Связать Linux с Active Directory, используя Kerberos

Если вы уверены, что все, но PAM работает правильно, я предлагаю передать параметр отладки в pam_krb5.so, чтобы увидеть, дает ли это ключ к пониманию того, что происходит.

Я также предложил бы проверить, что nss-ldap настроен правильно, используя

getent passwd avalidusername

Учетные записи POSIX требуют, чтобы в учетной записи пользователя была установлена ​​оболочка vaild. При использовании LDAP на это ссылается атрибут loginShell. Вам нужно использовать PAM и сопоставить соответствующий атрибут с loginShell в вашей конфигурации или активными службами MS для UNIX на DC, что расширит схему AD для включения необходимых атрибутов POSIX.

См. http://www.ietf.org/rfc/rfc2307.txt в качестве ссылки на RFC2307, который определяет это для LDAP.

Простое решение.. проект pam_krb5+ldap

Вилка модуля pam_krb5 PAM, которая обеспечивает очень простую в использовании конфигурацию для использования аутентификации клиента linux на существующем домене Active Directory и / или сервере OpenLDAP.

Я использовал аналогично, чтобы сделать что-то подобное на наших серверах. Вот процесс, который мы используем для его настройки:

Установите также:

$ sudo apt-get update
$ sudo apt-get install likewise-open

Присоединиться к домену (при условии, что домен "domain.local")

$ sudo domainjoin-cli join domain.local Administrator
$ sudo update-rc.d likewise-open defaults
$ sudo /etc/init.d/likewise-open start

Предполагая, что вы используете sudo И хотите, чтобы пользователи AD могли иметь полномочия sudoer, вам нужно отредактировать файл sudoers. Это можно сделать с помощью следующей команды:

$ sudo visudo

затем добавьте следующее в конец файла (предполагается, что домен "DOMAIN" и все пользователи, которые должны иметь sudo, находятся в группе с именем "linux_admin" в активном каталоге):

%DOMAIN\\linux_admin ALL=(ALL) ALL