Как я делаю openBSD для аутентификации к Windows Server 2008R2? Я в настоящее время устанавливал управление Идентификационными данными для Unix (IDMU). Также я установил login_ldap в openbsd., но я не знаю, что настроить в openBSD клиенте и Windows Server 2008. Моя цель состоит в том, чтобы иметь учетные записи, создают в окнах, разъединяют структуру каталогов и смочь войти в систему с теми учетными записями от openbsd компьютера.
На самом деле, нужный пакет - login_krb5
. Другой нужный вам пакет - heimdal
. Вам также нужно обновить его до версии 5.7, так как heimdal
недоступен в качестве пакета в версии 5.6.
После этого скопируйте /usr/local/libexec/auth/login_krb5*
до /usr/libexec/auth
. Вам нужно будет это сделать, иначе процесс входа не сможет их найти.
Наконец, необязательным шагом является добавление /usr/local/heimdal/bin
к системному пути. Это позволит вам использовать инструменты Kerberos для тестирования вашей конфигурации. Если вы решили не делать этого, то вам нужно будет указать полный путь к каждому из этих исполняемых файлов (например /usr/local/heimdal/bin/ktutil
)
После того, как вы сделали все это (или, по крайней мере, первые два шага), вот что вы сделаете (адаптировано из этой статьи):
Создайте новую учетную запись пользователя в вашем домене AD - не создавайте учетную запись компьютера, так как это не будет работать. Дайте ему любой пароль (он изменится позже) и отключите истечение срока действия пароля и смену пароля.
Создайте свою клавиатуру и установите случайный пароль (где myhost
- пользователь, которого вы создали, myhost.fqdn
- имя вашего сервера, а EXAMPLE.COM
- ваш домен):
C:\> ktpass -out c:\temp-princhost/myhost.fqdn@EXAMPLE.COM.keytab \myhost -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass
Надежно скопируйте файл myhost.keytab на ваш сервер и удалите локальную копию.
Скопируйте кейтаб в /etc/heimdal
:
# ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab
Настройте файл конфигурации по адресу /etc/heimdal/krb5.conf
с помощью нижеследующего - это необходимый минимум.
[libdefaults]
часовой пояс = 300
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
default_domain = EXAMPLE.COM
}
[domain_realm]
.EXAMPLE.COM = EXAMPLE.COM
Убедитесь, что вы можете получить билет:
# kinit Administrator@EXAMPLE.COM.
Administrator@EXAMPLE.COM's Password:
# klist
Кэш данных: FILE:/tmp/krb5cc_0
Принципал: Administrator@EXAMPLE.COM
Выпущено Истек срок действия Принципал
Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COM
В /etc/login.conf
замените строку ниже:
:tc=auth-defaults:\
На следующую строку:
:auth=krb5- or-pwd:\
Это подскажет системе использовать Kerberos для всех пользователей, кроме root. Если вход не удается, возвращается локальный пароль.
Создайте любых пользователей, которых хотите аутентифицировать с помощью Kerberos. Это должно быть сделано, если вы хотите использовать Kerberos - нет никакого автоматического процесса. Не имеет значения, какой пароль вы им дадите, так как он сначала проверит Kerberos.
Проверьте свои логины через SSH. Радуйтесь, что они работают.
Дайте знать, если застрянете.