Які необхідні кроки для аутентифікації користувачів з Active Directory, що працює на Windows Server 2012 R2 у FreeBSD 10.0, використовуючи запуск sssdAD з використанням Kerberos TGT?

Є деякі складні міркування щодо того, щоб все працювало нестандартно. sssdНа даний момент FreeBSD підтримує версію 1.9.6. Таким чином, немає підтримки для основних імен підприємств.

Якщо у вас є домен із невідповідними UPN, він не зможе ввійти, оскільки автентифікація Kerberos не вдасться під час процесу, навіть якщо FreeBSD підтримує основні імена підприємства з Kerberos, це sssdне вдається обробити цей випадок.

Отже, у фактичній версії sssdви маєте обмеження мати головне ім’я користувача у межах одного доменного імені, наприклад:

Domain Name = example.com
NetBIOS Name = EXAMPLE
User Principal Name:
username@example.com sAMAccountName: username

Знаючи це, ми можемо описати кроки для успішної аутентифікації користувачів від AD у FreeBSD.

1. Налаштуйте Kerberos

Створіть файл /etc/krb5.confіз таким вмістом:

[libdefaults]
    default_realm = EXAMPLE.COM
    dns_lookup_realm = true
    dns_lookup_kdc = true
    ticket_lifetime = 24h
    renew_lifetime = 7d
    forwardable = yes

2. Встановіть Samba 4.1 і налаштуйте його для приєднання до домену

Встановіть Samba 4.1:

$ pkg install samba41

Створіть файл /usr/local/etc/smb4.confіз таким вмістом:

[global]
    security = ads
    realm = EXAMPLE.COM
    workgroup = EXAMPLE

    kerberos method = secrets and keytab

    client signing = yes
    client use spnego = yes
    log file = /var/log/samba/%m.log

Запитайте у адміністратора Квіберовий квиток:

$ kinit Administrator

Потім приєднайтесь до домену та створіть вкладку ключів

$ net ads join createupn=host/server-hostname.example.com@EXAMPLE.COM -k
$ net ads keytab create -k

3. Встановіть пакет sssd та Cyrus SASL з підтримкою Kerberos

Встановіть необхідні пакети:

$ pkg install sssd cyrus-sasl-gssapi

Відредагуйте файл /usr/local/etc/sssd/sssd.confвідповідно до цих налаштувань:

[sssd]
    config_file_version = 2
    services = nss, pam
    domains = example.com

[nss]

[pam]

[domain/example.com]
    # Uncomment if you need offline logins
    #cache_credentials = true

    id_provider = ad
    auth_provider = ad
    access_provider = ad
    chpass_provider = ad

    # Comment out if the users have the shell and home dir set on the AD side
    default_shell = /bin/tcsh
    fallback_homedir = /home/%u

    # Uncomment and adjust if the default principal SHORTNAME$@REALM is not available
    #ldap_sasl_mech = GSSAPI
    #ldap_sasl_authid = SERVER-HOSTNAME$@EXAMPLE.COM

4. Додайте підтримку sssd до nsswitch.conf

Відредагуйте файл /etc/nsswitch.confвідповідно до цих налаштувань:

group: files sss
passwd: files sss

5. Налаштуйте PAM, щоб дозволити аутентифікацію sssd та створити домашній каталог

Встановіть додаткові пакети для створення домашнього каталогу:

$ pkg install pam_mkhomedir

Змініть необхідні PAMобласті, щоб відповідати цим параметрам:

auth            sufficient      /usr/local/lib/pam_sss.so
account         required        /usr/local/lib/pam_sss.so        ignore_unknown_user
session         required        /usr/local/lib/pam_mkhomedir.so  mode=0700
session         optional        /usr/local/lib/pam_sss.so
password        sufficient      /usr/local/lib/pam_sss.so        use_authtok

6. Переключіться на клієнта OpenLDAP з підтримкою SASL

$ pkg remove -f openldap-client
$ pkg install openldap-sasl-client

7. Нарешті підтвердьте, що все працює

$ getent passwd <username>

Який Керберос ви тут використовуєте? Вбудований або безпечний / krb5 від MIT?

