SSH mit Windbind/ADS

Florian Auer mail at floeschie.org
Fre Jul 27 10:58:31 BST 2007 

Hallo Gruppe,


ich möchte einen Ubuntu-Server in eine Active-Directory-DomÀne einbinden. 
SAMBA und Winbind sind korrekt konfiguriert, ich konnte den Rechner in das 
Active Directory System integrieren und "wbinfo -u" zeigt mir auch brav 
alle Benutzer aus dem ADS an.

Weiterhin klappt auch der Autorisierung von Subversion-Clients ĂŒber 
Winbind, die auf eine Samba-Freigabe zugreifen (Die Gruppe "svnUsers" ist 
eine OU im ADS):
---8<---
[svn-repos]
valid users = @svnUsers
...
---8<---


Nun hÀtte ich noch gerne, dass ADS-Benutzer sich auch per SSH anmelden 
können. Im ersten Schritt soll dies erst mal allen ADS-Benutzern sein, 
spÀter möchte ich den Zugriff per SSH auf eine bestimmte OU beschrÀnken.

Ich habe habe also die PAM-Konfiguationen nach den folgenden HOWTOS 
geÀndert:
http://www.linux-club.de/faq/Linux-Client_in_Windows_Domain
http://ubuntuforums.org/showthread.php?t=473435

Sie sehen jetzt so aus:
http://pastebin.com/fd8129aa


Login ĂŒber SSH:
------------ 8< ------------
localhost$ ssh benutzer.name at remotehost
benutzer.name at remotehost's password:
<snip>Hier kommt die MOTD des remotehost</snip>
Last login: Fri Jul 27 10:49:47 2007 from 192.168.74.103
Connection to remotehost closed.
localhost$
------------ 8< ------------


Ausgabe in /var/log/auth.log:
------------ 8< ------------
pam_winbind[26673]: user 'benutzer.name' granted access
pam_winbind[26673]: user 'benutzer.name' granted access
sshd[26673]: Accepted password for benutzer.name from 192.168.74.103 port 
49046 ssh2
sshd[26676]: (pam_unix) session opened for user benutzer.name by (uid=0)
sshd[26676]: pam_mount: reading options_allow...
sshd[26676]: pam_mount: reading options_require...
sshd[26676]: pam_mount: back from global readconfig
sshd[26676]: pam_mount: per-user configurations not allowed by 
pam_mount.conf
sshd[26676]: pam_mount: no volumes to mount
sshd[26676]: pam_mount: real and effective user ID are 0 and 0.
sshd[26676]: pam_mount: clean system authtok (0)
sshd[26676]: pam_mount: command: /usr/sbin/pmvarrun [-u] [benutzer.name] 
[-d] [-o] [1]
sshd[26677]: pam_mount: setting uid to 0
sshd[26677]: pam_mount: real user/group IDs are 0/10000, effective is 
0/10000
pmvarrun: pmvarrun: parsed count value 3
sshd[26676]: pam_mount: pmvarrun says login count is 4
sshd[26676]: pam_mount: done opening session
sshd[26676]: (pam_unix) session closed for user benutzer.name
sshd[26676]: pam_mount: received order to close things
sshd[26676]: pam_mount: real and effective user ID are 10048 and 10048.
sshd[26676]: pam_mount: volcount is zero
sshd[26676]: pam_mount: command: /usr/sbin/pmvarrun [-u] [benutzer.name] 
[-d] [-o] [-1]
sshd[26679]: pam_mount: setting uid to 0
sshd[26679]: pam_mount: error setting uid to 0
pmvarrun: pmvarrun: parsed count value 4
sshd[26676]: pam_mount: pmvarrun says login count is 3
sshd[26676]: pam_mount: benutzer.name seems to have other remaining open 
sessions
sshd[26676]: pam_mount: pam_mount execution complete
sshd[26676]: pam_mount: Clean global config (0)
sshd[26676]: pam_mount: clean system authtok (0)
------------ 8< ------------


Ich hatte nun die Vermutung, dass die Rechte fĂŒr das Home-Verzeichnis des 
DomÀnen-Benutzers nicht stimmen oder dieses nicht "on-the-fly" angelegt 
wird. Die Home-Verzeichnisse werden unterhalb von /home/DOMAINNAME 
angelegt:

remotehost$ ls -l /home
drwxrwxr-x  3 root     users    4,0K 2007-07-27 09:56 DOMAINNAME
[...]

remotehost$ ls -l /home/DOMAINNAME
drwxr-xr-x 2 benutzer.name DomÀnen-Benutzer 4,0K 2007-07-27 10:27 \ 
benutzer.name

remotehost$ ls -n /home/DOMAINNAME
drwxr-xr-x 2 10048 10000 4096 2007-07-27 10:27 benutzer.name

Keines von beidem hat sich jedoch bestÀtigt, denn wie man sieht gehört das 
Verzeichnis "/home/DOMAINNAME/benutzer.name" dem User mit der UID 10048. 
Diese wird ja laut Log auch von pam_mount zugewiesen (s.o.: "pam_mount: 
real and effective user ID are 10048 and 10048.").


Ich bin leider momentan am Ende mit meinem Latein und hoffe auf Hilfe von 
euch :)


-- 
MfG/Regards,
Florian Auer

*** Microsoft Office? Nein, danke! ***
http://www.gnu.org/philosophy/no-word-attachments.de.html
http://odf-converter.sourceforge.net/index.html

Fr 27. Jul 10:51:42 CEST 2007
Gesellschaft braucht der Tor, und Einsamkeit der Weise.
		-- Friedrich RĂŒckert (Pseudonym: Freimund Raimar)
-------------- nächster Teil --------------
Ein Dateianhang mit BinÀrdaten wurde abgetrennt...
Dateiname   : nicht verfĂŒgbar
Dateityp    : application/pgp-signature
DateigrĂ¶ĂŸe  : 481 bytes
Beschreibung: This is a digitally signed message part.
URL         : https://lists.ubuntu.com/archives/ubuntu-de/attachments/20070727/d4231188/attachment.pgp