Authentifizieren/Authorisieren mit LinOTP/AD

S

sukr4m

Grünschnabel
Hi,

ich komme momentan einfach nicht weiter.

Wir betreiben ein LinOTP-Server um uns wg. VPN zu Authentifizieren und einen AD-Server um uns in der Domäne anzumelden/authorisieren.

Nun geht es aber darum, das z.b. eine Gruppe im AD angelegt werden soll. Diese Gruppe soll nun, wenn sie sich mit ssh auf unseren CentOS-Systemen anmelden, root-Rechte bekommen.

Das ganze soll so umgesetzt werden, das man sich mit LinOTP (pam) authentifiziert und danach mit sssd gegen den AD authorisiert.

Beides habe ich unabhängig von einander hinbekommen aber es läuft eben nicht beides zusammen?!

Mein CentOS 7 - Testsystem hat momentan diese /etc/pamd/sshd (für pam, LinOTP):

#%PAM-1.0
auth required pam_sepermit.so
auth required /usr/lib64/security/pam_radius_auth.so
auth substack password-auth
auth include postlogin
# Used with polkit to reauthorize users in remote sessions
-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare


Und so sieht meine sssd momentan aus:

[sssd]
domains = DOMAIN.de
config_file_version = 2
services = nss, pam
default_domain_suffix = DOMAIN.de

[domain/DOMAIN.de]
ad_domain = ADDOMAIN.de
krb5_realm = DOMAIN.DE
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = True
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = Marcom, Angebote


Wie gesagt, beides separat funktioniert nur nicht eben zusammen oder eben nacheinander. Erst die Authentifizierung über LinOTP (pam) und danach gleich die AD-Abfrage wegen dem Authorisierung (root-Rechte).

Kann mir da jemand einen Tipp oder hilfreiche Seiten geben?

Danke und viele Grüße
Sukr4m
 

Ähnliche Themen

Nginx als Reverse Proxy für Nextcloud und Emby

3 Wege zur Authentifizierung?

Zugriff Ubuntu 16.04. auf Freigabe 18.04. LTS nicht möglich

Samba 4 Gast Zugang unter Ubuntu funktioniert nicht

sftp mit vsftpd und mysql

Oben