• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

Active Directory Integration als SSO Lösung

Latrobe

Newbie
Hallo zusammen!

vorerst bitte ich um Nachsicht falls ich die falsche Rubrik gefunden habe, dachte es passt hier am besten rein.
Nun zu meiner allgemeinen Fragestellung:

Mein Ziel ist es eine Integration des Active Directorys als Single Sign On von Windows 2k3 auf Ubuntu zu ermöglichen. Hab mich nun etwas durchgegooglet und rausgefunden dass Samba bzw. Winbind bzw. Kerberos die richtigen Stichwörter sind.

Nun da ich lediglich das AD in die Ubuntu Maschine integrieren möchte brauch ich dazu Winbind? Denn Winbind fügt glaub ich nur zur Domäne hinzu? Ist Samba das richtige dafür? Hab mich auch durch die Wikis gelesen nur da gibts ja allerlei verschiedene was Samba und AD angeht.

Hat hier jemand eine kurze Aufklärung für mich?

PS: es handelt sich hierbei nicht um eine gewöhnliche Abfrage des ADs sondern um eine richtige Integration. Auslesen der Benutzerdaten hab ich schon mit einem PHP skript realisieren können.

Latrobe
 

stka

Guru
Ja das geht, du kannst samba zusammen mit Kerberos in eine AD Domäne einbinden, da brauchst du kein LDAP für. Deshalb schiebe ich das mal nach Samba ;-)
 
OP
L

Latrobe

Newbie
Danke für die Verschiebung ;)

Also mit Samba und Kerberos bin ich nicht nur in der Domäne sondern hab auch Eingriff in die Active Directory Verwaltung? Single Sign On?

Latrobe
 

ThomasF

Hacker
Hallo Latrobe,

wie stka schon sagte die Lösung heißt samba/winbind ...
Aber ich kann dir jetzt schon sagen das das nicht mal eben erledigt ist ...

Zum ersten ... du möchtest Ubuntu verwenden ... welche Version ???
Hardy als LTS Version hat ein "relativ" altes Samba (3.0.28a oder so) ... damit funktioniert nicht alles ...

Jaunty verwendet Samba 3.2 ... das geht schon besser ( Stichwort : nested groups )

Für den Anfang solltest du erstens auf dem Windows Server (2003 R2 empfohlen) die Services für Unix installieren (CD2 ) und zweitens mit Zertifikaten LDAPS einrichten.
Auf den Ubuntu Clients musst du dann Kerberos einrichten ... und zwar bis zu dem Punkt wo du alleine mit dem Kerberos-Ticket und dem Befehl "ldapsearch -h ADS-Server" die ganze ADS bzw. die LDAP-Einträge abfragen kannst ...
Bis du dort bist erwarten dich Themen wir Idmapping und der Domain mit "net ads join -U administrator" beitreten usw.

Was die Vollständige Verwaltung der ADS angeht weiß ich nicht ob du mit Samba /Winbind alles erledigen kannst was du vorhast ... schau dir doch mal die Möglichkeiten unter "net ads" an ...

Ich persönlich verbinde mich dann doch lieber per RDP mir dem PDC und erledige dort die Verwaltung ...

Was SSO angeht ist das eine Frage welche Clients sich an der ADS authentifizieren sollen ... sprich ob sich diese kerberisieren lassen ?!?

So long

ThomasF
 
OP
L

Latrobe

Newbie
Hallo ThomasF!

Also ich verwende Ubuntu 8.10 "Intrepid" Stand Oktober 2008.

Ich würde mich jetzt an das Thema Samba/Winbind trauen und hab mir mal eine Anleitung von der Ubuntu Homepage genommen jedoch seh ich hier nichts von deinen erwähnten Zertifkaten etc. auf dem DC der Windows Maschine?

--> http://wiki.ubuntuusers.de/Samba_Winbind#source-1

ist die überhaupt geeignet dafür?

Bezüglich SSO: Da ich leider auch nur der "ausführende" sein soll und nicht der Aufgabensteller kann ich deine Frage nicht zu 100% beantworten. Meine Aufgabenstellung lautet eben "AD-Integration als SSO Lösung" ich nehme an dass sich die User dann nur 1x anmelden müssen ohne ein zweites mal nach dem Passwort gefragt zu werden? Single Sign On?

ps: eignet sich likewise open auch hierfür? hab mich erfolgreich laut commando zeile zu meiner domäne hinzugefügt, aber wie kann ich mich jetzt anmelden? ein normales anmelden mit einem domain user klappt nicht. muss ich den domänennamen zuvor schreiben? hier erscheint nämlich nicht wie üblich bei windows rechnern eine zweite zeile mit der auswahl der domäne im login.

mfg,
latrobe
 

ThomasF

Hacker
Hehe,

also jetzt kommen wir der Sache schon näher ... du sollst also eine Aufgabe lösen ?!? ;)
Und du brauchst eine Authentifizierung an der ADS für Linux Clients ...
Dann ist der Link den du genannt hast schon mal korrekt und brauchbar ...

Den ersten Schritt, also der Domain beizutreten hast du scheinbar schon geschafft ... der nächste Schritt ist nun den Linux-System zu sagen das es nach den Usern in der ADS nachschauen soll ( Stichwort nsswitch.conf und PAM)

Mein Tip lautet ... informiere dich doch mal welche Infos ein Linux-System überhaupt braucht um einem User ein Login zu gewähren ... Diese Infos müssen in der ADS dann auch vorhanden sein ... Wenn deine Umgebung vorgegeben ist ... ist dies vermutlich schon der Fall ...

Das nächste Thema lautet dann Idmapping .. und da gibt es mehrere Möglichkeiten ... ich bevorzuge die Variante bei der in der ADS alle notwendigen Attribute vorhanden sind, ob das auch deine Aufgabe ist kann ich nicht sagen.

Die Sache mit der Domain ist auch nicht so trivial ... Winbind kennt die "Default-Domain" ...dort ist kein Zusatz nötig .... in einer Umgebung mit mehreren Domains (Multidomain) kennt Winbind einen Seperator ( default = / ... kann aber z.B auf + geändert werden ) dann lautet der User z.B Domain+User.

So nun noch kurz zu SSO ...echtes SSO braucht Kerberos, funktioniert aber nur wenn die Anwendung die den User authentifizieren soll auch mit Kerberos umgehen kann, man spricht dann von einer kerberisierten Anwendung und davon gibt es zwar schon eine ganze Reihe ... aber eben nicht alle und nicht in jeder Version ...

So long

ThomasF
 

stka

Guru
Solange Linux hier wohl Samba nur Kerberosclient sein soll ist das kein Problem, da gibt es tausende von Anleitungen zu im Netz. Einer der wichtigsten Punkte ist, dass die Zeit auf den System genau übereinstimmen muss, da passieren die häufigsten Fehler. Für samba in der Domäne ist das eine Datei die angepasst werden muss. Schau mal bei google wenn du "samba ads kerberos howto" eingibst da findest du eine Menge. Nur ist es ja deine Aufgabe und da musst du schon etwas lesen ;-) ;-)
 
Oben