Passwort-Authentifizierung mit Active Directory unter Debian einrichten

Aus Thomas-Krenn-Wiki
Zur Navigation springen Zur Suche springen

Zentrale Verzeichnisdienste wie OpenLDAP oder Active Directory (AD) vereinfachen das Passwort-Management für Administrator und Benutzer. In Bezug auf Linux-Server ist vor allem der Aspekt der SSH-Authentifizierung über ein AD interessant. Aus Sicht der IT-Sicherheit ist diese Lösung ebenfalls vorteilhaft:

  • Administratoren müssen nicht mehr für jeden Server unterschiedliche Passwörter wählen und verwalten. Sie können sich mit dem AD-Passwort auf den Servern einloggen.
  • Die Passwort-Änderung oder Deaktivierung eines Accounts kann über das AD vorgenommen werden.
  • Zentral verwaltete root-Passwörter müssen nicht mehr allen Administratoren bekannt sein.

Der folgende Artikel zeigt, wie unter Debian 7 wheezy über mod_pam mit libpam-ldapd eine Authentifizierung mit einem AD konfiguriert wird. Die Authentifizierung gilt nach erfolgter Konfiguration nicht nur für SSH, sondern für alle Services, die PAM verwenden (wie auch z.B. sudo). Da es die libpam-ldapd Packages auch für Ubuntu gibt[1] , kann die Anleitung auch für Ubuntu übernommen werden.

Voraussetzungen und Zweck

Folgende Informationen werden für die Einrichtung benötigt:

  1. Die LDAP-URL des AD-Servers.
  2. Die Search oder Base DN, in der sich die Benutzer befinden.
  3. (empfohlen) Ein Bind DN inkl. Passwort, der zum Durchsuchen des ADs bzw. der Base DN verwendet wird.
  4. Für TLS
    • Die Zertifikatsdatei für die verschlüsselte Kommunikation (da bei der Authentifizierung die Passwörter zwischen Server <-> AD übertragen werden, wird eine verschlüsselte Kommunikation dringend empfohlen).
  5. Am Server selbst müssen die Benutzer, die sich anmelden wollen, bereits existieren.

Außerdem kurz zusammen gefasst, welche Ziele die unten stehende Anleitung verfolgt:

  • Passwort-Authentifizierung von Benutzern über die im AD hinterlegten Passwörter.
  • Weitere Dinge, wie Gruppen, Home-Pfade o.Ä., werden nicht aus dem AD geholt.
  • Der Benutzer root soll sich weiterhin mit dem lokalen Passwort anmelden können.

Achtung: Konfigurationen an PAM Modulen können dazu führen, dass Sie sich nicht mehr anmelden/authentifizieren können. Halten Sie sich für den Notfall immer ein root Terminal bereit!

Verbindung zum AD testen

Im ersten Schritt wird die Verbindung zwischen Server<->AD getestet. Bei der Verwendung von LDAP mit START_TLS findet die Kommunikation über Port 389 statt: 

# telnet ldap.example.com 389
Trying ...
Connected to ldap.example.com
Escape character is '^]'.

Anschließend wird über ein ldapsearch eine tatsächliche LDAP-Abfrage durchgeführt (für eine verschlüsselte Verbindung - Parameter '-ZZ' - muss in der Datei /etc/ldap.conf das Zertifikat konfiguriert werden.): 

ldapsearch -x -H ldap://ldap.example.com -D "CN=Georg Schönberger,OU=Users,DC=example,DC=com" \
-b OU=Users,DC=example,DC=com -W -ZZ sAMAccountName=gschoenberger

Installation von libpam-ldapd

Die zentrale Komponente am Debian-Server bildet das Package libpam-ldapd (packages.debian.org). Mit diesem Package wird außerdem der Daemon nslcd (packages.debian.org) mit installiert, der für die Kommunikation zwischen Server <-> AD zuständig ist. 

# apt-get install libpam-ldapd
[...]
The following NEW packages will be installed:
  bind9-host geoip-database ldap-utils libbind9-80 libcap2 libdns88 libgeoip1 libisc84 libisccc80 libisccfg82
 liblwres80 libnss-ldapd libpam-ldapd libxml2 nscd nslcd sgml-base xml-core
  • Die LDAP-Url zeigt zum Hostnamen des AD-Servers.

    Die LDAP-Url zeigt zum Hostnamen des AD-Servers.

  • Die Search Base ist jener Teil des Verzeichnisses, in der sich die Benutzer befinden.

    Die Search Base ist jener Teil des Verzeichnisses, in der sich die Benutzer befinden.

  • Wird das AD nur für die Passwort-Authentifizierung verwendet, muss die Datei nsswitch.conf nicht konfiguriert werden.

