aktuell bin ich in einer Umschulung zum FISI und hab dabei im Betrieb viel Berührungspunkte mit Linux, insbesondere clientseits mit Manjaro. Aktuell stellen wir an den Arbeitsplätzen auf Manajro um und wollen dabei aber die Windows AD bzw LDAP Anbindung weiter nutzen, da wir auch Windows weiterhin für einige Kunden nutzen müssen.
Nun habe ich dafür den Guide aus dem Arch Linux Wiki benutzt und ich kann auch der Domäne hier joinen. Nun soll es aber so sein, dass ich mich mit meinem AD-Benutzer auch am Manjaro anmelden kann und hier scheitert es gerade ein wenig. Wenn ich versuche eine SSH-Verbindung mit dem Gerät und meinem Benutzer (ssh Benutzer@Gerät) aufzubauen, fragt er ja dann nach einem Passwort. Hierbei soll dann das in der AD hinterlegte benutzt werden, was er nicht macht. Normal müsste er ja auch ein Benutzerkonto auf dem lokalem System dann anlegen, was er nicht macht oder täusche ich mich?
Ich nutze den aktuellsten Plasma-Release von der Homepage mit dem 5.10.70 LTS-Kernel.
Ich hoffe ihr könnt mir da irgendwie weiterhelfen.
Nebenbei: Wenn in einem Unternehmen auf Manjaro umgestellt wird, dann nehme ich an, dass es bestimmt auch eine fachkundige Person in der Nähe gibt oder direkten Kontakt zu den Entwicklern von Manjaro mit einen Service Vertrag. Vielleicht versuchst du es da am Besten, denn unternehmenskritische Informationen würde ich hier auch nicht veröffentlichen wollen.
Das Arch Wiki beschreibt wie PAM konfiguriert werden muss. Dort wird allerdings Kerberos verwendet. Wenn du lieber SSSD mit LDAP verwenden willst, ist es eine etwas andere Konfiguration. Egal für was du dich entscheidest. Kerberos oder SSSD muss halt korrekt konfiguriert sein und bei SSH zusätzlich noch SSHD, den SSHD erlaubt standradmäßig nur lokale Benutzer.
Grundsätzlich solltest du dir aber noch überlegen ob der Einsatz von Manjaro wirklich eine gute Idee ist.
Ich will quasi auf meinem Manjaro eine SSH-Sitzung mit dem AD-Benutzer machen. Ich hoffe du weisst was ich versuche zu erklären Vielleicht hab ich da auch einfach einen Denkfehler, das will ich nicht absteiten.
Wir sind nur 4 Mitarbeiter, die darauf umsteigen, da Microsoft nicht soooo gern gesehen und genutzt wird hier Manjaro wird auch bisher von 2 Admins hier genutzt, nur soll dann jetzt auch mit Berechtigungen, wie halt in Windows mit WSUS auch, gearbeitet werden.
Und ich bin halt grad noch in der Umschulung/Ausbildung und bin halt gern mal das Testobjekt für neue Objekte
Ich verstehe die Richtung noch nicht ganz :sorry
Verstehe ich richtig du möchtest dich von dem DC Computer per ssh auf dem Rechner wo Manjaro läuft anmelden ?
Von irgendeinem Rechner in der Domäne an einem anderen Manjaro Rechner in der Domäne. Ggf. hat sich vorher der Benutzer an diesem Manjaro Rechner auch noch nie eingeloggt gehabt. Der Manjaro Rechner kennt dann diesen Benutzer noch nicht, aber der DC kennt den User.
Ja korrekt. Mit Kerberos funktioniert das auch, also darüber kann ich mich anmelden, nur per ssh nicht und ich bin da langsam auch mit duckduckgo suche am Ende, deshalb war ich dann noch hier auf die Idde gekommen zu fragen, ob dass schonmal jemand gemacht hat. Ich bin der Meinung, dass die sshd config richtig ist.
Dann hilft nur noch ein blick ins Journal. Was wird geloggt wenn du dich versuchst anzumelden. Ggf. muss das Log etwas ausführlicher (verbose) werden. Wird überhaupt versucht richtig zu authentifizieren? Interessant wäre auch welche Methode verwendet wird (keyboard-interactive wäre besser als das alte password).
So ich hab das nochmal alles ein wenig hinterfragt
Es soll also so aussehen, dass sich der Benutzer auf dem Anmeldebildschirm über den AD anmelden soll und das dann der Manjaro-Benutzer ist.
Sorry falls ich mich zum Teil falsch ausdrücke, ich lerne noch
Ok habs gefunden, ich muss zuerst den Benutzer lokal anlegen, um mich dann mit dem Benutzer über den AD anmelden zu können. Das einzige was nun noch fehlt, ist dass ich mich auch offline mit den AD-Daten anmelden kann. SSSD konnte man dafür nutzen oder täusche ich mich?
Ja das mit Kerberos und dem Anlegen hab ich nun auch gefunden, haut allerdings noch nicht ganz hin mit den Settings. Versuche nun die LDAP Online und Offline Authentifizierung aus dem ArchWiki zu adaptieren, aber haut bisher noch nicht hin. Werde ich Donnerstag weiter probieren, da nun 2 Tage Schule anliegen.
Und der Punkt mit dem Offline anmelden bleibt der Knackpunkt bei der ganzen Sache. Hab es nun mit der Online und Offline Authentication mit LDAP (im ArchWiki OpenLDAP) probiert, aber auf dem Server haben wir kein OpenLDAP laufen sondern das “normale”, scheinbar beißt sich das irgendwo.
Vielleicht hab ich da auch einfach einen Denkfehler, das will ich nicht absteiten.
