是否要将 OpenBSD 5.6 验证到 Windows Server 2008R2 活动目录?

是否要将 OpenBSD 5.6 验证到 Windows Server 2008R2 活动目录?

如何让 openBSD 向 Windows server 2008R2 进行身份验证?我目前已安装 Unix 身份管理 (IDMU)。我还在 openbsd 中安装了 login_ldap。但我不知道在 openBSD 客户端和 windows server 2008 中要配置什么。我的目标是在 windows 服务器目录结构中创建帐户,并能够使用这些帐户从 openbsd 计算机登录。

答案1

实际上,您需要的软件包是login_krb5。您需要的另一个软件包是 软件包heimdal。您还需要升级到 5.7,因为heimdal5.6 中没有可用的软件包。

完成后,复制/usr/local/libexec/auth/login_krb5*/usr/libexec/auth。您需要执行此操作,否则登录过程将无法找到它们。

最后,一个可选步骤是添加/usr/local/heimdal/bin到您的系统路径。这将允许您使用 Kerberos 工具来测试您的配置。如果您选择不这样做,则需要引用每个可执行文件的完整路径(例如/usr/local/heimdal/bin/ktutil

完成所有这些操作(或至少前两个步骤)后,您可以执行以下操作(改编自本文):

  1. 在您的 AD 域中创建一个新的用户帐户 - 不要创建计算机帐户,因为它不起作用。给它输入任何密码(稍后会更改)并禁用密码过期和密码更改。

  2. 创建您的密钥表并设置一个随机密码(其中myhost是您创建的用户,myhost.fqdn是您的服务器名称,EXAMPLE.COM是您的域):

    C:\> ktpass -out c:\temp\myhost.keytab -princhost/[email protected] -mapuser myhost -pType KRB5_NT_PRINCIPAL +rndpass

  3. 将 myhost.keytab 文件安全地复制到您的服务器并删除本地副本。

  4. 将密钥表复制到/etc/heimdal

    # ktutil copy /path/to/myhost.keytab /etc/heimdal/krb5.keytab

  5. 使用下面的内容配置配置文件/etc/heimdal/krb5.conf- 这是您所需的最低限度。

    [libdefaults] clockskew = 300 default_realm = EXAMPLE.COM

    [realms] EXAMPLE.COM = { default_domain = EXAMPLE.COM }

    [domain_realm] .EXAMPLE.COM = EXAMPLE.COM

  6. 确认您是否可以获取票证:

    # kinit [email protected] [email protected]'s Password: # klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: [email protected]

    Issued Expires Principal Jun 4 21:41:05 Jun 5 07:40:28 krbtgt/[email protected]

  7. 在 中/etc/login.conf,替换以下行:

    :tc=auth-defaults:\

    使用以下行:

    :auth=krb5-or-pwd:\

    这将告诉系统对除 root 之外的所有用户使用 Kerberos。如果登录失败,则恢复使用本地密码。

  8. 创建您希望使用 Kerberos 进行身份验证的任何用户。如果您希望使用 Kerberos,则必须执行此操作 - 没有自动过程。无论您给他们什么密码都没关系,因为它会首先检查 Kerberos。

  9. 通过 SSH 测试您的登录。很高兴它们能正常工作。

如果你遇到困难,请告诉我。

相关内容