F
Frankenheimer
Grünschnabel
Hallo
In meinem Azubi-Projekt soll ich einen Testrechner im Netzwerk verfügbar machen, einen Webserver installieren und dann möglichst alle Sicherheitslücken schließen.
Der Rechner soll eine Authentifizierung von Usern gegen ein MS ADS ermöglichen.
Ich kann gleich mal unten schreiben was ich bislang gemacht habe und nen paar Details geben. Jedenfalls hänge ich jetzt am Login der User.
Ich möchte es so einrichten, dass der Root user sich nicht mehr direkt über SSH (in diesem fall Putty) einloggen kann, ein SU befehl soll aber sofern man über SSH angemeldet ist aber weiterhin möglich sein.
Desweiteren sollen sich alle User die im ADS vorhanden sind über Putty anmelden können, was mir extreme probs bereitet Ich würde mein Linux wissen auf Anfänger Niveau einstufen, ich brauche extrem gute Dokus oder beschreibungen um sowas umzusetzen.
System: Suse 9 (s390x) SP3
Vorhandene Domäne heisst DOM1
-> Samba installiert
-> Winbind Konfig angepasst (Abschnitt global in smb.conf)
[global]
security = domain
workgroup = DOM1
winbind seperator = +
idmap uid = 10000 - 20000
idmap gid = 10000 - 20000
template shell = /bin/bash
template home dir = /
winbind use default domain = yes
winbind cache time = 300
wins server = (ips nicht im kopf aber einträge sind drin)
der rest der üblichen standardmäßigen einträge ist noch vorhanden
dann habe ich in der Datei /etc/nsswitch.conf
passwd: compat
group: compat
durch:
passwd: files winbind
group : files winbind
shadow: files winbind
ersetzt und anschließend die dienste gestartet.
#chkconfig winbind on
#chkconfig nmb on
#chkconfig smb on
Den Rechner habe ich mit # net rpc join -U (Adminname) angemeldet, musste passwort eingeben und wurde dann hinzugefügt.
danach #rcwinbind -restart & #rcnscd restart ausgeführt
______________________________________
wbinfo -t sagt mir : "the trust secret via RPCalls succeeded"
wbinfo -u zeigt mir die User
wbinfo -g zeigt mir die Gruppen
in /etc/pam.de/sshd habe ich alle zeilen mit
......required pam_unix2.so in ".....sufficient pam_unix2.so" geändert und vor jeder dieser zeieln auf die das zutrifft folgende zeile hinzugefügt:
" .....sufficient pam_winbind.so"
die user werden mir beim grafischen login angezeigt (grafisch wird wohl wieder abgestellt weils nen server ist) aber über putty komm ich nicht drauf.
In meinem Azubi-Projekt soll ich einen Testrechner im Netzwerk verfügbar machen, einen Webserver installieren und dann möglichst alle Sicherheitslücken schließen.
Der Rechner soll eine Authentifizierung von Usern gegen ein MS ADS ermöglichen.
Ich kann gleich mal unten schreiben was ich bislang gemacht habe und nen paar Details geben. Jedenfalls hänge ich jetzt am Login der User.
Ich möchte es so einrichten, dass der Root user sich nicht mehr direkt über SSH (in diesem fall Putty) einloggen kann, ein SU befehl soll aber sofern man über SSH angemeldet ist aber weiterhin möglich sein.
Desweiteren sollen sich alle User die im ADS vorhanden sind über Putty anmelden können, was mir extreme probs bereitet Ich würde mein Linux wissen auf Anfänger Niveau einstufen, ich brauche extrem gute Dokus oder beschreibungen um sowas umzusetzen.
System: Suse 9 (s390x) SP3
Vorhandene Domäne heisst DOM1
-> Samba installiert
-> Winbind Konfig angepasst (Abschnitt global in smb.conf)
[global]
security = domain
workgroup = DOM1
winbind seperator = +
idmap uid = 10000 - 20000
idmap gid = 10000 - 20000
template shell = /bin/bash
template home dir = /
winbind use default domain = yes
winbind cache time = 300
wins server = (ips nicht im kopf aber einträge sind drin)
der rest der üblichen standardmäßigen einträge ist noch vorhanden
dann habe ich in der Datei /etc/nsswitch.conf
passwd: compat
group: compat
durch:
passwd: files winbind
group : files winbind
shadow: files winbind
ersetzt und anschließend die dienste gestartet.
#chkconfig winbind on
#chkconfig nmb on
#chkconfig smb on
Den Rechner habe ich mit # net rpc join -U (Adminname) angemeldet, musste passwort eingeben und wurde dann hinzugefügt.
danach #rcwinbind -restart & #rcnscd restart ausgeführt
______________________________________
wbinfo -t sagt mir : "the trust secret via RPCalls succeeded"
wbinfo -u zeigt mir die User
wbinfo -g zeigt mir die Gruppen
in /etc/pam.de/sshd habe ich alle zeilen mit
......required pam_unix2.so in ".....sufficient pam_unix2.so" geändert und vor jeder dieser zeieln auf die das zutrifft folgende zeile hinzugefügt:
" .....sufficient pam_winbind.so"
die user werden mir beim grafischen login angezeigt (grafisch wird wohl wieder abgestellt weils nen server ist) aber über putty komm ich nicht drauf.