Re: Debian Active Directory Authentifizierung Ãber LDAP

2005-02-11 Diskussionsfäden Mirko Lemke 
Hallo Leute,
habe soeben das Problem gelÃst.
Nach dem ich die bereits die aktuellen Sources ohne Erfolg kompilierte.
Habe ich nun noch mal ein neues sauberes System (Woody) aufgesetzt. Nach 
dem einspielen von libpam0g-dev, libldap2-dev und dem kompilieren der 
aktuellen PADL-Pakete nss-ldap u. pam-ldap, konnte ich endlich eine 
Verbindung zu AD herstellen! (nss-ldap Paket mit --enable-schema-mapping 
u. --enable-rfc2307bis konfigurieren)
Es scheint so, als wenn es definitv an den aktuellen Debian-Paketen liegt.
Um Probleme zu vermeiden, diese wohl am besten gleich auÃen vorlassen u. 
die aktuellen Pakete selbst reinkompilieren.

Dank an alle die sich beteiligten fÃr die UnterstÃtzung.
Wenn jemand genauere Informationen braucht, kann ich diese auch noch mal 
 zu kommen lassen, ansonsten hab ich mein System wie im Erstposting vom 
31.01. konfiguriert.

Gruss Mirko
Ames Andreas wrote:
Hallo,
Mirko Lemke wrote:

hat jemand eine funktionsfÃhige LDAP-Abindung an Microsofts Active
Directory mit Debian. Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login Ãber LDAP vollziehen kann.
Grundlegend wÃre mir zunÃchst wichtig zu wissen, ob es mit den
Debian Hauseigenen-Paketen (libpam-ldap/libnss-ldap) Ãberhaupt
mÃglich ist, oder ob per Hand nachgebessert werden muss?

Ich kenne sicher nicht die LÃsung deines Problems, aber falls du daran
interessiert bist, auf Debian einen Domain-User zu authentifizieren,
dann hatte ich mal Erfolg mittels MIT-Kerberos kinit (Heimdal hatte
irgendein Problem).  Allerdings war das nur mal ein schneller Versuch
an der Commandline, in pam habe ich das nie einzubinden versucht.
Wenn du Erfolg hast, schreib doch mal was kurzes zusammen ...
cheers,

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Directory Authentifizierung Ãber LDAP

2005-02-10 Diskussionsfäden Mirko Lemke 
Hallo Timo,
Hab ich 266 geschrieben? Dann hab ich mich vertan, ich meinte 226. Das ist 
die momentan als stable erachtete bei Gentoo.
Du hast natÃrlich nicht 266 geschrieben, ich habe mal wieder nicht 
richtig geschaut. Sorry.

 > Mittlerweile hab ich auch mal die 220 bei Gentoo ausprobiert und es
funktionierte nicht. Ebenso hab ich (wie auf der bug Seite angeregt) das 
sarge Paket mit der Option rekompiliert. Funktioniert auch nicht. Es 
bestÃrkt mich also in der Annahme, daà es an der 220 liegt.
Konntest du die neuen Pakete die bei dir unter Gentoo liefen, 
erfolgreich unter Debian zum laufen bekommen?


Ãbrigens, ich bin mit den ganzen nss_ldap/pam_ldap Optionen noch nicht so 
ganz durchgestiegen. Ich wÃÃte zugern, was das absolute Minimum ist, um 
das Verhalten eines Linuxsystems komplett abzubilden. Stichwort 
GruppenzugehÃrigkeit (pam_member_attribute) oder Shadow-Funktionen ...
Damit hab ich mich auch noch nicht befasst, mir wÃrde im Moment die 
erfolgreiche Active Directory-Anbindung genÃgen.


AuÃerdem ist mir aufgefallen, daà es mit ssh z.B. drauf ankommt, was in 
der sshd_config steht. Ich hab einfach telnet genommen zum testen.
Wie meinst du das? WÃrde eine Erweiterung des SSH-PAM-Moduls 
(/etc/pam.d/ssh) um die pam_ldap.so EintrÃge etwa nicht genÃgen, damit 
ein LDAP-Login Ãber SSH funktioniert?

Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Directory Authentifizierung Ãber LDAP

2005-02-08 Diskussionsfäden Mirko Lemke 
Hallo Timo,
Danke fÃr die Links zur Debian Bug-List, daran hatte ich gar nicht mehr 
gedacht.

