Fedora-Fr

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Authentification PAM sur Active Directory

toto019

Bonjour,

Je cherche depuis 3 jours, et je ne trouve pas de solutions. Je souhaite actuellement configurer PAM pour prendre une authentification via un annuaire Active Directory sur un serveur Window 2000 Serveur.

En toute logique, je commence pas à pas, et j'ai donc installé pam_ldap pour aller interroger l'AD. J'ai configurer par ailleurs /etc/ldap.conf correctement (enfin je pense ^^). En matière de test, l'interrogation de l'annuaire via un simple ldapsearch -x "sAMAccountName=toto" marche très bien ! Je reçois toutes les informations de l'annuaire. J'ai donc décidé de configurer system-auth via authconfig. Et j'ai intégrer l'interrogation LDAP dans l'authentification.

Voici le fichier /etc/ldap.conf :

host ad
base cn=Users,dc=RESEAU,dc=NET
scope sub
pam_password ad

# RFC2307bis naming contexts
# Syntax:
# nss_base_XXX        base?scope?filter
# where scope is {base,one,sub}
# and filter is a filter to be &'d with the
# default filter.
# You can omit the suffix eg:
# nss_base_passwd    ou=People,
# to append the default base DN but this
# may incur a small performance impact.
nss_base_passwd        cn=Users,dc=RESEAU,dc=NET?one
nss_base_shadow        cn=Users,dc=RESEAU,dc=NET?one

# RFC 2307 (AD) mappings
#nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount User
nss_map_attribute uid sAMAccountName
nss_map_attribute cn sAMAccountName
#nss_map_attribute homeDirectory unixHomeDirectory
#nss_map_attribute shadowLastChange pwdLastSet
#nss_map_objectclass posixGroup group
#nss_map_attribute uniqueMember member
pam_login_attribute sAMAccountName
pam_filter objectclass=user
#pam_password md5

ssl no
tls_cacertdir /etc/openldap/cacerts

Le fichier /etc/pam.d/system-auth :

#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_ldap.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so broken_shadow
account     sufficient    /lib/security/$ISA/pam_localuser.so
account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account     [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_ldap.so
account     required      /lib/security/$ISA/pam_permit.so

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    sufficient    /lib/security/$ISA/pam_ldap.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
session     optional      /lib/security/$ISA/pam_ldap.so

Seulement voilà, une erreur survient à l'authentification (kerberos est le nom de la machine):

Apr 20 10:13:17 kerberos login(pam_unix)[10309]: check pass; user unknown
Apr 20 10:13:17 kerberos login(pam_unix)[10309]: authentication failure; logname= uid=0 euid=0 tty=tty1 ruser= rhost=
Apr 20 10:13:17 kerberos login[10309]: pam_ldap: error trying to bind as user "CN=toto tt. toto,CN=Users,DC=RESEAU,DC=NET" (Invalid credentials)
Apr 20 10:13:19 kerberos login[10309]: FAILED LOGIN 1 FROM (null) FOR toto, Authentication failure

L'utilisateur existe bien, mais l'erreur trouvé via ethereal est :

Lightweight Directory Access Protocol
    LDAP Message, Bind Result
        Message Id: 3
        Message Type: Bind Result (0x01)
        Message Length: 94
        Response To: 12
        Time: 0.031616000 seconds
        Result Code: invalidCredentials (0x31)
        Matched DN: (null)
        Error Message: 80090308: LdapErr: DSID-0C09030B, comment: AcceptSecurityContext error, data 52e, v893

L'invalid credential semble vouloir dire que mon password est incorrect. Mais je rentre le bon. La piste que je suis entrain de suivre serait que je n'arrive pas à m'authentifier à l'annuaire avec l'utilisateur toto (soit je n'ai pas les droits ... pourtant j'ai autoriser le bind en anonyme et à tout le monde, soit ce n'est pas le bon nom d'utilisateur, car toto est enregistré dans l'annuaire en cn=toto tt. toto,cn=SUers,dc=RESEAU,dc=NET).

