Ich habe eine Frage:
Wie kann ich ein Debian an den UCS-Server anhängen? Ich habe es mit der Anleitung vom Ubuntu probiert.
Jedoch scheint dieses nicht zu funktionieren (getent passwd gibt nur lokale User an).
Im Webfrontend kann man den Computer sehen, das hinzufügen des Computer-Accounts hat also funktioniert, auch
Kerberos funktioiniert. Lediglich eben das abgleichen der Users (SSSD?) geht nicht.
Das debugging mit ldapsearch habe ich ausprobiert, jedoch funktioniert auch das ldapsearch nicht.
Habe ich irgendetwas vergessen zu konfigurieren? Mein System wäre ein Debian 7
Was kommt denn für ein Fehler? Wenn die Schritte in der Ubuntu-Anleitung befolgt sind, sollte
ldapsearch -s sub -D cn=$(hostname),cn=computers,${ldap_base} -w $(cat /etc/ldap.secret) "(name=$(hostname))"
den LDAP-Eintrag des eigenen Hosts liefern. Alle Schritte danach bauen auf LDAP auf, können also noch nicht funktionieren.
Nächste Hürde wird dann wohl sein, daß ‘auth-client-config’ ein Ubuntu-Tool ist, entweder man versucht es zu installieren oder man muß die PAM Konfiguration von Hand korrigieren.
Hab jetzt nochmals alles neu gemacht.
Jetzt komme ich soweit, dass getent nun funktioniert, auch LDAP-search sowie Kerberos funktioniert.
Nun habe ich aber folgendes Problem, und dies liegt meiner Meineung nach an der Konfiguration von den PAM-Files und /oder dem nsswitch.conf File.
Ich kann mich nicht mit einem Domain User einloggen. Das auth.log zeigt mir an, dass das pam_sss authentication failure zurück gibt (mit einem
ominösen system error 4, zu welchem ich im Internet nichts gefunden habe). Das lustige an der ganzen Sache ist zudem auch, dass, wenn ich
Root bin, ich mich Problemlos mit einem “su” auf einen Domain User einloggen kann, jedoch mit einem normalen User geht das nicht.
Die PAM-Files und das nsswitch.conf habe ich jedoch von einem Ubuntu-System genommen, welches ich in die Domain eingefügt habe und keine Probleme hat.
Wenn Sie in dem Wiki-Artikel den Abschnitt über auth-client-config anschauen, sehen Sie, daß dieses ‘sss’ Profil nichts weiter ist als eine Art Template, dessen Inhalt in die nsswitch- und pam-Konfiguration eingemischt werden muß, und genau das tut auth-client-config unter Ubuntu. Diese Arbeit müssen Sie auf Ihrem Debian von Hand erledigen, und im günstigsten Fall nicht von kopierten Ubuntu-Configs ausgehend, sondern besser von den originalen Debian-Configs. Es sieht für mich so aus, als müßten die Abschnitte des auth-client-config Profils in die jeweilgen Common-Dateien gemischt werden, also z.B. müßte
bedeuten, daß diese fünf Zeilen in die /etc/pam.d/common-auth hineingehören würden. Der Rest wird dann durch Include-Anweisungen in den restlichen Konfigurationsdateien gelöst.