Встановлюючи sssd, потрібно встановити захист / krb5, який на даний момент досі вважається експериментальним у FreeBSD. Таким чином це питання.

Мені не пощастило отримати користувачів / груп AD під час виконання команд "getent". це може бути пов'язано з тим, що ім'я NETBIOS відрізняється від доменного імені - тобто в моєму випадку доменне ім'я - dawnsign.com, а ім'я NETBIOS - DSP.

Я налаштував лише модуль входу pam.d. Які ще модулі пам’яті потрібно редагувати, щоб пройти успішну аутентифікацію?

Будь-яка додаткова інформація буде дуже вдячна!

Перекомпілюючи samba4 з портів можна використовувати аутентифікацію winbind, як Linux, навіть без sssd. Просто перекомпілюйте samba4 з портів після включення sasl ldap

    pkg remove samba41 
    pkg install cyrus-sasl-gssapi samba36-libsmbclient pam_mkhomedir ldb 
    pkg remove -f openldap-client 
    pkg install openldap-sasl-client 
    cd /usr/ports/security/sssd && make install

Це перекомпілює samba з усією необхідною підтримкою (gssapi, ldap, kerberos), а потім відредагуйте nsswitch.conf, як це

passwd: files winbind
group: files winbind

Привіт,

Це невелике оновлення щодо використання sssd v1.11.7

Якщо ви використовуєте "id_provider = ad" і ви бачите таку помилку в файлі журналу sssd:

/var/log/sssd/sssd_example.com.log
(Sun Oct  5 18:41:37 2014) [sssd[be[alidaho.com]]] [sasl_bind_send] (0x0020): ldap_sasl_bind failed (-12)[Not Supported]
(Sun Oct  5 18:41:37 2014) [sssd[be[alidaho.com]]] [sasl_bind_send] (0x0080): Extended failure message: [unknown error]

Ви можете скористатися наведеною нижче процедурою, щоб вирішити цю проблему та змусити інтеграцію AD правильно працювати. Тепер побудуйте sssd v1.11.7 з підтримкою Samba, потрібна побудова з src sssd, так що це пов'язано з libsasl2

​pkg remove samba41
pkg install cyrus-sasl-gssapi samba36-libsmbclient pam_mkhomedir ldb
pkg remove -f openldap-client
pkg install openldap-sasl-client
cd /usr/ports/security/sssd && make install

Ось мій посібник з інтеграції AD через SSSD з цими версіями FreeBSD на момент написання цього повідомлення (6/2017)

• FreeBSD 10.3 та 11.0 (10.3-РЕЛІЗ-p18 та 11.0-ПОВЕРНЕННЯ-p9)

• Установка (і весела упаковка та проблеми залежностей)

  • Потрібні пакети, здається, не сумісні з Heimdal Kerberos, тому речі повинні бути встановлені та скомпільовані з включеними прапорами MIT Kerberos. Це, швидше за все, є проблемою залежності від упаковки, ніж фактичною проблемою сумісності.
  • Heimdal встановлюється з базовою системою, тому це дає вам два набори команд Kerberos, якщо ви встановите MIT Kerberos, один набір /usr/bin, а інший в /usr/local/bin. Оскільки, здається, жоден з базових системних файлів не міститься в пакеті, ви не можете просто видалити речі Heimdal KRB. Щось слід пам’ятати.

  • Переможна залежність різних пакетів (цікаві відмітки жирним шрифтом, конфліктні депи - жирним курсивом):

    • net-mgmt/adcli:net/openldap24-sasl-client
    • security/cyrus-sasl2-gssapi: security/cyrus-sasl2
    • net/openldap24-sasl-client: security/cyrus-sasl2
    • security/sssd: security/nss
    • security/sssd:security/krb5
    • security/sssd: security/cyrus-sasl2
    • security/sssd:net/openldap24-client
    • security/sssd: lang/python27
    • security/sssd: lang/python2
    • security/sssd: dns/c-ares
    • security/sssd: devel/tevent
    • security/sssd: devel/talloc
    • security/sssd: devel/popt
    • security/sssd: devel/pcre
    • security/sssd: devel/libunistring
    • security/sssd: devel/libinotify
    • security/sssd: devel/gettext-runtime
    • security/sssd: devel/ding-libs
    • security/sssd: devel/dbus
    • security/sssd: databases/tdb
    • security/sssd: databases/ldb