    Wird das AD nur für die Passwort-Authentifizierung verwendet, muss die Datei nsswitch.conf nicht konfiguriert werden.

Wer die Package-Konfiguration ein weiteres Mal durchführen möchte, um Werte anzupassen, ruft einfach 

#  dpkg-reconfigure nslcd

auf.

Konfiguration von nslcd

Folgende map und filter Einträge, binddn und bindpw, und TLS Optionen müssen der Datei /etc/nslcd.conf hinzugefügt werden: 

[...]
base ou=Users,dc=example,dc=com
map             passwd          uid     sAMAccountName
filter          passwd          (objectClass=user)

# The LDAP protocol version to use.
ldap_version 3

# The DN to bind with for normal lookups.
binddn cn=reader,dc=example,dc=com
bindpw secret

[...]

# SSL options
ssl start_tls
tls_reqcert demand
tls_cacertfile /etc/ssl/certs/Example-com-cacert.pem
[...]

In der Datei /etc/nslcd.conf befinden sich, wie oben ersichtlich, die getätigten Einstellungen der Package Installation.

Konfiguration von pam_ldap

Grundsätzlich eignet sich die Konfiguration der Package Installation bereits für eine AD-Authentifizierung. Benutzer können sich jedoch mit der Standard-Konfiguration sowohl per AD/LDAP als auch mit lokalem Passwort authentifizieren. Um die lokalen Passwörter für Benutzer - außer root - nicht mehr zu erlauben, muss folgende Änderung in der DateI /etc/pam.d/common-auth.conf vorgenommen werden.

Achtung: Nach dieser Änderung kann nur mehr root sein lokales Passwort verwenden. Alle anderen Benutzer sind auf das AD und eine funktionieren Verbindung zwischen Server<->AD angewiesen:[2] 

# vi /etc/pam.d/common-auth
[...]
auth    sufficient      pam_ldap.so minimum_uid=1000
auth    requisite       pam_succeed_if.so uid eq 0
auth    sufficient      pam_unix.so nullok_secure
# here's the fallback if no module succeeds
[...]

Danach ist für alle Benutzer mit uid > 1000 eine AD-Authentifizierung zum Anmelden ausreichend. Die lokalen Passwörter funktionieren nicht mehr!

Die Konfiguration der AD-Authentifizierung ist nach den oben genannten Schritten abgeschlossen.

Fehleranalyse

nslcd

Der Daemon nslcd bietet zur Analyse der LDAP-Authentifizierung eine Debus-Modus an: 

# nslcd -d
nslcd: DEBUG: add_uri(ldap://ldap.example.com)
nslcd: DEBUG: ldap_set_option(LDAP_OPT_X_TLS_REQUIRE_CERT,2)
[...]
nslcd: accepting connections

Wird der Parameter -d öfter angegeben, erhöht sich das Debug-Level von nslcd.

Etwas in die Irre führt die Fehlermeldung 

DEBUG: failed to bind to LDAP server ldap://ldap.example.com: Invalid credentials: 80090308:
LdapErr: DSID-0C0903C8, comment: AcceptSecurityContext error, data 52e, v23f0

die auch auftritt, wenn ein Benutzer-Konto noch nicht am Server existiert.

pam_ldap

Wer die pam-Regeln in der Datei /etc/pam.d/common-auth.conf anpassen möchte, trifft in der Log-Datei /var/log/auth.log den Fehler 

pam_succeed_if(sshd:auth): incomplete condition detected

an, wenn die Ausdrücke für pam_succeed_if.so nicht korrekt sind.[3]

Einzelnachweise

  1. libpam-ldapd (packages.ubuntu.com)
  2. PAM Explanation (pig.made-it.com)
  3. Insufficient error checking in pam_succeed_if (bugzilla.redhat.com)
Foto Georg Schönberger.jpg

Autor: Georg Schönberger

Georg Schönberger, Abteilung DevOps bei der XORTEX eBusiness GmbH, absolvierte an der FH OÖ am Campus Hagenberg sein Studium zum Bachelor Computer- und Mediensicherheit, Studium Master Sichere Informationssysteme. Seit 2015 ist Georg bei XORTEX beschäftigt und arbeitet sehr lösungsorientiert und hat keine Angst vor schwierigen Aufgaben. Zu seinen Hobbys zählt neben Linux auch Tennis, Klettern und Reisen.


Das könnte Sie auch interessieren

Postfix unter Debian einrichten
Zum Artikel
Raspi-firmware: missing /boot/firmware, did you forget to mount it
Zum Artikel
SSH Root Login unter Debian verbieten
Zum Artikel