Timo Veith wrote:
Was meinst Du mit "dem aktuellen" ? In unstable scheint auch 220-1 
drinnen zu sein.
Mir war leider nicht bekannt bei welcher Version konkret das Problem 
lag, wie du nun richtig mitteiltest ist es wohl die aktuelle Version und 
somit das Problem immer noch persistent.
Auf unserem AD-Server liegen ausser den Standardobjekten max. 20 
zusÃtzliche. Das sollte dann eigentlich kein Problem sein.
Ich habe mir aber trotzdem noch mal das aktuelle Paket von Padl in der 
Version 233 gezogen. Kurze zwischen Frage: Wo hast du eigentlich die 
Version 266 her? Habe dann noch mal alles neukompiliert auch mit der von 
die genannten Option, zu dem auch noch das pam_ldap Modul neukompiliert.
Leider habe ich immer noch das selbe Problem.
In der /var/log/auth.log erhalte ich folgendes Statement:

PAM_unix[xxx]: check pass; user unknown
192.168.1.50 PAM_unix[218]: authentication failure; (uid=0)
**unknown** for login service 192.168.1.50 login[218]:
FAILED LOGIN (1) on `tty1' FOR `username', Authentication service cannot
retrieve authentication info
Nach der genannten Meldung kÃnnte man meinen das es vielleicht ein 
Konfigurationsproblem mit den PAM-Dateien sein kÃnnte, aber er fragt ja 
definitv die AD-DomÃne (mit Monitor protokolliert) ab. Aber niemand ist 
natÃrlich vor Fehlern gefeilt.


Ohne sicher zu sein wÃrde ich mal behaupten es liegt an der Version. Mit 
226 geht es unter Gentoo nÃmlich.
Hast du's auch schon mal Debian getestet?
Vielleicht setz ich mir zum testen und vergleichen auch noch mal ne 
Gentoo-Maschine auf.

Gruss
Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Directory Authentifizierung Ãber LDAP

2005-02-04 Diskussionsfäden Mirko Lemke 
Hallo Christian, Hallo Ralph,
@Ralph
> reden wir vielleicht auch nicht vom selben?!?
>
> wenn sich debian gegen ad authentifizieren soll, dass muss es ja
> irgendwie das eingegebene kennwort in der gleichen weise wie ad
> verschlÃsseln und dann mit dem kennwort, welches im ad gespeichert ist,
> vergleichen
>
> nur brauchst du eben kerberos um an das kennwort vom ad ranzukommen
Du hast rechte kann sich gegenÃber AD per Kerberos authentifizieren, 
aber es besteht auch die MÃglichkeit sich per LDAP-Modul zu 
authentifizieren. Ich Meinerseits mÃchte die 
LDAP-AuthentifizierungsmÃglichkeit nutzen, da diese in weiteren Diensten 
(Mail, Web, PHP, DBMS) genutzt werden soll. Wir haben ja auch bereits 
wie beschrieben ein System laufen, welches sich entsprechend 
authentifiziert, allerdings basiert dieses auf Suse. Hier nutzen wir 
auch erfolgreich die PAM-LDAP und libnss Module.
Beispiel fÃr eine Konfiguration gibts z.b. hier 
http://www.oo-services.com/de/articles/sso.html.

> aber mir ist da noch was anderes eingefallen, ich meine mal gelesen zu
> haben, dass samba 3.x als backup-ad-server laufen kann, nur nicht selbst
> ad allein kann. wenn das wirklich so ist, dann muss ja samba auch
> irgendwie die kennwÃrter kennen
Das mit dem Samba-Server hatte ich mir auch schon Ãberlegt, aber mit 
Bezug auf einem abgespecktem Backup-Server der in der DMZ steht.
Vielleicht besser als ein kompletter 2003'er DC, allerdings ist mir noch 
nicht klar, ob ein Samba-"BDC" den "richtigen" Windows-Server wirklich 
ersetzen kann, da ich damit noch keine Erfahrungen gemacht habe.
Was zu prÃfen wÃre.

