Linux マシン (debian 4.0) を W2k3 AD にバインドしようとしています。TGT を取得できるように kerberos を適切に構成しました。また、ユーザーは適切に認証されます。ただし、PAM はスティッキー ウィケットのようです。たとえば、AD ユーザーの 1 人として Linux マシンに SSH 接続しようとすると、認証は成功しますが (auth.log に従って)、シェルを取得できません。デフォルト環境は適切に構成されており、PAM は Homedir も適切に作成します。参考として、大まかに次のことを行いました。
4105 次
4 に答える
1
PAM 以外はすべて正常に動作するという自信がある場合は、デバッグ オプションを pam_krb5.so に渡して、何が起こっているかの手掛かりが得られるかどうかを確認することをお勧めします。
また、次を使用して nss-ldap が正しく設定されていることを確認することをお勧めします
getent passwd avalidusername
于 2008-10-08T09:09:59.633 に答える
0
サーバー上で同様のことを行うために、Likely を使用しました。これを構成するために使用するプロセスは次のとおりです。
同様にインストールします。
$ sudo apt-get update
$ sudo apt-get install likewise-open
ドメインに参加します(ドメイン「domain.local」を想定)
$ sudo domainjoin-cli join domain.local Administrator
$ sudo update-rc.d likewise-open defaults
$ sudo /etc/init.d/likewise-open start
sudo を使用していて、AD ユーザーに sudoer 権限を付与したい場合は、sudoers ファイルを編集する必要があります。これは、次のコマンドで実行できます。
$ sudo visudo
次に、ファイルの最後に次を追加します (これは、ドメインが「DOMAIN」であり、sudo を持つ必要があるすべてのユーザーが Active Directory の「linux_admin」というグループに属していることを前提としています)。
%DOMAIN\\linux_admin ALL=(ALL) ALL
于 2008-11-17T17:01:01.523 に答える
0
POSIX アカウントでは、ユーザー アカウントに有効なシェルが設定されている必要があります。LDAP を使用する場合、これは属性 loginShell によって参照されます。PAM を使用し、適切な属性を構成内の loginShell にマップするか、DC 上の UNIX 用のアクティブな MS サービスにマップする必要があります。これにより、必要な POSIX 属性を含むように AD スキーマが拡張されます。
LDAP についてこれを定義する RFC2307 への参照として、http ://www.ietf.org/rfc/rfc2307.txtを参照してください。
于 2009-12-04T04:02:15.050 に答える
0
簡単な解決策.. pam_krb5+ldap プロジェクト
pam_krb5 PAM モジュールのフォークで、既存の Active Directory ドメインや OpenLDAP サーバーに対して Linux クライアント認証を利用するための非常に使いやすい構成を提供します。
于 2010-03-22T20:00:32.020 に答える