  • Зворотні залежності різних пакетів:

    • net/openldap24-sasl-client: sysutils/msktutil
    • net/openldap24-sasl-client: net/nss-pam-ldapd-sasl
    • net/openldap24-sasl-client: net-mgmt/adcli
      • Як ми бачимо sssd, потрібен MIT Kerberos, навіть якщо у нас є Heimdal в якості базового пакету
      • adcliхоче openldap-sasl-client, але входять інші пакети (включаючи підзалежності sssd) openldap-client, що є mutex з клієнтом sasl (з будь-якої дурної причини). Це спричиняє біль при установці навіть при мінімальному наборі двійкових пакетів.
      • Ці залежності існують як для двійкових пакетів РЕПО, так і якщо пакети вбудовані у дереві портів. Це потребує прикрого конкретного способу монтажу, щоб отримати все, що нам потрібно (висвітлено нижче).

  • Станом на це написання, двійковий pkg для SSSD для FreeBSD не включає підтримку AD в SSSD

    • Версія SSSD для портів повинна бути побудована з увімкненими відповідними параметрами (make config):
      • SMB
    • SSSD також хоче залучити до openldap-клієнта, коли йому дійсно потрібен openldap-sasl-клієнт, щоб правильно функціонувати.
  • Бінарна версія pkg adcliіснує, але станом на цей текст не працює.
    • Знову версія порту була складена з належними параметрами:
      • GSSAPI_MIT
  • cyrus-sasl-gssapi Потрібно, але бінарна версія pkg не працює, і має незвичайні проблеми залежності, які призводять до видалення SSSD.
    • Створіть його з портів з увімкненою опцією MIT-KRB5:
      • GSSAPI_MIT
  • openldap-sasl-client потрібен для функціональності, але SSSD хоче задіяти не-SASL-версію openldap.
    • Щоб зробити цю роботу
      • конфігуруйте openldap-sasl-clientза допомогою GSSAPIпараметра, вибраного ( make config) у портах.
      • Виконайте створення в портах для його побудови
      • Перш ніж встановити, зробіть pkg remove –f openldap-client
        • Це видалить, openldap-clientне роблячи жодних авторемонтів будь-яких інших пакетів (наприклад, SSSD) та дозволить встановити версію SASL
      • Зробіть встановлення для openldap-sasl-client
        • Це встановить його в систему
  • Це забезпечить необхідне функціональне SSSD з можливостями AD.
  • Зверніть увагу, що якщо ви компілюєте SSSD з портів, він втягне в себе багато залежностей, що призведе до їх побудови та вимагатиме вибору параметрів конфігурації.
    • Рекомендується спочатку встановити двійковий пакет за допомогою pkg install sssd, а потім видалити його pkg remove –f sssd
      • Це призведе до того, що бінарні пакунки для більшості речей, до яких потрібно втягнути SSSD, і усунуть необхідність побудови всього цього залежно від портів, що займає досить багато часу.
    • Після видалення перевстановіть SSSD з портів із увімкненими вищезгаданими параметрами, і вам потрібно буде відновити чотири вищевказані пакети, щоб отримати робочу настройку.

  • (Необов’язково) Після того, як все працює і перевірено, ви можете використовувати pkg createдля створення бінарних пакетів з чотирьох пакетів з увімкненими належними параметрами та використовувати ті замість того, щоб будувати їх у портах у кожній системі. Встановлення двійкового файлу відбувається за аналогічною схемою для процесу збирання портів:

