Authentifizierung über einen WIN-PDC

aus WB Wiki; freien Wissensdatenbank rund ums Thema Computer
Version vom 2. März 2010, 11:30 Uhr von DarkNose (Diskussion | Beiträge)

(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Wechseln zu: Navigation, Suche
Eine Umsetzung der FAQ-Artikel erfolgt auf eigene Gefahr. Der Autor weist in seinem Artikel auf den jeweiligen Schwierigkeitsgrad und Zeitaufwand hin. Es wird ausdrücklich empfohlen, vor der Durchführung von Systemänderungen an Windows einen aktuellen Wiederherstellungspunkt anzulegen.
Siehe auch Wiki FAQ und Impressum.

Details
Bereich: Software
Kategorie: System
Gruppe: Linux
Zeitaufwand: Gering
Anforderung: Niedrig
FAQ-Art: Tutorial

Zurück zur Übersicht

Linux


Pascal hatte mal irgendwann gefragt, wie man sich mit einem Linux-Client an einer Windows-Domäne anmelden kann. Ich möchte die Antwort natürlich nicht schuldig bleiben:

Du benötigst erst einmal das Modul pam_smb_auth (in der aktuellen Redhat zu finden als pam_smb-1.1.6-5.i386.rpm). Die Source findest Du ggfs. unter http://www.csn.ul.ie/~airlied/pam_smb.


Installation der pam_smb_auth.so

Das rpm-Paket kannst Du ganz einfach mit

rpm -i pam_smb-1.1.6-5.i386.rpm installieren.

Hast Du die Source-Dateien, erstellst Du die Library über:

./configure && make

cp pam_smb_auth.so /lib/security


Jetzt noch den Library-Cache aktualisieren:

ldconfig


pam-smb einrichten


Lege eine Datei /etc/pam_smb.conf mit folgendem Inhalt an:

Domain,PDC,BDC

Wenn es keinen BDC gibt dann muss der PDC zweimal eingetragen werden!


für PDC und BDC müssen die NetBIOS-Namen der Server eingetragen werden, Domain muss durch den Namen der eigenen Domäne ersetzt werden.

Damit die Server vom System auch gefunden werden, muss die Datei /etc/hosts noch um die entsprechenden Einträge erweitert werden:

192.168.0.1 pdc.domain pdc
192.168.0.2 bdc.domain bdc


Auch hier müssen natürlich die Namen an die Gegebenheiten Deines Netzes angepasst werden.


Damit die smb-auth-Library bei der Anmeldung auch zur Password-Prüfung einbezogen wird, müssen noch die Dateien /etc/pam.d/login, /etc/pam.d/xdm, /etc/pam.d/gdm und /etc/pam.d/kde angepasst(!) werden (kopiere nicht einfach die hier angegebene Datei über die vorhandenen, Du könntest Dich damit dauerhaft aus Deinem System aussperren!).

#%PAM-1.0
auth required /lib/security/pam_securetty.so
auth required /lib/security/pam_smb_auth.so nolocal
auth required /lib/security/pam_nologin.so
account required /lib/security/pam_pwdb.so
password required /lib/security/pam_cracklib.so
password required /lib/security/pam_pwdb.so shadow nullok use_authtok
session required /lib/security/pam_pwdb.so


Wichtig ist die zweite Zeile "...pam_smb_auth.so nolocal". Diese ermöglicht nun die Anmeldung über den Domain-Server. Der Parameter *nolocal" gibt an, dass das Konto, das zur Anmeldung genutzt werden soll, nicht auch lokal (also in der Datei /etc/passwd) vorhanden sein muss.


WICHTIG: bevor Du Dich jetzt abmeldest, teste, ob Du Dich am System noch anmelden kannst!


Wechsle dazu auf die erste Konsole und versuche, Dich anzumelden. War der Versuch erfolgreich, bist Du eigentlich schon mit der Konfiguration fertig, ansonsten musst Du ein wenig mit den Angaben in /etc/pam.d/login experimentieren. (mit Strg + Alt + F7 kommst Du wieder in die grafische Oberfläche zurück.)