Please, i need some help ! J'arrive malheureusement à cours d'idée. J'ai trituré les fichiers de conf dans tous les sens.

toto019

J'ai l'impression de parler dans le vide ... et je suis toujours coincé par ce problème !
Je me suis aperçu que mon getent passwd ne m'affiche pas mes utilisateurs de Active Directory ! J'ai donc voulu savoir comment cela fonctionne, et il faut configurer nss_ldap. Seulement voilà, partout sur le net je lis: aller voir dans nss_ldap.conf ou libnss_ldap.conf ... mais ce fichier n'existe pas sur la fedora ! Il n'y a que le fichier nsswitch.conf que je dois renseigner ? Si c'est le cas, c'est déjà fait.

Enfin voilà, si une personne (au moins) voit où ca coince, je suis preneur !

drpixel

La dernière fois que j'ai utilisé l'autentification sur l'AD, je n'ai pas utilisé ldap mais kerberos.

remi

J'utilise cette configuration (LDAP/AD) depuis longtemps.
Bon, moi j'utilise l'authentification NTLM (pam_smb), LDAP ne sert que pour la gestion des comptes, mais tu devrais trouver des infos ici

Voici quelques étapes :

1/ étendre le schema de l'AD en installant "Server For Unix 3.5" de manière à disposer de l'onglet "Unix" dans AD

2/ créer un utilisateur "proxy" qui dispose de l'accès en lecture de l'AD

3/ configurer ldap.conf

host serveur.truc.machin.fr
base DC=truc,DC=machin,DC=fr
port 389
ssl no
ldap_version 3
binddn CN=proxyldap,CN=Users,DC=truc,DC=machin,DC=fr
bindpw proxyldap
scope sub
timelimit 3
bind_timelimit 3

nss_base_passwd OU=bidule,DC=truc,DC=machin,DC=fr
nss_base_shadow OU=bidule,DC=truc,DC=machin,DC=fr
nss_base_group  OU=bidule,DC=truc,DC=machin,DC=fr
nss_map_objectclass posixAccount user
nss_map_objectclass shadowAccount user
nss_map_attribute uid            msSFU30Name
nss_map_attribute gidNumber      msSFU30GidNumber
nss_map_attribute uidNumber      msSFU30UidNumber
nss_map_attribute uniqueMember   msSFU30PosixMemberOf
nss_map_attribute userPassword   msSFU30Password
nss_map_attribute homeDirectory  msSFU30HomeDirectory
nss_map_attribute gecos          displayName
nss_map_attribute description    userPrincipalName
nss_map_attribute loginShell     msSFU30LoginShell
nss_map_objectclass posixGroup   Group
pam_login_attribute msSFU30Name
pam_filter objectclass=user
pam_password md5

A+

toto019

La dernière fois que j'ai utilisé l'autentification sur l'AD, je n'ai pas utilisé ldap mais kerberos.

C'est mon but. Mais il semblerait qu'il faille utiliser ldap pour la validation des utilisateurs par le système. Ma machine doit à terme utiliser kerberos pour s'authentifier (les fameux tickets) pour faire du SSO. Mais pour le moment je souhaiterais faire valider l'utilisateur par l'AD, et retrouver le principal associé à l'utilisateur. Enfin bref, peut-être que ca marche déjà, je ne sais pas. Je n'ai pas encore inclus pam_krb5.

Mais à vrai dire, je commence à être perdu 😃

Voici quelques étapes :

1/ étendre le schema de l'AD en installant "Server For Unix 3.5" de manière à disposer de l'onglet "Unix" dans AD

2/ créer un utilisateur "proxy" qui dispose de l'accès en lecture de l'AD

3/ configurer ldap.conf

Je suis passé par l'étape 1, hier avant de poster. J'ai du réinstaller mon serveur 2000 car le Server For Unix 3.5 faisait planter mon Active Directory (je voyais l'onglet, je sélectionne un domaine NIS (pour la forme) et bam ... freeze total). Quoique, j'ai du installer AD4Unix je pense. Le Server For Unix 3.5 est le composant Microsoft ?