@Christian,
ZunÃchst vielen dank fÃr die gesendeten Dokumente.
Habe sie mir mal angeschaut und wurde in meine Konfigurationsweise 
bestÃtigt. Habe sie also Ãhnlich, Debian entsprechend angepasst, auf 
meinem System laufen (auch wie auf dem vorhandenen Suse-GerÃt). Hatte 
letztens in einer Bug-Liste auch ein Problem mit dem libnss-Paket 
gesehen, mit Bezug auf AD-Authentifizierung, allerdings sollte das mit 
dem aktuellen schon behoben sein.
Ich werde nÃchste Woche noch mal die neuesten Sources kompilieren und 
mal schauen, was bei raus kommt.

Sollte ich eine LÃsung finden, werde ich sie natÃrlich posten.
Ansonsten freue ich mich weiterhin auf rege Anteilnahme, an dem Problem.
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Directory Authentifizierung Ãber LDAP

2005-02-03 Diskussionsfäden Mirko Lemke 
Hallo Ralph,

was noch hÃngengeblieben ist:
der dozent sagte damals, das ad die kennwÃrter per/in kerberos 
speichert. windows aber, wenn es erlaubt ist, beim ausfall von kerberos 
auf die "alte" kennwortspeicherung von "vor ad" zurÃckgreift. man kann 
dies aber wie gesagt erlauben oder nicht, die option gibts wohl, da das 
"alte" net so sicher ist wie kerberos.
Naja, so genau bin ich mit Kerberos auch nicht vertraut, aber ich meine 
zum eigentlichen authentifizieren der Linux-BÃchse genÃgt das pam_ldap 
Modul auf der Linux-Seite. Kerberos ist glaub ich auf jedenfall 
erforderlich, wenn ich auch unter Linux die Windows PasswÃrter Ãndern 
mÃchte. Dieses Feature wird zur Zeit nicht benÃtigt. Naja wie gesagt das 
ist mein gefÃhrliches Halbwissen.

wenn dich aber nur erstmal ldap vpm ad interessiert, dann nimm doch mal 
nen ldap-explorer (z.b. [1]) und verbinde dich damit mit dem ad 
server... das hatte ich so schon mal hinbekommen, ist aber wie gesagt im 
letzten jahr gewesen
LDAP-Browsen mach ich im Moment von Linux aus mit dem ldapsearch Util.
Das von dir genannte Tool ist aufjedenfall Interessant. Habs mir gleich 
mal gezogen.

Aber hat denn wirklich niemand ein Debian GerÃt welches sich gegenÃber 
Active Directory authentifiziert per LDAP? ;-(

Gruss Mirko

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Directory Authentifizierung Ãber LDAP

2005-01-31 Diskussionsfäden Mirko Lemke 
Sorry, ich meinte im letzten Posting natÃrlich "Hallo Andreas", bin im 
Moment 'n bisschen durch 'n Wind.

Ich glaub ich mach fÃr heute erst mal Feierabend u. fang morgen noch mal 
 frisch u. ausgeruht an.

Bitte nich Ãbel nehmen.
Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Directory Authentifizierung Ãber LDAP

2005-01-31 Diskussionsfäden Mirko Lemke 
Ames Andreas wrote:
Hallo,
Mirko Lemke wrote:

hat jemand eine funktionsfÃhige LDAP-Abindung an Microsofts Active
Directory mit Debian. Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login Ãber LDAP vollziehen kann.
Grundlegend wÃre mir zunÃchst wichtig zu wissen, ob es mit den
Debian Hauseigenen-Paketen (libpam-ldap/libnss-ldap) Ãberhaupt
mÃglich ist, oder ob per Hand nachgebessert werden muss?

Ich kenne sicher nicht die LÃsung deines Problems, aber falls du daran
interessiert bist, auf Debian einen Domain-User zu authentifizieren,
dann hatte ich mal Erfolg mittels MIT-Kerberos kinit (Heimdal hatte
irgendein Problem).  Allerdings war das nur mal ein schneller Versuch
an der Commandline, in pam habe ich das nie einzubinden versucht.
Wenn du Erfolg hast, schreib doch mal was kurzes zusammen ...
cheers,
*** Hmm 2. Versuch zu antworten. ***
Hallo Christian,
Kerberos ist auch 'ne Interessante Sache, wird glaub ich sogar von 
Microsoft empfohlen, allerdings wirds dann noch verstrikter. ZunÃchst 
wÃrde mir die angesprochene Anbindung Ãber LDAP "genÃgen".

