Debian an UCS

doemu22 2013-06-18 08:45:22 UTC #1

Hallo zusammen

Ich habe eine Frage:
Wie kann ich ein Debian an den UCS-Server anhängen? Ich habe es mit der Anleitung vom Ubuntu probiert.
Jedoch scheint dieses nicht zu funktionieren (getent passwd gibt nur lokale User an).

Im Webfrontend kann man den Computer sehen, das hinzufügen des Computer-Accounts hat also funktioniert, auch
Kerberos funktioiniert. Lediglich eben das abgleichen der Users (SSSD?) geht nicht.

Das debugging mit ldapsearch habe ich ausprobiert, jedoch funktioniert auch das ldapsearch nicht.

Habe ich irgendetwas vergessen zu konfigurieren? Mein System wäre ein Debian 7

Vielen Dank schonmal

Howto debian clients anbinden

greif 2013-06-19 09:54:02 UTC #2

Hallo doemu22,

Was kommt denn für ein Fehler? Wenn die Schritte in der Ubuntu-Anleitung befolgt sind, sollte

ldapsearch -s sub -D cn=$(hostname),cn=computers,${ldap_base} -w $(cat /etc/ldap.secret) "(name=$(hostname))"

den LDAP-Eintrag des eigenen Hosts liefern. Alle Schritte danach bauen auf LDAP auf, können also noch nicht funktionieren.
Nächste Hürde wird dann wohl sein, daß 'auth-client-config' ein Ubuntu-Tool ist, entweder man versucht es zu installieren oder man muß die PAM Konfiguration von Hand korrigieren.

Liebe Grüße
Frank Greif

doemu22 2013-06-19 15:04:48 UTC #3

Hab jetzt nochmals alles neu gemacht.
Jetzt komme ich soweit, dass getent nun funktioniert, auch LDAP-search sowie Kerberos funktioniert.

Nun habe ich aber folgendes Problem, und dies liegt meiner Meineung nach an der Konfiguration von den PAM-Files und /oder dem nsswitch.conf File.
Ich kann mich nicht mit einem Domain User einloggen. Das auth.log zeigt mir an, dass das pam_sss authentication failure zurück gibt (mit einem
ominösen system error 4, zu welchem ich im Internet nichts gefunden habe). Das lustige an der ganzen Sache ist zudem auch, dass, wenn ich
Root bin, ich mich Problemlos mit einem "su" auf einen Domain User einloggen kann, jedoch mit einem normalen User geht das nicht.

Die PAM-Files und das nsswitch.conf habe ich jedoch von einem Ubuntu-System genommen, welches ich in die Domain eingefügt habe und keine Probleme hat.

greif 2013-06-20 09:07:46 UTC #4

Hallo doemu22,

Wenn Sie in dem Wiki-Artikel den Abschnitt über auth-client-config anschauen, sehen Sie, daß dieses 'sss' Profil nichts weiter ist als eine Art Template, dessen Inhalt in die nsswitch- und pam-Konfiguration eingemischt werden muß, und genau das tut auth-client-config unter Ubuntu. Diese Arbeit müssen Sie auf Ihrem Debian von Hand erledigen, und im günstigsten Fall nicht von kopierten Ubuntu-Configs ausgehend, sondern besser von den originalen Debian-Configs. Es sieht für mich so aus, als müßten die Abschnitte des auth-client-config Profils in die jeweilgen Common-Dateien gemischt werden, also z.B. müßte

pam_auth=       auth    [success=3 default=ignore]      pam_unix.so nullok_secure try_first_pass
                auth    requisite                       pam_succeed_if.so uid >= 500 quiet
                auth    [success=1 default=ignore]      pam_sss.so use_first_pass
                auth    requisite                       pam_deny.so
                auth    required                        pam_permit.so

bedeuten, daß diese fünf Zeilen in die

/etc/pam.d/common-auth

hineingehören würden. Der Rest wird dann durch Include-Anweisungen in den restlichen Konfigurationsdateien gelöst.

doemu22 2013-06-21 11:00:51 UTC #5

Ok, hab das Problem nun folgendermassen gelöst:

Die Authentifizierung geht nun nicht mehr über SSSD sondern halt direkt über LDAP.

Packet sssd deinstalliert und folgende installiert:
libpam-ldapd
libnss-ldapd
nslcd
nscd

die nslcd.conf

binddn cn=hostname,cn=computers,dc=domain,dc=int
bindpw "pw aus ldap.secret"
...
ssl start_tls
tls_reqcert demand
tls_cacertfile /etc/univention/ssl/ucsCA/CAcert.pem

zudem noch nsswitch.conf

passwd:     compat ldap
group:       compat ldap
...
netgroup    nis ldap

Die PAM-Files muss man nicht anpassen, da diese direkt durch die Installation von libpam-ldapd angepasst werden.

nach der Umstellung funktionierte alles.

Danke vielmals für die Ideenanregungen hier