如何让 openBSD 向 Windows server 2008R2 进行身份验证?我目前已安装 Unix 身份管理 (IDMU)。我还在 openbsd 中安装了 login_ldap。但我不知道在 openBSD 客户端和 windows server 2008 中要配置什么。我的目标是在 windows 服务器目录结构中创建帐户,并能够使用这些帐户从 openbsd 计算机登录。
答案1
实际上,您需要的软件包是login_krb5
。您需要的另一个软件包是 软件包heimdal
。您还需要升级到 5.7,因为heimdal
5.6 中没有可用的软件包。
完成后,复制/usr/local/libexec/auth/login_krb5*
到/usr/libexec/auth
。您需要执行此操作,否则登录过程将无法找到它们。
最后,一个可选步骤是添加/usr/local/heimdal/bin
到您的系统路径。这将允许您使用 Kerberos 工具来测试您的配置。如果您选择不这样做,则需要引用每个可执行文件的完整路径(例如/usr/local/heimdal/bin/ktutil
)
完成所有这些操作(或至少前两个步骤)后,您可以执行以下操作(改编自本文):
在您的 AD 域中创建一个新的用户帐户 - 不要创建计算机帐户,因为它不起作用。给它输入任何密码(稍后会更改)并禁用密码过期和密码更改。
创建您的密钥表并设置一个随机密码(其中
myhost
是您创建的用户,myhost.fqdn
是您的服务器名称,EXAMPLE.COM
是您的域):C:\> ktpass -out c:\temp\myhost.keytab -princhost/[email protected] -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass
将 myhost.keytab 文件安全地复制到您的服务器并删除本地副本。
将密钥表复制到
/etc/heimdal
:# ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab
使用下面的内容配置配置文件
/etc/heimdal/krb5.conf
- 这是您所需的最低限度。[libdefaults] clockskew = 300 default_realm = EXAMPLE.COM
[realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }
[domain_realm] .EXAMPLE.COM = EXAMPLE.COM
确认您是否可以获取票证:
# kinit [email protected] [email protected]'s Password:
# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: [email protected]
Issued Expires Principal Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/[email protected]
在 中
/etc/login.conf
,替换以下行::tc=auth-defaults:\
使用以下行:
:auth=krb5-or-pwd:\
这将告诉系统对除 root 之外的所有用户使用 Kerberos。如果登录失败,则恢复使用本地密码。
创建您希望使用 Kerberos 进行身份验证的任何用户。如果您希望使用 Kerberos,则必须执行此操作 - 没有自动过程。无论您给他们什么密码都没关系,因为它会首先检查 Kerberos。
通过 SSH 测试您的登录。很高兴它们能正常工作。
如果你遇到困难,请告诉我。