    • pkg install sssd-1.11.7_8.txz
      • Ваша версія, звичайно, може бути різною
      • Це дозволить встановити бінарний пакет для SSSD і залучити все, що потрібно від репортажу FreeBSD.
    • pkg add інші пакети (не встановлювати, додавати), зберігаючи пакет openldap останнім часом.
    • Перш ніж додати, openldap-sasl-clientзробітьpkg remove –f openldap-client
      • Це позбавляється від не-SASL-версії та дозволяє встановити нашу версію
    • pkg add openldap-sasl-client-2.4.44.txz
      • Знову ж, ваша версія може бути різною
    • Ви повинні завершити встановлення необхідних пакетів.
    • Це може бути можливим , щоб змінити метадані для двійкового файлу SSSD , перш ніж робити те , pkg createщоб замінити залежність від openldap-clientз , openldap-sasl-clientщоб позбутися від необхідності робити це видалити / перевстановити. У мене не було часу займатися цим.
      • Плюс до цього, існують додаткові залежності SSSD, які також потребують openldap-clientвиправлення.
    • Будь ласка, зауважте, що всі ці примітки є версіями цих пакунків, які зараз перебувають у дереві портів , на момент написання цього документа , та залежностей, які вони пов'язані з ними. Це все може змінитися, коли FreeBSD оновлює дерево портів та бінарні файли. Можливо, одного дня у нас з’явиться двійкова версія всього, що витягує всі правильні залежності з належними параметрами, налаштованими на функціональність AD прямо з коробки.

  • Конфігурація Kerberos:

    • Зразок /etc/krb5.conf файл:

[libdefaults]
   default_realm = MYDOMAIN.NET
   forwardable = вірно
# Зазвичай все, що вам потрібно в середовищі AD, оскільки DNS SRV записує
# ідентифікує сервери / послуги AD / KRB. Прокоментуйте, якщо ви
# хочу вручну вказати на ваш AD-сервер
dns_lookup_kdc = вірно
[царства]
   MYDOMAIN.NET = {
# Якщо ви вручну вказуєте на інший сервер AD, ніж на DNS
# admin_server = adserver.mydomain.net
# kdc = adserver.mydomain.net
   }
[domain_realm]
   mydomain.net = MYDOMAIN.NET
   .mydomain.net = MYDOMAIN.NET

• (відступ)
  • Конфігурація SSSD:
    • Цей приклад передбачає атрибути POSIX в AD для користувачів та груп, як правило, необхідних для заміни існуючого середовища, в якому вже встановлені UID та GID.
    • Зразок /usr/local/etc/sssd/sssd.conf файлу:

[sssd]
config_file_version = 2
домени = MYDOMAIN.NET
послуги = nss, pam, pac
запасний_хомедір = / домашній /% u

[домен / MYDOMAIN.NET]
id_provider = оголошення
access_provider = оголошення
auth_provider = оголошення
chpass_provider = оголошення
# використовувати атрибути AD POSIX, коментуйте, якщо ви використовуєте автоматично створені
# UID та GID.
ldap_id_mapping = Неправильно
cache_credentials = вірно
ad_server = adserver.mydomain.net
# якщо у вас немає bash, або будь-якого іншого, що є в обліковому записі AD
# атрибут встановлений
override_shell = / bin / tcsh

• (відступ)
  • Конфігурація PAM:
    • Конфігурація PAM на FreeBSD трохи хитра через те, як працює OpenPAM. Я не буду вникати в подробиці, але щоб використовувати pam_sss для SSSD і мати його для роботи, а також працювати з логінами passwd, вам потрібно двічі помістити pam_unix у файл. Як я розумію, це стосується вторинної перевірки, яка робиться "за кадром", що вимагає пройти цей другий модуль pam_unix.
      • Ось перелік /etc/pam.dфайлів, які мені довелося змінити, щоб змусити SSSD працювати з FreeBSD:

/etc/pam.d/sshd:

#
# $ FreeBSD: releng / 11.0 / тощо / pam.d / sshd 197769 2009-10-05 09: 28: 54Z des $
#
# Конфігурація PAM для послуги "sshd"
#

# авт
auth достатньо pam_opie.so no_warn no_fake_prompts
автентичний необхідний pam_opieaccess.so no_warn enable_local
#auth достатньо pam_krb5.so no_warn try_first_pass
#auth достатньо pam_ssh.so no_warn try_first_pass
auth достатньо pam_unix.so no_warn try_first_pass nullok
auth достатньо pam_sss.so use_first_pass
потрібний auth pam_unix.so no_warn use_first_pass

