Аутентификация OpenBSD 5.6 к Windows Server 2008R2 активный каталог?
Как я делаю openBSD для аутентификации к Windows Server 2008R2? Я в настоящее время устанавливал управление Идентификационными данными для Unix (IDMU). Также я установил login_ldap в openbsd., но я не знаю, что настроить в openBSD клиенте и Windows Server 2008. Моя цель состоит в том, чтобы иметь учетные записи, создают в окнах, разъединяют структуру каталогов и смочь войти в систему с теми учетными записями от openbsd компьютера.
На самом деле, нужный пакет - login_krb5. Другой нужный вам пакет - heimdal. Вам также нужно обновить его до версии 5.7, так как heimdal недоступен в качестве пакета в версии 5.6.
После этого скопируйте /usr/local/libexec/auth/login_krb5* до /usr/libexec/auth. Вам нужно будет это сделать, иначе процесс входа не сможет их найти.
Наконец, необязательным шагом является добавление /usr/local/heimdal/bin к системному пути. Это позволит вам использовать инструменты Kerberos для тестирования вашей конфигурации. Если вы решили не делать этого, то вам нужно будет указать полный путь к каждому из этих исполняемых файлов (например /usr/local/heimdal/bin/ktutil)
После того, как вы сделали все это (или, по крайней мере, первые два шага), вот что вы сделаете (адаптировано из этой статьи):
Создайте новую учетную запись пользователя в вашем домене AD - не создавайте учетную запись компьютера, так как это не будет работать. Дайте ему любой пароль (он изменится позже) и отключите истечение срока действия пароля и смену пароля.
Создайте свою клавиатуру и установите случайный пароль (где
myhost- пользователь, которого вы создали,myhost.fqdn- имя вашего сервера, аEXAMPLE.COM- ваш домен):C:\> ktpass -out c:\temp-princhost/myhost.fqdn@EXAMPLE.COM.keytab \myhost -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpassНадежно скопируйте файл myhost.keytab на ваш сервер и удалите локальную копию.
Скопируйте кейтаб в
/etc/heimdal:# ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytabНастройте файл конфигурации по адресу
/etc/heimdal/krb5.confс помощью нижеследующего - это необходимый минимум.[libdefaults] часовой пояс = 300 default_realm = EXAMPLE.COM[realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }[domain_realm] .EXAMPLE.COM = EXAMPLE.COMУбедитесь, что вы можете получить билет:
# kinit Administrator@EXAMPLE.COM. Administrator@EXAMPLE.COM's Password:# klist Кэш данных: FILE:/tmp/krb5cc_0 Принципал: Administrator@EXAMPLE.COMВыпущено Истек срок действия Принципал Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/EXAMPLE.COM@EXAMPLE.COMВ
/etc/login.confзамените строку ниже::tc=auth-defaults:\На следующую строку:
:auth=krb5- or-pwd:\Это подскажет системе использовать Kerberos для всех пользователей, кроме root. Если вход не удается, возвращается локальный пароль.
Создайте любых пользователей, которых хотите аутентифицировать с помощью Kerberos. Это должно быть сделано, если вы хотите использовать Kerberos - нет никакого автоматического процесса. Не имеет значения, какой пароль вы им дадите, так как он сначала проверит Kerberos.
Проверьте свои логины через SSH. Радуйтесь, что они работают.
Дайте знать, если застрянете.