Edycja: sformatowano to jako pytania i odpowiedzi. Jeśli ktokolwiek może zmienić to z Wiki Wiki na typowe pytanie, prawdopodobnie jest to również bardziej odpowiednie.
Jak mogę uwierzytelnić OpenBSD w Active Directory?
Edycja: sformatowano to jako pytania i odpowiedzi. Jeśli ktokolwiek może zmienić to z Wiki Wiki na typowe pytanie, prawdopodobnie jest to również bardziej odpowiednie.
Jak mogę uwierzytelnić OpenBSD w Active Directory?
Odpowiedzi:
Przedmowa
Uwierzytelnianie w Active Directory za pomocą Kerberos jest dość proste w systemach korzystających z PAM, ale OpenBSD nie i utrudnia. Z tcpdump wygląda na to, że systemy PAM po prostu wykonują wstępne uwierzytelnianie, podczas gdy system bsd_auth OpenBSD wykorzystuje cały proces uwierzytelniania Kerberos.
W każdym razie zajęło mi to trochę czasu, aby dowiedzieć się, więc mam nadzieję, że niektóre zwięzłe instrukcje pozwolą ci zaoszczędzić czas.
Kilka krótkich notatek, zanim zaczniemy:
Instrukcje
W tych krokach założono, że próbujesz uwierzytelnić mój_uż[email protected] w domenie EXAMPLE.COM. Kontroler domeny to pdc.EXAMPLE.COM.
Utwórz konto użytkownika usługi Active Directory o nazwie myhost (to nie literówka, te instrukcje nie będą działać z kontem komputera). Wyłącz wygasanie hasła i nie pozwól użytkownikowi zmienić własnego hasła. Ustaw hasło na cokolwiek zechcesz - wkrótce zostanie zmienione.
Prawdopodobnie dobrym pomysłem jest utworzenie konta użytkownika w nowej jednostce organizacyjnej, usunięcie go z grupy Użytkownicy domeny i dodanie go do dedykowanej grupy. To wszystko zależy od gustu i układu zabezpieczeń.
Na pdc.EXAMPLE.COM pobierz i zainstaluj Narzędzia obsługi systemu Windows Server (w szczególności potrzebujesz ktpass.exe)
Na pdc.EXAMPLE.COM uruchom:
To aktualizuje hasło użytkownika myhost do czegoś losowego (+ rndpass), mapuje główny użytkownik Kerberos „host/[email protected]” na użytkownika „myhost” w usłudze Active Directory, a następnie zrzuca informacje o głównym i prywatnym kluczu do -out plik keytab.
Bezpiecznie skopiuj c: \ temp \ myhost.keytab na myhost i usuń plik z pdc.EXAMPLE.COM
Na moim hoście dodaj klucz AD do swojego głównego klucza:
Skonfiguruj /etc/krb5.conf. Poniżej znajduje się absolutne minimum, którego potrzebujesz. Dostępnych jest wiele opcji, więcej informacji można znaleźć na stronie podręcznika. To po prostu ustawia maksymalne dopuszczalne odchylenie zegara na 5 minut, czyni EXAMPLE.COM domeną domyślną i mówi Kerberosowi, jak tłumaczyć między DNS a domenami Kerberos.
Sprawdź, czy możesz dostać bilet:
Zmodyfikuj /etc/login.conf, aby korzystać z uwierzytelniania Kerberos. Twoja dokładna konfiguracja login.conf będzie się różnić w zależności od sposobu korzystania z systemu, ale aby przejść z instalacji waniliowej do korzystania z Kerberos, po prostu edytuj i skomentuj ten wiersz w domyślnej klasie logowania:
I dodaj powyżej:
To sprawdza najpierw Kerberos, chyba że użytkownik jest rootem. Jeśli Kerberos zawiedzie, użyje lokalnych haseł.
Dodaj użytkowników, których chcesz uwierzytelnić na tym hoście. Pozostaw hasła puste, chyba że chcesz, aby mogły korzystać zarówno z Active Directory, jak i haseł lokalnych (niezalecane).
Możesz usunąć istniejące hasła użytkowników „chpass
<user>
” i zastąpić wartość „Encrypted password:” gwiazdką (*)Przetestuj SSH i Sudo. Oba powinny działać bezbłędnie z poświadczeniami Active Directory.
To wszystko.
Spinki do mankietów
Kilka przydatnych stron:
źródło
login_krb5-or-pwd
do/usr/libexec/auth
- również pliki konfiguracyjne i keytab są teraz dostępne,/etc/heimdal
a nie/etc/kerberosV
jak w poprzednich wersjach OpenBSD.Aktualizacja powyższych instrukcji, ponieważ od tego czasu zmieniło się kilka rzeczy.
W OpenBSD 5.6 podjęto decyzję o usunięciu Heimdal z dystrybucji podstawowej z powodu obaw o jakość kodu i nikt nie chce poświęcić czasu na jego kontrolę. W 5.7 został udostępniony jako pakiet (dla 5.6 musisz zbudować ze źródła lub wymyślić, jak ponownie włączyć go w źródle). Dlatego przed wykonaniem powyższych instrukcji należy wykonać następujące dodatkowe kroki:
-3. Zainstaluj pakiety
heimdal
ilogin_krb5
ze swojego ulubionego lustra.-2. Skopiuj
/usr/local/libexec/auth/login_krb5*
do/usr/libexec/auth
.-1. Jeśli zamierzasz często korzystać z narzędzi heimdal, dodaj
/usr/local/heimdal/bin
do ścieżki systemowej. W przeciwnym razie podczas korzystania z nich należy odwoływać się do narzędzi z pełną ścieżką.Ponadto pliki
krb5.conf
ikrb5.keytab
wchodzą do/etc/heimdal
teraz.źródło