Anbinden von FreeBSD Clients an ein Windows Active Directory

[martin]

Hi

Also ich hab folgendes Problem. Bei uns in Fa. gibbet so allerhand Clients (30 Windows XP, 20 FreeBSD). Außerdem gibt es insgesamt ca. 100 Benutzer, die zur Zeit alle im Windows Active Directory angelegt sind und auch auf nem BSD Server mit NIS.
Soweit klappt das ja auch alles, aber ich möchte jetzt die Ganze Benutzerverwaltung auf einen Server beschränken, entweder die Accounts vom AD auf den BSD Server, oder die BSD Clients an das AD binden. Das Problem dabei ist, dass ich das AD brauche, nicht nur für die Benutzerverwaltung. Naja egal, ich hab mal etwas gegoogelt und bin draufgekommen, dass das AD wohl so ne Art ldap ist. Demzufolge sollte es doch eigentlich möglich sein die Anmeldung meiner BSD Kisten über das AD zu machen, oder?

Ich schätze mal, das Problem haben einige von euch, oder nutzt ihr in den Firmen auch wirklich nur BSD? Vielleicht hat ja der ein oder andere schon Erfahrungen damit und kann mir erzählen wie er das bewerkstelligt.

Danke
Martin

 

[AndreasMeyer]

Vielleicht helfen folgende Links weiter:
http://www.microsoft.com/windows/sfu/default.asp
http://www.microsoft.com/germany/technet/datenbank/articles/306563.mspx
http://www.microsoft.com/windows2000/server/evaluation/features/dirlist.asp

 

[boeker]

hallo martin

stehe vor der gleichen aufgabe.
hast du schon was auf die beine gestellt?
evtl könnten wir uns ja mal kurzschließen
liebe grüsse
hansjörg

 

[martin]

Ich hab das Problem mittlerweile nicht mehr, da ich Job gewechselt habe aber ich glaube mit Samba3 klappt das. Winbind soll der Schlüssel sein, allerdings habe ich das Ganze noch nicht ausprobiert, es hat mir nur ein Ex-Arbeitskollege mal erzählt, dass er damit authentifiziert.

 

[Ne0n]

Hi,

ich habe einen Squid-Proxy laufen, der die Benutzer gegen einen AD authentifiziert, wie hier beschrieben:
http://www.selflinux.org/selflinux-devel/html/squid07.html

Dazu fand ich diesen Teil des Samba-Howto's recht interessant, der auch dein Problem betrifft:
http://us3.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html#id2552178

Gruß

 

[codephreaker]

meine erfahrung: ziemlich easy!

grundsätzlich hast du 2 möglichkeiten:

authentifizierung am ad mittels ldap oder via kerberos;

kerberos-auth is die eleganterer (weil soweit alles schon in fbsd drinne ist) und sicherer variante.

grundsätzlicher weg ist dann folgender:
- kerberos einrichten
- samba zum member server des ad machen
- winbindd konfigurieren
- pam und nss einrichten
- fa-ertig

kerberos-konfiguration ist ziemlich simpel: sicherstellen, dass dns für die ad-domäne richtig eingerichtet ist:

# resolv.conf
domain $DEINE_AD_DOMAIN
nameserver $IP_EINES_AD_DNS_SERVERS

und /etc/krb5.conf nach folgendem schema anpassen:

# /etc/krb5.conf
#
# EXAMPLE.COM  --- deine AD-Domain
# server.example.com --- fqdn deines/eines ad-servers

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
ticket_lifetime=24000
default_realm=example.com
dns_lookup_realm = false
dns_lookup_kdc = false

[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

[realms]
 EXAMPLE.COM = {
 kdc = tcp/server.example.com:88
 default_domain = EXAMPLE.COM
 admin_server = server.example.com
}

[appdefaults]
pam = {
 debug = false
 ticket_lifetime = 36000
 renew_lifetime = 3600
 forwardable = true
 krb4_convert = false
}

zum testen, ob alles funktioniert, kannst du versuchsen dich mit einem domain-nutzer anzumelden:

kinit benutzername

wenn das funzt, musst nur noch samba (winbind), pam und nss angepasst werden; eine detailierte erklärung jibt es unter http://de.samba.org/samba/docs/man/Samba-HOWTO-Collection/winbind.html

die dinge die du brauchst sind meistens schon in den ports drin - selbst rumfrickeln is nicht nötig.

wenn noch konkrete fragen auftauchen sollten, einfach bescheid sagen ...