Wenn ich eine LÃsung haben sollte, die ich aufjedenfall finden muss, 
Reporte ich's noch mal.

Gruss Mirko
--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Director y Authentifizierung über LDAP

2005-01-31 Diskussionsfäden Mirko Lemke 
Hallo Christian,
das mit der Mail-Adresse im letzten Posting war ein versehen vom 
Newsreader bzw. von dem der ihn bedient also mir. Sorry, nun sollte 
wieder der Realname stehen. (i hope so).

Habe dein Angebot auch nur so verstanden, das du mir nur die Dokus 
empfehlen wolltest u. nicht den kompletten Novell-Server. ;-)
Ebenfalls sorry, wenns falsch rüber gekommen sein sollte.
Gerne komme ich auf dein Angebot mit den PDF-Dateien zurück, bin auf dem 
Novell-Seiten nicht so richtig pfündig geworden.
Bitte schicke sie an die genannte Mailadresse (netuser at web .de)
Besten Dank schon mal im voraus.

Da mein Newsreader nun wieder läuft, würde ich wieder im Thread 
antworten wollen, um ihn nicht zu weit zu splitten.

Gruss Mirko
Christian Schmidt wrote:
Hallo netuser,
hier sind Realnamen gerngesehen.
[EMAIL PROTECTED], 31.01.2005 (d.m.y):

danke für deine Antwort u. dem Hinweis auf Novell.
"Leider" muss ich definitiv die Anbindung an den MS Verzeichnisdienst
machen,
da hier die 2500 Nutzer per Domänenmigrierung (NT/NIS) hin migriert
werden.

Ich habe auch nirgendwo geschrieben, dass Du statt AD Netware nehmen
sollst, sondern nur gemutmasst, dass die Authentifizierung in beiden
Faellen wohl aehnlich verlaufen duerfte, und deshalb die Doku zur
Netware-Anbindung eines Unix-Rechners hilfreich sein koennte.
[Home-Dirs von Netware-Server mounten]
Hmm, da kann ich dir leider auch nicht weiterhelfen.

Danke - aber da werde ich schon irgendeine Loesung fuer finden - wenn
ich Zeit habe, mich darum zu kuemmern (momentan hat das wenig bis gar
keine Prioritaet...).

Bei uns habe ich
'nen NFS-Server, von dem sich die Clients per festem Mountpunkt (z.b.
/home1) in der /etc/fstab die Laufwerke ziehen. Allerdings weiss ich
nicht wie man das bei Novell mit dem Eintrag des Homeverzeichnisses
lösen kann.

Man koennte die NFS-Freigabe in einen entsprechend langen Pfad
mounten...

Mit den hauseigenen Paketen ist es schon moeglich, allerdings muessen
diverse Konfigurationsdateien angepasst werden.
Naja habe eigentlich alle soweit mir bekannten relevanten Scripte
bearbeitet, funktioniert ja auch soweit, bis auf die Passwortabfrage.

"Scripte" musste ich keine bearbeiten - nur ein paar Dateien unterhalb
von /etc.

Vielleicht hilft Dir die Netware-Doku zu diesem Thema ja auch
irgendwie weiter. Siehe .
Werd ich mir mal anschauen, vielleichts gibts ein paar Antworten.

Wie gesagt: Ein, zwei PDFs haette ich hier noch auf der Platte
liegen...
Gruss,
Christian Schmidt

--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Re: Debian Active Directory Authentifizierung über LDAP

