Active Directory:Server 2008 和 RHEL 5.10

Active Directory:Server 2008 和 RHEL 5.10

如果这是重新发布,请见谅。我已经在 Google 上搜索并研究这个主题超过三周了,我一次又一次地遇到同样的问题,但我还没有设法解决它。

免责声明:尽管我在工作中被迫担任这个职位,但我并不是一名系统管理员。

我的任务是为我们的环境实施 Active Directory(在 Server 2008 上)配置,该环境包含 Windows XP、Windows 7、Server 2003、Server 2008、Server 2008 R2 和 Red Hat Enterprise 5.10 机箱。很简单。在线获取快速指南,设置测试 VM 服务器,将我的 Win7 客户端连接到我的新 AD。有效。

重复上述步骤,但尝试将 RHEL 5.10 VM 连接到 AD?不行。

我遵循了大约 3 个不同的“指南”,了解如何设置 Linux 以连接到 AD。更详尽的一个是:向 Windows 2008R2 验证 UNIX/Linux 具体来说,RHEL 设置:第 3 部分:RHEL 5.6

列出的攻击计划:

  1. 让 ldapsearch 使用简单绑定,未加密
  2. 配置 LDAP
  3. 验证 LDAP 与 getent(1)、id(1) 等配合使用
  4. 将根 CA 证书从 Windows 导出到 UNIX
  5. 检查 CA 证书是否适用于 OpenSSL
  6. 导入 CA 证书
  7. 使用 ldapsearch 使 LDAPS 工作
  8. 将 LDAP 更改为使用 LDAPS 而不是 LDAP
  9. 验证 Kerberos 是否正常工作:最初,没有主机主体(krb5.keytab)
  10. 配置 PAM 以使用 Kerberos(编辑 /etc/pam.conf)
  11. 验证登录等服务是否可以使用 Kerberos 身份验证,以及密码是否有效
  12. 在 Windows 中创建主机主体密钥表。将其导入 UNIX。
  13. 验证 kinit -k 是否有效
  14. 编辑 /etc/krb5/krb5.conf,在 [libdefaults] 部分包含“verify_ap_req_nofail = true”。这将确保 UNIX 机器的安全,以证明它正在与真正的 KDC 通信。
  15. 使单点登录正常运行

逐字逐句地遵循这些步骤,更改 IP 和主机名以匹配我的测试环境。有一个例外:

C:\>ktpass /princ host/[email protected] \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1

收到错误消息:获取指定用户的目标域。

C:\>ktpass /princ host/[email protected] \
/ptype KRB5_NT_PRINCIPAL /out C:\temp\rhel5host1.keytab /pass mypass \
/crypto AES256-SHA1 /mapuser EXAMPLE\rhel5host1$

用美元符号指定机器帐户,KTPASS 运行顺利,没有任何错误。

在我们测试 Kerberos 之前,一切都 100% 正常:

[root@rhelad ~]# kinit -k
kinit(v5): Client not found in Kerberos database while getting initial credentials

好的,谷歌一下错误,我们得到:

您的 kerberos 主体可能与您本地系统上的用户名不同。

凭证 krb5_get_init_creds_password() 失败:在 Kerberos 数据库中未找到客户端 请确保您输入了正确的名称并且服务器具有正确的名称(仔细检查用户的帐户选项卡,尤其是领域)

所以我检查、摆弄和谷歌搜索,但一无所获。据我所知,RHEL 上的配置是正确的,而且我在 AD 上创建了计算机和用户帐户,没有问题。

我在这里的假设是,我已经正确配置了 RHEL,但在 AD 上创建基于 RHEL 的客户端设置时出了点问题。是的,我已经启用并配置了 UNIX 属性,所以不是那样的。

有人能指点我/向我展示在 AD 上添加和配置 UNIX 计算机和用户的正确步骤吗?如果需要的话,我很乐意“转储”配置。

答案1

您可以使用 Powerbroker Identity Services 或 PBIS 等工具来简化您的生活。他们的网站上有一个开源版本http://www.powerbrokeropen.org/

这是我目前在工作中用来将我们的 Linux 主机加入 AD 的方法,并且它在多个版本的 centos 和 ubuntu 中都有效。

相关内容