[Linux-ivv4] Centos 8 Anbindung an AD

Oliver Koch oliver.koch at uni-muenster.de
Do Jul 16 09:44:27 CEST 2020 

Lieber Herr Schulz,

vielen Dank für die Rückmeldung. Es gab noch weiter persönliche 
Rückmeldungen, die nicht über die Liste liefen. Mein Dank geht hier 
nochmal an alle!

Am Ende sind wir im Prinzip zum gleichen Ablauf gekommen. Das ist ja 
schon mal gut. Ich wollte das dann zur Verfügung stellen, sobald der 
Produktiv-Betrieb tatsächlich problemlos getestet wurde.

Die einzige Frage, die wir noch diskutiert hatten ist im Prinzip die 
Einfachheit und Kürze des Ansatzes im Vergleich zu den händischen 
Anpassungen für die anderen Distributionen. Gibt es da vielleicht 
Sicherheitstechnische Punkte, die so nicht abgedeckt werden? Ich gehe 
davon aus, das die Group Policies nur Windows betreffen und somit 
ignoriert werden können.

Viele Grüße

Oliver Koch

Am 15.07.2020 um 13:00 schrieb Michael Schulz:
> Hallo zusammen,
>
> hat ein wenig gedauert. Ich hatte, was zwar selten vorkommt, im Moment
> aber keinen Rechner auf
> dem ich das hätte testen können. Heute hatte ich dann einen :-)
>
> Rechner wurde mit der aktuellen Centos Version installiert. 8.2.2004.
> Rechner ist im AD eingetragen.
>
> --------------------
>
> [root at PGP046 ~]# dnf install realmd sssd oddjob oddjob-mkhomedir adcli
> samba-common samba-common-tools krb5-workstation authselect-compat
>
> [root at PGP046 ~]# realm discover nwz.wwu.de
> nwz.wwu.de
>     type: kerberos
>     realm-name: NWZ.WWU.DE
>     domain-name: nwz.wwu.de
>     configured: no
>     server-software: active-directory
>     client-software: sssd
>     required-package: oddjob
>     required-package: oddjob-mkhomedir
>     required-package: sssd
>     required-package: adcli
>     required-package: samba-common-tools
>
> [root at PGP046 ~]# realm join nwz.wwu.de -U $YACCOUNT_der_joinen_darf!
>
> [root at PGP046 ~]# realm list
> nwz.wwu.de
>     type: kerberos
>     realm-name: NWZ.WWU.DE
>     domain-name: nwz.wwu.de
>     configured: kerberos-member
>     server-software: active-directory
>     client-software: sssd
>     required-package: oddjob
>     required-package: oddjob-mkhomedir
>     required-package: sssd
>     required-package: adcli
>     required-package: samba-common-tools
>     login-formats: %U
>     login-policy: allow-realm-logins
>
> [root at PGP046 ~]# authselect select sssd
> Profile "sssd" was selected.
> The following nsswitch maps are overwritten by the profile:
> - passwd
> - group
> - netgroup
> - automount
> - services
>
> Make sure that SSSD service is configured and enabled. See SSSD
> documentation for more information.
>
> --------------------
>
> sssd.conf anpassen, sssd neu starten und einmal zur Sicherheit den Cache
> leeren (sss_cache -E)
>
> Dann kommt bei einem Versuch sich auf dem Centosrechner per ssh
> anzumelden folgendes auf der Konsole des
> Rechners:
>
> Message from syslogd at pgp046 at Jul 15 05:39:40 ...
>    sssd[be[nwz.wwu.de]][54086]:Group Policy Container with DN
> [cn={5D9202D1-3874-440E-87AA-8C3C657051F1},cn=policies,cn=system,DC=nwz,DC=wwu,DC=de]
> is unreadable or has unreadable or missing attributes. In order to fix
> this make sure that this AD object has following attributes readable:
> nTSecurityDescriptor, cn, gPCFileSysPath, gPCMachineExtensionNames,
> gPCFunctionalityVersion, flags. Alternatively if you do not have access
> to the server or can not change permissions on this object, you can use
> option ad_gpo_ignore_unreadable = True which will skip this GPO. See
> ad_gpo_ignore_unreadable in 'man sssd-ad' for details.
>
> Da ich keinen Access zum AD_Server habe, habe ich
> "ad_gpo_ignore_unreadable = true" in der sssd.conf hinzugefügt und den
> sssd nochmals neu gestartet.
>
> Ich muss dann bei mir noch den Automounter konfigurieren (/home u.
> andere per NFS kommende Sachen) und
> konnte mich dann per ssh auf dem Rechner anmelden.
>
> --------------------
>
> michasch at pgp145 ~ % ssh  pgp046
> michasch at pgp046's password:
> Activate the web console with: systemctl enable --now cockpit.socket
>
> Last login: Wed Jul 15 05:41:30 2020 from 128.176.217.34
> manpath: can't set the locale; make sure $LC_* and $LANG are correct
>
> [michasch at PGP046 ~]$ id
> uid=115218(michasch) gid=1440(p0hansen)
> groups=1440(p0hansen),3366(p0mitarb),4982(p0expert),5637(p0becken)
> context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
>
> --------------------
>
> Das mit dem "context=unconfirmed..." kommt wohl von selinux. Schaltet
> man das aus, ist das auch weg. Nur damit kenne
> ich mich nicht aus. Daher überlasse ich das mal denjenigen die Centos
> besser kennen als ich.
>
> Mehr kann ich nicht sagen, da das der einzige Rechner mit Centos 8 ist
> den ich jetzt habe und ich nichts weiter
> getestet habe als den Login per ssh.
> Viele Grüße,
>
> Micha
>
>
> On 06.07.20 09:47, Oliver Koch wrote:
>> Liebe Linux-Interessierten,
>>
>> ich versuche gerade ein Update unserer Rechner auf Centos 8.2
>> durchzuführen. Leider schlägt die Anbindung an die Domäne/AD fehl. Herr
>> Strathoff hatte mir für Centos 7 ein Protokoll zur Verfügung gestellt,
>> was jetzt aber bei Centos 8 nicht mehr funktioniert. Leider hat Herr
>> Strathoff ja leider die Uni verlassen, und die NWZ Administratoren
>> können mir nicht weiterhelfen.
>>
>> Gibt es vielleicht jemanden, der Rechner mit Centos 8 schon erfolgreich
>> angebunden hat? Oder gibt es jemand, der mir da vielleicht unterstützen
>> könnte? Meine persönliche Expertise in diesem Linux-Bereich ist leider
>> zu gering.
>> Vielen Dank für die Unterstützung.
>>
>> Viele Grüße
>>
>> Oliver Koch
>>
-- 
PD Dr. Oliver Koch

Group Leader
Computational Medicinal Chemistry and Molecular Design

Westfälische Wilhelms-Universität Münster
Institute of Pharmaceutical and Medicinal Chemistry
and German Center for Infection Research
  
Homepage: www.agkoch.de
E-Mail: oliver.koch at uni-muenster.de