VMWare Server 2 Beta / Kerberos

Gestern habe ich die Beta von VMWare Server 2 angetestet. Der erste Schock traf mich beim Download: knappe 350 MByte ist das Install-Package groß.
Grund dafür ist die neue Verwaltungsoberfläche: Die VMWare Server Console wird nicht mehr mit ausgeliefert. Mit der Konsole aus der 1.0.4er kann man sich wegen der geänderten Interfaces nicht mehr mit dem Server verbinden.
Das Web-Interface setzt auf Java, Tomcat und JSF auf und ist recht lahm – tut aber seinen Dienst. Im Vergleich zum Virtual Server 2005 habe ich zumindest das Gefühl, dass die GUI flotter ist.
Wie bei VS 2005 funktioniert die Authentifizierung über das Active Directory.

Nach der Installation machte ich mich daran, Ubuntu 7.04 (Desktop) zu installieren. Ich wollte austesten, ob ich meinen Linux-Benutzer-Account über das Active-Directory authentifizieren und autorisieren könnte.

Novell hat ein recht gutes Tutorial verfasst, so dass ich auf die grundsätzlichen Sachen gar nicht eingehen möchte.
Ein paar Anmerkungen gibt es trotzdem dazu ($SERVER ist die IP des Domänen-Controllers, $LDAP_USER ist ein privilegierte AD-Benutzer, $LDAP_BASE ist der Basis-Punkt unserer Suche, z.B. “ou=Benutzer,ou=Gruppe,dc=Firma,dc=Domain”)

    Im Active-Directory muss ein gültiger Benutzer hinterlegt sein, mit dem sich der LDAP-Client anmelden kann. Am besten sollte man dazu einen Dummy-Account (z.B. ldap) hinterlegen, dem so wenig Gruppen wie möglich zugewiesen werden.
    Um den Zugriff auf das AD zu testen, kann folgende Suchanfrage gestartet werden:

    root@ckl# ldapsearch -H ldap://$SERVER -vvv -W -b "$LDAP_BASE" -D "$LDAP_USER@MeineFirma.MeineDomain" -x "(objectClass=user)" sAMAccountName
    

    Es sollten danach alle Benutzer in der passenden ou aufgelistet werden.

    Die /etc/libnss-ldap.conf muss um folgende Einträge erweitert werden:

    base $LDAP_BASE
    binddn $LDAP_USER,$LDAP_BASE # cn=ldap,ou=benutzer,ou=gruppe,dc=firma,dc=domain
    bindpw $LDAP_USER_PASSWORT
    rootbinddn $LDAP_USER,$LDAP_BASE # cn=ldap,ou=benutzer,ou=gruppe,dc=firma,dc=domain
    
    Die /etc/sshd_config muss um folgende Einträge ergänzt werden:

    KerberosAuthentication yes
    GSSAPIAuthentication yes
    

Hoffentlich hilft das wem…

Leave a reply

Your email address will not be published.

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>