1. Forum
  2. Usenet
  3. LINUX.DEBIAN.USER.ITALIAN

  • Debian e autenticazione esterna

    From MAURIZI Lorenzo@21:1/5 to All on Tue Feb 15 09:50:01 2022
    Ciao a tutti,
    mi rivolgo alla lista per trovare una soluzione al seguente quesito:
    è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come?

    Il desiderata è che l'utente venga creato manualmente e collegato ad una autenticazione esterna, in modo da poter avere una password unica che viene gestita da AD nelle sue scadenze.
    Grazie in anticipo per ogni consiglio saprete darmi.

    Saluti da Lorenzo

    <html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
    <head>
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    <meta name="Generator" content="Microsoft Word 15 (filtered medium)"> <style><!--
    /* Font Definitions */
    @font-face
    {font-family:"Cambria Math";
    panose-1:2 4 5 3 5 4 6 3 2 4;}
    @font-face
    {font-family:Calibri;
    panose-1:2 15 5 2 2 2 4 3 2 4;}
    /* Style Definitions */
    p.MsoNormal, li.MsoNormal, div.MsoNormal
    {margin:0cm;
    margin-bottom:.0001pt;
    font-size:11.0pt;
    font-family:"Calibri",sans-serif;
    mso-fareast-language:EN-US;}
    a:link, span.MsoHyperlink
    {mso-style-priority:99;
    color:#0563C1;
    text-decoration:underline;}
    a:visited, span.MsoHyperlinkFollowed
    {mso-style-priority:99;
    color:#954F72;
    text-decoration:underline;}
    span.StileMessaggioDiPostaElettronica17
    {mso-style-type:personal-compose;
    font-family:"Calibri",sans-serif;
    color:windowtext;}
    .MsoChpDefault
    {mso-style-type:export-only;
    font-family:"Calibri",sans-serif;
    mso-fareast-language:EN-US;}
    @page WordSection1
    {size:612.0pt 792.0pt;
    margin:70.85pt 2.0cm 2.0cm 2.0cm;}
    div.WordSection1
    {page:WordSection1;}
    </style><!--[if gte mso 9]><xml>
    <o:shapedefaults v:ext="edit" spidmax="1026" />
    </xml><![endif]--><!--[if gte mso 9]><xml>
    <o:shapelayout v:ext="edit">
    <o:idmap v:ext="edit" data="1" />
    </o:shapelayout></xml><![endif]-->
    </head>
    <body lang="IT" link="#0563C1" vlink="#954F72">
    <div class="WordSection1">
    <p class="MsoNormal">Ciao a tutti,<o:p></o:p></p>
    <p class="MsoNormal">mi rivolgo alla lista per trovare una soluzione al seguente quesito:<o:p></o:p></p>
    <p class="MsoNormal">è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come?<o:p></o:p></p>
    <p class="MsoNormal"><o:p>&nbsp;</o:p></p>
    <p class="MsoNormal">Il desiderata è che l&#8217;utente venga creato manualmente e collegato ad una autenticazione esterna, in modo da poter avere una password unica che viene gestita da AD nelle sue scadenze.<o:p></o:p></p>
    <p class="MsoNormal">Grazie in anticipo per ogni consiglio saprete darmi.<o:p></o:p></p>
    <p class="MsoNormal"><o:p>&nbsp;</o:p></p>
    <p class="MsoNormal">Saluti da Lorenzo<o:p></o:p></p>
    </div>
    </body>
    </html>

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From Marco Gaiarin@21:1/5 to All on Tue Feb 15 22:50:01 2022
    Mandi! MAURIZI Lorenzo
    In chel di` si favelave...

    mi rivolgo alla lista per trovare una soluzione al seguente quesito:
    è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come?

    Se non ti interessano gruppi e relative membership:

    apt-get install pam-krb5

    inserisci il realm, quindi dai:

    pam-auth-update

    ed abiliti pam_mkhomedir. Fatta.