# рахунок
потрібен обліковий запис pam_nologin.so
#account потрібно pam_krb5.so
потрібен обліковий запис pam_login_access.so
потрібен обліковий запис pam_unix.so
рахунок достатній pam_sss.so

# сесія
# сесія необов'язково pam_ssh.so want_agent
сесія за бажанням pam_sss.so
потрібен сеанс pam_mkhomedir.so mode = 0700
потрібен сеанс pam_permit.so

# пароль
#password достатній pam_krb5.so no_warn try_first_pass
#password достатній pam_unix.so try_first_pass use_authtok nullok
пароль достатній pam_unix.so try_first_pass use_authtok
пароль достатній pam_sss.so use_authtok

/etc/pam.d/system:

#
# $ FreeBSD: releng / 11.0 / тощо / pam.d / system 197769 2009-10-05 09: 28: 54Z des $
#
# Загальносистемні параметри за замовчуванням
#

# авт
auth достатньо pam_opie.so no_warn no_fake_prompts
автентичний необхідний pam_opieaccess.so no_warn enable_local
#auth достатньо pam_krb5.so no_warn try_first_pass
#auth достатньо pam_ssh.so no_warn try_first_pass
#auth потрібно pam_unix.so no_warn try_first_pass nullok
auth достатньо pam_unix.so no_warn try_first_pass
auth достатньо pam_sss.so use_first_pass
потрібен auth pam_deny.so

# рахунок
#account потрібно pam_krb5.so
потрібен обліковий запис pam_login_access.so
потрібен обліковий запис pam_unix.so
рахунок достатній pam_sss.so

# сесія
# сесія необов'язково pam_ssh.so want_agent
потрібен сеанс pam_lastlog.so no_fail
сесія за бажанням pam_sss.so
потрібен сеанс pam_mkhomedir.so mode = 0700

# пароль
#password достатній pam_krb5.so no_warn try_first_pass
#password потрібно pam_unix.so no_warn try_first_pass
пароль достатній pam_unix.so no_warn try_first_pass nullok use_authtok
пароль достатній pam_sss.so use_authtok
#password обов'язковий pam_deny.so

/etc/pam.d/su:

#
# $ FreeBSD: releng / 11.0 / тощо / pam.d / su 219663 2011-03-15 10: 13: 35Z des $
#
# Конфігурація PAM для послуги "su"
#

# авт
auth достатній pam_rootok.so no_warn
auth достатньо pam_self.so no_warn
автентична пам’ятка pam_group.so no_warn group = колесо root_only fail_safe ruser
auth включають system.dist

# рахунок
Обліковий запис включає system.dist

# сесія
потрібен сеанс pam_permit.so

• (відступ)

  • Примітки:
    • system.distє копією /etc/pam.d/systemфайлу акцій . Він включений у /etc/pam.d/suфайл вище, щоб запобігти проблемам із командою su.
    • Один з них все ще може suзазначати облікові записи AD як корінь, оскільки один раз root suне потребує автентифікації, і інформація про обліковий запис переноситься через службовий комутатор імен через SSSD.
    • Якщо ви дійсно хочете перейти від одного користувача (не root) до іншого користувача, його слід використовувати лише sudoз міркувань безпеки
    • Ви також можете використовувати, ksuщо працює для переходу від користувача A до користувача B
      • За замовчуванням у Heimdal ksu(in /usr/bin) не встановлено SUID
        • Щоб змусити Геймдала ksuпрацювати,chmod u+s /usr/bin/ksu
      • MIT Kerberos ( krb5пакет, встановлений в /usr/local/bin) - це SUID при встановленні
    • Оскільки Heimdal є частиною базового пакету, у вас будуть обидва набори бінарних файлів Kerberos.
      • Ви можете скорегувати типові маршрути так, як /usr/local/binце було раніше /usr/bin, тощо
    • ksu підкаже користувачеві пароль для AD / Kerberos пароля цільового користувача
    • passwdне працюватиме, щоб змінити пароль AD / Kerberos, навіть якщо ви додасте pam_sss.soфайл PAM-файл passwd. passwdДвійкова підтримує тільки локальну і NIS Використання kpasswdзмінити пароль на AD / сервер Kerberos (s).