2005-01-31 Diskussionsfäden Mirko Lemke 
** 2. Versuch noch mal im Thread zu antworten **
** Sorry der Newsreader funzt noch net so **
Hallo Christian,
danke für deine Antwort u. dem Hinweis auf Novell.
"Leider" muss ich definitiv die Anbindung an den MS Verzeichnisdienst
machen,
da hier die 2500 Nutzer per Domänenmigrierung (NT/NIS) hin migriert
werden.
>> Nein, aber gegen die Authentifizierung eines Sarge-Systems gegen
einen
>> Netware-Server habe ich schon hinbekommen.
>> Das war sogar relativ schnell aufgesetzt. Lediglich fuer das Mounten
>> der Home-Verzeichnisse vom Netware-Server habe ich noch keine
einfache
>> Loesung gefunden...
Hmm, da kann ich dir leider auch nicht weiterhelfen. Bei uns habe ich
'nen NFS-Server, von dem sich die Clients per festem Mountpunkt (z.b.
/home1) in der /etc/fstab die Laufwerke ziehen. Allerdings weiss ich
nicht wie man das bei Novell mit dem Eintrag des Homeverzeichnisses
lösen kann.
>> Mit den hauseigenen Paketen ist es schon moeglich, allerdings muessen
>> diverse Konfigurationsdateien angepasst werden.
Naja habe eigentlich alle soweit mir bekannten relevanten Scripte
bearbeitet, funktioniert ja auch soweit, bis auf die Passwortabfrage.
>> Vielleicht hilft Dir die Netware-Doku zu diesem Thema ja auch
>> irgendwie weiter. Siehe .
Werd ich mir mal anschauen, vielleichts gibts ein paar Antworten.
Gruss Mirko


--
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)

Debian Active Directory Authentifizierung über LDAP

2005-01-31 Diskussionsfäden Mirko Lemke 
Hallo,

hat jemand eine funktionsfähige LDAP-Abindung an Microsofts Active
Directory mit Debian. Ich habe im Moment das Problem, das ich weder
mit Woody noch mit Sarge einen Login über LDAP vollziehen kann.
Grundlegend wäre mir zunächst wichtig zu wissen, ob es mit den Debian
Hauseigenen-Paketen (libpam-ldap/libnss-ldap) überhaupt möglich ist,
oder ob per Hand nachgebessert werden muss?

Laut den Paketen sollten die notwendigsten Argumente
(enable-rfc2307bis und --enable-schema-mapping) mit kompiliert sein.
Wenn jemand genauere Hinweise geben kann wäre ich dankbar. Im Anhang
habe ich das Problem noch mal genauer beschrieben.
Ich habe schon diverse Fachleute hinzugezogen bisher ohne Erfolg, nun
bin ich am verzweifeln.

Gruss

Mirko


Detailierte Beschreibung:

Auf der Windowsseite habe ich einen Win2003 DC mit den SFU 3.5 stehen.
Auf der Debianseite habe ich die Pakete libpam-ldap u. libnss-ldap
installiert.
In der ldap.conf habe ich einen User mit binddn/bindpw angegeben der
sich an die 2003-Domäne binden darf. Aus Sicherheit habe ich alle
möglichen Konfig-Dateien verlinkt (/etc/libnss-ldap.conf,
/etc/pam_ldap.conf, /etc/ldap/ldap.conf, /etc/ldap.conf).
Die /etc/nsswitch.conf sieht folgendermaßen aus:
passwdfiles ldap
group files ldap
shadowfiles ldap.
Die /etc/pam.d/login sieht folgendermaßen aus:
authrequired  pam_nologin.so
authsufficientpam_ldap.so
authsufficientpam_unix.so use_first_pass
account sufficientpam_ldap.so
account required  pam_unix.so
session sufficientpam_ldap.so
session required  pam_unix.so
passwordsufficientpam_ldap.so
passwordsufficientpam_unix.so

Per ldapsearch kann ich alle Attribute auslesen, der Binduser
funktioniert also.
Eine andere auf Suse 9.2 basierende Kiste funktioniert auch super,
also sollte auf der Windowsseite alles korrekt konfiguriert sein.
Ich habe den Login mal mit 'nem Netzwerkmonitor überwacht. Der einzige
Unterschied gegenüber Suse ist, das Debian nicht nach den Attributen
der User auf der 2003 Kiste fragt und dann abbricht. Ein zuvor
gelaufener Bind mit dem Binduser funktioniert aber. Da Debian nicht
nach den Attributen des Users sucht, kann sicher auch keine
Übereinstimmung gefunden (imho).

Könnte dies also vielleicht doch an den Debian-Modulen
(pam_ldap.so,...) liegen?

Über eine Bestätigung der Funktionsfähigkeit wäre ich zunächst
dankbar, weitere Tips die zur Ergreifung des Fehlers führen, wären
hilfreich.


-- 
Haeufig gestellte Fragen und Antworten (FAQ): 
http://www.de.debian.org/debian-user-german-FAQ/

Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)