Authentifizieren/Authorisieren mit LinOTP/AD

Diskutiere Authentifizieren/Authorisieren mit LinOTP/AD im RedHat,Fedora & CentOS Forum im Bereich Linux Distributionen; Hi, ich komme momentan einfach nicht weiter. Wir betreiben ein LinOTP-Server um uns wg. VPN zu Authentifizieren und einen AD-Server um uns in...

  1. sukr4m

    sukr4m Grünschnabel

    Dabei seit:
    08.02.2017
    Beiträge:
    1
    Zustimmungen:
    0
    Hi,

    ich komme momentan einfach nicht weiter.

    Wir betreiben ein LinOTP-Server um uns wg. VPN zu Authentifizieren und einen AD-Server um uns in der Domäne anzumelden/authorisieren.

    Nun geht es aber darum, das z.b. eine Gruppe im AD angelegt werden soll. Diese Gruppe soll nun, wenn sie sich mit ssh auf unseren CentOS-Systemen anmelden, root-Rechte bekommen.

    Das ganze soll so umgesetzt werden, das man sich mit LinOTP (pam) authentifiziert und danach mit sssd gegen den AD authorisiert.

    Beides habe ich unabhängig von einander hinbekommen aber es läuft eben nicht beides zusammen?!

    Mein CentOS 7 - Testsystem hat momentan diese /etc/pamd/sshd (für pam, LinOTP):

    #%PAM-1.0
    auth required pam_sepermit.so
    auth required /usr/lib64/security/pam_radius_auth.so
    auth substack password-auth
    auth include postlogin
    # Used with polkit to reauthorize users in remote sessions
    -auth optional pam_reauthorize.so prepare
    account required pam_nologin.so
    account include password-auth
    password include password-auth
    # pam_selinux.so close should be the first session rule
    session required pam_selinux.so close
    session required pam_loginuid.so
    # pam_selinux.so open should only be followed by sessions to be executed in the user context
    session required pam_selinux.so open env_params
    session required pam_namespace.so
    session optional pam_keyinit.so force revoke
    session include password-auth
    session include postlogin
    # Used with polkit to reauthorize users in remote sessions
    -session optional pam_reauthorize.so prepare


    Und so sieht meine sssd momentan aus:

    [sssd]
    domains = DOMAIN.de
    config_file_version = 2
    services = nss, pam
    default_domain_suffix = DOMAIN.de

    [domain/DOMAIN.de]
    ad_domain = ADDOMAIN.de
    krb5_realm = DOMAIN.DE
    realmd_tags = manages-system joined-with-samba
    cache_credentials = True
    id_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    use_fully_qualified_names = True
    fallback_homedir = /home/%u@%d
    access_provider = simple
    simple_allow_groups = Marcom, Angebote


    Wie gesagt, beides separat funktioniert nur nicht eben zusammen oder eben nacheinander. Erst die Authentifizierung über LinOTP (pam) und danach gleich die AD-Abfrage wegen dem Authorisierung (root-Rechte).

    Kann mir da jemand einen Tipp oder hilfreiche Seiten geben?

    Danke und viele Grüße
    Sukr4m
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
Thema:

Authentifizieren/Authorisieren mit LinOTP/AD