  • Перемикач обслуговування імен:

    • /etc/nsswitch.confФайл повинен бути налаштований на використання SSS сервісу для паролів і груп. Приклад:
      • group: files sss
      • passwd: files sss

  • Приєднання до домену:

    • Існує два основних інструменти * nixs для приєднання до вашої linux-скриньки
      • adcli
        • Це мій кращий інструмент. Він працює дуже добре, і все можна зробити в одному командному рядку. Посвідчення можна надати неінтерактивно (через stdin тощо)
        • Не вимагаючи робити kinitперед використанням, він робить це для вас на основі наданих кредитів.
          • Приклад:
            • adcli join -D mydomain.net -U Administrator--show-details –v
            • adcli join –H adclient.mydomain.net -D mydomain.net -U Administrator --show-details -v
              • Ця форма рекомендується, оскільки утиліта не завжди правильно визначає FQDN. Коли ви надаєте FQDN, який відповідає як DNS для прямого, так і зворотного для хоста, принципи створюються правильно. Якщо утиліта використовує неправильне ім’я хоста (наприклад, не включаючи домен DNS), деякі принципи обслуговування не будуть створені, і такі речі, як SSH, у хості можуть вийти з ладу.
      • netУтиліта Samba
        • netУтиліта є частиною пакета Samba.
        • Ця утиліта вимагає встановлення даних про домен у smb.confфайлі конфігурації, що ускладнює та незручно користуватися, особливо неінтерактивно.
        • Цей інструмент також вимагає отримати квиток Kerberos, перш ніж використовувати його, використовуючи kinit. Знову ж таки, це незручніше і робить його трохи складніше використовувати неінтерактивний сценарій, оскільки замість одного є два кроки.
          

  • Міркування щодо SSHD:

    • Налагодити SSHD працювати з AD та SSSD, як правило, досить просто
    • Наступні параметри потрібно додати /etc/ssh/sshd_config
      • GSSAPIAuthentication yes
        • Увімкніть аутентифікацію API GSS для SSHD. Це призведе до аутентифікації SSHD проти AD KDC
      • PasswordAuthentication yes
        • Дозволити користувачам входити з паролями. Необхідно, якщо ви бажаєте, щоб користувач отримав квиток KRB5 після входу. Без цього ввімкнено система не може розшифрувати TGT, надісланий KDC.
      • ChallengeResponseAuthentication yes
        • Для FreeBSD цей метод, здається, працює найкраще.
          • Переконайтеся, що ви налаштували PasswordAuthentication noпід час використання цієї опції.
          • Це єдиний метод, який я знайшов для FreeBSD, який працює на зміну пароля, що минув, після входу. Якщо ви використовуєте інший, він дзвонить /bin/passwd, який не підтримує нічого, крім NIS та локального файлу passwd.
      • GSSAPICleanupCredentials yes
        • (необов’язково) Зробимо kdestroyпісля виходу
      • GSSAPIStrictAcceptorCheck no
        • (необов'язково) Цей параметр часто потрібен, якщо SSHD плутається з приводу власного імені хоста, або мультихомед тощо, або іншим чином використовує інший головний сервіс для спілкування з KDC. Зазвичай SSHD використовує головний сервіс host/<FQDN>@REALMдля розмови з KDC, але іноді він помиляється (наприклад, якщо ім'я хоста не відповідає імені DNS сервера SSH). Ця опція дозволяє SSHD використовувати будь-який головний /etc/krb5.keytabфайл, який включає належнеhost/<FQDN>@REALM
    • Залежно від комбінації параметрів, якими ви користуєтесь, вам може не знадобитися додавати принципи хоста до KDC для IPv4 та IPv6 адрес вашого хоста, ssh -K <ip>щоб вони працювали, не вимагаючи введення пароля (припускаючи, що ви вже зробили 'kinit', звичайно).