Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Obě strany předchozí revize Předchozí verze Následující verze | Předchozí verze Následující verze Obě strany příští revize | ||
cs:spravce:pripojovani:radius:freeradius3:windowsad [2017/05/03 15:17] jan.tomasek@cesnet.cz |
cs:spravce:pripojovani:radius:freeradius3:windowsad [2018/04/09 21:05] jan.tomasek@cesnet.cz |
||
---|---|---|---|
Řádek 49: | Řádek 49: | ||
systém zaregistroval na oba DC zároveň, lze také použít unikátní FQDN. | systém zaregistroval na oba DC zároveň, lze také použít unikátní FQDN. | ||
- | Soubor ''/etc/smb.conf'': | + | Soubor ''/etc/smb.conf'' (Debian 9 má soubor v ''/etc/samba/smb.conf''): |
<file> | <file> | ||
[global] | [global] | ||
Řádek 57: | Řádek 57: | ||
realm = UNIVERZITA.CZ | realm = UNIVERZITA.CZ | ||
</file> | </file> | ||
- | Pozor, workgroup není doména, jméno musí být uvedeno bez koncovky domény 1. řádu. DC jsouopět dva. | + | Pozor, workgroup není doména, jméno musí být uvedeno bez koncovky domény 1. řádu. DC jsou opět dva. |
Soubor ''/etc/nsswitch.conf'': | Soubor ''/etc/nsswitch.conf'': | ||
Řádek 73: | Řádek 73: | ||
kerberosový tiket. Identifikátor domény vyplňovat nemusíme, použije se defaultní. Uživatel nemusí | kerberosový tiket. Identifikátor domény vyplňovat nemusíme, použije se defaultní. Uživatel nemusí | ||
být doménovým administrátorem. Na konci pokusu se musí přihlášení zrušit, krb5 tiket totiž platí 8 | být doménovým administrátorem. Na konci pokusu se musí přihlášení zrušit, krb5 tiket totiž platí 8 | ||
- | hodin. Prostupy FW jsou trochu oříšek, já vypozoroval používání TCP 88, 389, 445 a UDP 88. | + | hodin. Prostupy FW jsou trochu oříšek, já vypozoroval používání TCP 88, 389, 445 a UDP 88. Ale pak ještě aplikační ping na členy domény, je to volání DCERPC a chodí po dynamických portech 1024-65535, spojení navazují různě obě strany. |
<file> | <file> | ||
Řádek 101: | Řádek 101: | ||
<file> | <file> | ||
~# wbinfo -u | ~# wbinfo -u | ||
+ | UNIVERZITA\novak | ||
+ | UNIVERZITA\kocicika | ||
+ | ... | ||
~# wbinfo -g | ~# wbinfo -g | ||
+ | UNIVERZITA\studenti | ||
+ | UNIVERZITA\ucitele | ||
+ | ... | ||
~# wbinfo -P | ~# wbinfo -P | ||
+ | checking the NETLOGON for domain[UNIVERZITA] dc connection to "ldapdc.univerzita.cz" succeeded | ||
~# ntlm_auth --request-nt-key --domain=UNIVERZITA --username=bezny_uzivatel | ~# ntlm_auth --request-nt-key --domain=UNIVERZITA --username=bezny_uzivatel | ||
--require-membership-of="UNIVERZITA\g_eduroam" | --require-membership-of="UNIVERZITA\g_eduroam" | ||
Řádek 111: | Řádek 118: | ||
Password: | Password: | ||
NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d) | NT_STATUS_LOGON_FAILURE: Logon failure (0xc000006d) | ||
+ | </file> | ||
+ | |||
+ | Zajištění automatického startu winbind služby: | ||
+ | <file> | ||
+ | ~# systemctl unmask winbind | ||
+ | ~# systemctl enable winbind | ||
</file> | </file> | ||
Řádek 119: | Řádek 132: | ||
chown root:freerad /var/lib/samba/winbindd_privileged | chown root:freerad /var/lib/samba/winbindd_privileged | ||
</file> | </file> | ||
+ | a nebo přidejte uživatele freerad do skupiny winbindd_priv která má práva čtení a spouštění na dotčeném adresáři. | ||
V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku | V souboru ''/etc/freeradius/mods-enabled/mschap'' se nastaví ověření pomocí sambového ntlm_auth. Pozor na nutnost escapování znaku |