    --
    Non può sentirsi degno di essere italiano chi non vota SI al referendum
    (Silvio Berlusconi, 21 giugno 2006)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From MAURIZI Lorenzo@21:1/5 to All on Wed Feb 16 09:50:01 2022
    Mi aggancio alla risposta di Marco per ringraziare lui e Diego per l'aiuto prestato.
    Stavo cercando di studiare il workflow di autenticazione di Kerberos per capire se è mandatorio avere la macchina a dominio per essere "trustata", ma da quello che vedo dalla soluzione proposta da Marco, non serve.
    Provo ad applicare questa soluzione e vi farò sapere gli esiti.

    Saluti da Lorenzo

    -----Messaggio originale-----
    Da: Marco Gaiarin <gaio@lilliput.linux.it>
    Inviato: martedì 15 febbraio 2022 22:31
    A: MAURIZI Lorenzo <l.maurizi@comune.jesi.an.it>
    Cc: debian-italian@lists.debian.org
    Oggetto: Re: Debian e autenticazione esterna

    Mandi! MAURIZI Lorenzo
    In chel di` si favelave...

    mi rivolgo alla lista per trovare una soluzione al seguente quesito:
    è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come?

    Se non ti interessano gruppi e relative membership:

    apt-get install pam-krb5

    inserisci il realm, quindi dai:

    pam-auth-update

    ed abiliti pam_mkhomedir. Fatta.

    --
    Non può sentirsi degno di essere italiano chi non vota SI al referendum
    (Silvio Berlusconi, 21 giugno 2006)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)
  • From MAURIZI Lorenzo@21:1/5 to All on Wed Feb 16 12:10:02 2022
    Cari tutti,
    come promesso ecco i risultati (positivi) riguardo l'oggetto. La mia esigenza era far accedere determinati soggetti ai server linux usando l'autenticazione centralizzata su Active Directory Microsoft.
    Come suggerito da Marco, ho installato il pacchetto libpam-krb5
    apt install libpam-krb5

    Ho poi configurato il file /etc/krb5.conf con i dati necessari.

    Ma non ho attivato su pam-auth-update la creazione automatica della home dir, perché a me interessava autorizzare solo determinati soggetti.
    In questa situazione, se un utente si presenta al login in console, l'autenticazione ha successo, ma non ottiene la shell perché non ha l'utente registrato nel S.O. del server, per cui si ritrova nuovamente alla schermata di login. Via SSH, non viene
    data autorizzazione al login.

    Ma a questo punto se da root faccio
    adduser --disabled-login <nome utente senza domain>
    aggiungo le informazioni gecos e l'utente può fare login su console e ssh con la password di AD.

    L'utente viene inserito su /etc/passwd con una shell e su /etc/shadow con il ! al posto della password, e può fare login con l'autenticazione esterna.

    E' proprio quello che mi serviva. Grazie per l'aiuto.

    Ciao da Lorenzo


    -----Messaggio originale-----
    Da: Marco Gaiarin <gaio@lilliput.linux.it>
    Inviato: martedì 15 febbraio 2022 22:31
    A: MAURIZI Lorenzo <l.maurizi@comune.jesi.an.it>
    Cc: debian-italian@lists.debian.org
    Oggetto: Re: Debian e autenticazione esterna

    Mandi! MAURIZI Lorenzo
    In chel di` si favelave...

    mi rivolgo alla lista per trovare una soluzione al seguente quesito:
    è possibile autenticare gli utenti di un server Debian utilizzando Active Directory ma senza fare il join del server linux al dominio? Se sì, come?

    Se non ti interessano gruppi e relative membership:

    apt-get install pam-krb5

    inserisci il realm, quindi dai:

    pam-auth-update

    ed abiliti pam_mkhomedir. Fatta.

    --
    Non può sentirsi degno di essere italiano chi non vota SI al referendum
    (Silvio Berlusconi, 21 giugno 2006)

    --- SoupGate-Win32 v1.05
    * Origin: fsxNet Usenet Gateway (21:1/5)