat: Dr. Dr. Ernst zur Linden (chairman/Vorsitzender) Register court/Handelsregister: Munich – HRB 128 972 | Sales tax ID number/St.Nr.: DE205 370 553
Christoph Maser schrieb am 16.10.2008 17:40:
Nur um mal klar zu machen wie einfach winbindd unter CentOS einzurichten ist, es reicht ein einziger Aufruf:
authconfig-tui --kickstart --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=$DOMAIN --winbindjoin="Administrator" --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablewinbindusedefaultdomain --enablelocauthorize
Das ganze geht auch interaktiv in dem man "authconfig" aufruft. Bei Multi-Site sollte man auch noch --smbservers benutzen, hier kann man eine Liste von AD-Servern angeben.
Als weitere Gimmicks kann man Logins cachen (Laptops) oder nur user reinlassen die in einer bestimmten User-Gruppe sind.
Und die ganz hartgesonnenen konfigurieren PAM selbst :-) So hab ich z.B. einen OpenVPN-Server aufgebaut, bei dem nur OpenVPN sich gegen das ADS authentifiziert und nur die Leute rein lässt, die in einer bestimmten Gruppe sind. Und auch unser Mailserver (CentOS 5/CyrusIMAP/Postfix) läuft inzwischen über ADS-Authentifizierung.
Und das alles mit Winbind. Sprich ich kann die Lösung nur empfehlen, bisher keine Probleme gehabt.
Grüße René -- GEEKCODE: GIT$ d- s+: a- C+++ UL++++$ P+ L++ E--- W+++ N+ !o K- w+ O- M-- V- PS+ PE Y+ PGP++ t++ 5++ X+ R tv+ b DI D++ G e+ h--- r++ y+++ PGP-Key and more available at http://www.standfest.net My Blog is at http://www.gaudidiecher.de
Hallo Ralf,
Am Donnerstag, den 16.10.2008, 14:44 +0200 schrieb Ralf.Lutz@Heidelberg.de:
Hallo zusammen, hat jemand Erfahrung mit der Authentifizierung der Centos-Benutzer gegen ein Windows Active Directory ? Allerdings sollte ldap verwendet werden, nicht winbind / samba.
prinzipiell ist das kein Problem. Aber ich kann nur dringend dazu raten für die reine Authentifizierung Kerberos zu verwenden und für nss eben nicht LDAP, sondern winbind. Wir haben beide Szenarien gemischt im Einsatz (*schauder*) und das Problem mit LDAP ist ganz klar, dass hier halt im AD die Schema-Erweiterungen für SFU braucht. Diese sind allerdings nicht sonderlich gut integriert, so daß man z.B. die Gruppenmitgliedschaft der Nutzer immer zweimal (einmal für Windows und einmal für SFU) festlegen muss und jeder Benutzer nochmal von Hand als SFU-Benutzer festgelegt werden muss. Das ist unverhältnismäßig viel Aufwand und eine beliebte Quelle von Flüchtigkeitsfehlern.
Grüße, Andreas
Guten Morgen zusammen,
erst mal Danke an alle, die mir geantwortet haben.
Ich werde die winbind-Lösung jetzt doch mal durchtesten.
Viele Grüße Ralf
-----Ursprüngliche Nachricht----- Von: centos-de-bounces@centos.org [mailto:centos-de-bounces@centos.org] Im Auftrag von Andreas Rogge Gesendet: Freitag, 17. Oktober 2008 11:18 An: German mailing list for CentOS Betreff: Re: [CentOS-de] Authentifizierung an AD
Hallo Ralf,
Am Donnerstag, den 16.10.2008, 14:44 +0200 schrieb Ralf.Lutz@Heidelberg.de:
Hallo zusammen, hat jemand Erfahrung mit der Authentifizierung der Centos-Benutzer gegen ein Windows Active Directory ? Allerdings sollte ldap verwendet werden, nicht winbind / samba.
prinzipiell ist das kein Problem. Aber ich kann nur dringend dazu raten für die reine Authentifizierung Kerberos zu verwenden und für nss eben nicht LDAP, sondern winbind. Wir haben beide Szenarien gemischt im Einsatz (*schauder*) und das Problem mit LDAP ist ganz klar, dass hier halt im AD die Schema-Erweiterungen für SFU braucht. Diese sind allerdings nicht sonderlich gut integriert, so daß man z.B. die Gruppenmitgliedschaft der Nutzer immer zweimal (einmal für Windows und einmal für SFU) festlegen muss und jeder Benutzer nochmal von Hand als SFU-Benutzer festgelegt werden muss. Das ist unverhältnismäßig viel Aufwand und eine beliebte Quelle von Flüchtigkeitsfehlern.
Grüße, Andreas
-- Solvention Egermannstr. 6-8 53359 Rheinbach
Tel: +49 2226 158179-0 Fax: +49 2226 158179-9
http://www.solvention.de mailto:info@solvention.de