J'ai autoriser un bind anonyme sur mon annuaire, c'est pas très propre (contrairement au coup du user proxy), mais au moins je peux avoir n'importe quelles données. Le truc qui me semble bizarre, c'est que pam_ldap veut faire un bind sous l'utilisateur qui tente de se loguer, et là ca coince.

EDIT : Merci pour vos réponses ! Je me sens moins seul 😛

remi

Le Server For Unix 3.5 est le composant Microsoft ?

Oui. Il est disponible gratuitement sur leur site.

Pour info, une source de documentation intéressante (c'est de ça que je suis parti) se trouve chez HP, cela concerne leur client LDAP-UX et Kerberos, mais il y a beaucoup d'info intéressantes, notament concernant la création de l'utilisateur Proxy et la configuration de l'AD.

Kerberos
LDAP-UX

Perso j'ai préféré utiliser le pam_smb (qui oblige à être en mode mixte sur l'AD) plutôt que kerberos, car l'ajout des PC au domaine est problèmatique dans un grand parc, il interdit le clonage des PC (remarque on est bien obligé de le faire pour Windows).

A++

toto019

Perso j'ai préféré utiliser le pam_smb (qui oblige à être en mode mixte sur l'AD) plutôt que kerberos

pam_smb s'appuie tout de même sur Kerberos non ? Car si j'ai bien compris, le système d'authentification windows (depuis windows server 2000) s'appuie sur Kerberos quand il est couplé avec un annuaire Active Directory. Je pose cette question, parce qu'à terme je souhaiterais faire du Single Sign On sur mon parc informatique ultra-hétérogène. Ca devrait donc fonctionner sur des machines windows (XP je pense), Linux, Solaris (en principe), i5/OS, etc. Et le Single Sign On devrait donc passer par les fameux tickets Kerberos (venus de l'AD windows 2000 Serveur).

J'ai tenté une configuration avec winbind et Samba ce matin. Avec winbind j'arrive enfin à avoir mes utilisateurs Active Directory (quoique, là, ca ne marche plus ...). Avec Samba, il est possible de lui renseigner un @realm Kerberos (mon windows 2000 serveur), après l'avoir ajouter au domaine concerné. C'est encore à approfondir, mais je n'écarte pas cette possibilité: couplé avec pam_smb, cela pourrait-il faire un joli truc ?

Et tes liens sont très intéressants! Je trouve une miriade de renseignements assez poussés, merci bien.

remi

pam_smb s'appuie tout de même sur Kerberos non ?

Pour moi non.

pam_smb s'appuie sur l'authentification NTLMv2 issu de NT4.

A+

toto019

Ok ! Merci pour ta doc HP-UX. Elle m'a pas mal aidé (notamment pour Serveur For Unix).
Donc, j'ai réussi à passer une authentification Kerberos, avec récupération d'un ticket valide, via un annuaire Active Directory d'un serveur Windows 2000. Je n'utilise que nss_ldap et pam_krb5.

Pour ceux que ca intéresse, je poste des portions de fichiers de conf qui sont intéressantes.
Donc, tout d'abord, le fichier /etc/nsswitch.conf :

passwd:     files ldap
shadow:     files ldap
group:      files ldap

Ensuite le fichier /etc/krb5.conf :

[libdefaults]
  default_realm = RESEAU.NET
  dns_lookup_realm = false
  dns_lookup_kdc = false
  default_tkt_enctypes = des-cbc-md5
  default_tgs_enctypes = des-cbc-md5

[realms]
  RESEAU.NET = {
  kdc = ad.reseau.net
  default_domain = reseau.net
}

[domain_realm]
  .reseau.net = RESEAU.NET
  reseau.net = RESEAU.NET

[appdefaults]
  pam = {
    debug = true
    ticket_lifetime = 36000
    renew_lifetime = 36000
    forwardable = true
    krb4_convert = false
}

Il y a aussi le fichier /etc/ldap.conf, bien évidemment :

base cn=Users,dc=RESEAU,dc=NET
#binddn cn=proxyunix,cn=Users,dc=RESEAU,dc=NET
#bindpw proxyunix
scope sub
pam_password md5

nss_base_passwd        cn=Users,dc=RESEAU,dc=NET
nss_base_shadow        cn=Users,dc=RESEAU,dc=NET
nss_base_group        cn=Builtin,dc=RESEAU,dc=NET

# Services for UNIX 3.5 mappings
nss_map_objectclass posixAccount User
nss_map_objectclass posixGroup Group
nss_map_objectclass shadowAccount User

nss_map_attribute uid msSFU30Name
nss_map_attribute gid msSFU30GidNumber
nss_map_attribute uidNumber msSFU30UidNumber
nss_map_attribute gidNumber msSFU30GidNumber
nss_map_attribute uniqueMember msSFU30PosixMember
nss_map_attribute userPassword msSFU30Password
nss_map_attribute homeDirectory msSFU30HomeDirectory
nss_map_attribute gecos displayName
nss_map_attribute loginShell msSFU30LoginShell
nss_map_attribute description displayName

pam_login_attribute userPrincipalName
pam_filter objectclass=User
#pam_password ad

ssl no
tls_cacertdir /etc/openldap/cacerts

Et enfin le fichier /etc/pam.d/system-auth :

auth        required      /lib/security/$ISA/pam_env.so
auth        sufficient    /lib/security/$ISA/pam_unix.so likeauth nullok
auth        sufficient    /lib/security/$ISA/pam_krb5.so use_first_pass
auth        required      /lib/security/$ISA/pam_deny.so

account     required      /lib/security/$ISA/pam_unix.so broken_shadow
account     sufficient    /lib/security/$ISA/pam_localuser.so
account     sufficient    /lib/security/$ISA/pam_succeed_if.so uid < 100 quiet
account     [default=bad success=ok user_unknown=ignore] /lib/security/$ISA/pam_krb5.so
account     required      /lib/security/$ISA/pam_permit.so

password    requisite     /lib/security/$ISA/pam_cracklib.so retry=3
password    sufficient    /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow
password    sufficient    /lib/security/$ISA/pam_krb5.so use_authtok
password    required      /lib/security/$ISA/pam_deny.so

session     required      /lib/security/$ISA/pam_limits.so
session     required      /lib/security/$ISA/pam_unix.so
session     optional      /lib/security/$ISA/pam_krb5.so

Donc voilà, l'identification du nom d'utilisateur se fait par nss (via nsswitch), et l'authentification se fait par kerberos. Il reste encore 2 3 trucs à configurer et à optimiser bien sûr: suppression de la demande de password par nss dans le mappage, et desactivation de l'option de password dans ldap.conf (qui vaut md5 là).

a+

EDIT : C'est bon, pas besoin des options nss_map_attribute userPassword msSFU30Password et pam_password md5 dans le fichier /etc/ldap.conf

remi

Pense aussi à activer le service nscd (cache sur les fichiers passwd, group...) pour éviter de surcharger ton servuer LDAP (AD).

A+

toto019

pas bête ^^

En passant, comment on fait pour créer un $home automatiquement dans un rep spécifique (ie : /home/adusers dans le lequel je créé mon $home de user) ?

EDIT : j'ai rien dit, tout simplement avec pam_mkhomedir skel=/etc/skel

toto019

Il faudrait que j'active la synchronisation du temps. J'ai fait en sorte que mon serveur Windows 2000 (qui possède l'Active Directory et qui résoud l'authentification Kerberos) soit le serveur de temps de mon réseau. J'ai suivi la doc fournit par Microsoft : support.microsoft.com/kb/216734/.

Seulement voilà, j'ai configuré mon client Linux (FC4) avec NTP. Dans /etc/ntp.conf j'ai mis

server monServeur

Rien d'autre. Quand je rédémarre le démon ntpd, il plante lamentablement en m'indiquant qu'il ne peut pas se synchroniser avec le serveur de temps. Quand je filtre les paquets transmis, à l'aide Ethereal, je remarque que la connexion avec le serveur Windows 2000 s'effectue bien, et que le bon temps est renvoyé au client. J'en conclus donc que j'ai un problème de configuration au niveau de ma Fedora, mais je ne sais pas où ... Une idée ?

toto019

Quelques infos supplémentaires. Quand je fais un ntpdate -dv monServeur, j'ai 2 lignes anormales qui apparaissent:

Server dropped: Server has gone too long without sync
et
no server suitable for synchronisation found

J'ai fait quelques recherches sur internet, mais je n'ai rien trouvé.

remi

Voir la ligne "restrict" du ntp.conf afin d'autoriser le serveur 2000 à modifier l'heure de ton serveur FC.

A

toto019

server 10.157.222.48

# Par defaut on restreint tout
restrict default notrust nomodify
# Seul le serveur de temps peut modifier
restrict 10.157.222.48

Et voilà l'erreur (avec ou sans démarrage du démon ntpd):

[root@cli01 log]# ntpdate -dv monServeur
25 Apr 09:42:55 ntpdate[2540]: ntpdate 4.2.0a@1.1190-r Thu Apr 14 07:47:27 EDT 2005 (1)
Looking for host monServeur and service ntp
host found : 10.157.222.48
transmit(10.157.222.48)
receive(10.157.222.48)
transmit(10.157.222.48)
receive(10.157.222.48)
transmit(10.157.222.48)
receive(10.157.222.48)
transmit(10.157.222.48)
receive(10.157.222.48)
transmit(10.157.222.48)
10.157.222.48: Server dropped: Server has gone too long without sync
server 10.157.222.48, port 123
stratum 2, precision -7, leap 00, trust 000
refid [10.157.222.48], delay 0.03355, dispersion 0.00211
transmitted 4, in filter 4
reference time:    00000000.00000000  Thu, Feb  7 2036  7:28:16.000
originate timestamp: c7f85258.bfffffff  Tue, Apr 25 2006  9:46:32.750
transmit timestamp:  c7f8517f.3b56fb8f  Tue, Apr 25 2006  9:42:55.231
filter delay:  0.03372  0.03355  0.03355  0.03355
         0.00000  0.00000  0.00000  0.00000
filter offset: 217.5028 217.5184 217.5183 217.5181
         0.000000 0.000000 0.000000 0.000000
delay 0.03355, dispersion 0.00211
offset 217.518486

25 Apr 09:42:55 ntpdate[2540]: no server suitable for synchronization found
[root@cli01 log]#
[root@cli01 log]#
[root@cli01 log]#
[root@cli01 log]# tail messages
Apr 25 09:40:14 cli01 ntpd[2493]: kernel time sync status 0040
Apr 25 09:42:46 cli01 ntpd[2493]: ntpd exiting on signal 15
Apr 25 09:42:47 cli01 ntpdate[2532]: no server suitable for synchronization found
Apr 25 09:42:47 cli01 ntpd[2536]: ntpd 4.2.0a@1.1190-r Thu Apr 14 07:47:25 EDT 2005 (1)
Apr 25 09:42:47 cli01 ntpd[2536]: precision = 4.000 usec
Apr 25 09:42:47 cli01 ntpd[2536]: Listening on interface wildcard, 0.0.0.0#123
Apr 25 09:42:47 cli01 ntpd[2536]: Listening on interface wildcard, ::#123
Apr 25 09:42:47 cli01 ntpd[2536]: Listening on interface lo, 127.0.0.1#123
Apr 25 09:42:47 cli01 ntpd[2536]: Listening on interface eth0, 10.157.222.53#123
Apr 25 09:42:47 cli01 ntpd[2536]: kernel time sync status 0040

Même en démarrant le démon ntpd, la synchronisation ne se fait pas, et c'est exactement la même erreur.

toto019

Bon, des nouvelles !
Il semblerait, d'après la liste de diffusion du projet ntpd, que le service W32Time de Microsoft ne soit pas un serveur NTP correct. En effet, il implémente très mal la norme, de ce fait la synchronisation entre un client Linux et un serveur Windows (2000, 2003, peut-être même XP) ne peut pas marcher.

Problème à moitié résolu donc : mon serveur windows 2000 doit donc être synchronisé en temps sur un serveur Linux, et mes clients Windows et Linux doivent être synchronisé sur ce serveur. Ou comment faire compliqué, quand on pourrait faire simple ...