VM für Freeradius mit DC Benutzer Authentifizierung

Im Artikel Freeradius wurde beschrieben, wie wir Freeradius mit DC Benutzer-Authentifizierung auf einem DC konfigurieren. Wir können selbstverständlich auch die Freeradius Konfiguration auf einem anderen Server vornehmen. Dafür brauchen wir eine neue VM mit Debian 12 Installation und wir müssen den neuen Server in die Domäne aufnehmen.

Die Konfigurationsdaten des Servers rad1

Betriebssystem: Debian 12
Servername: rad1
Domäne: schule.lan
IP-Adresse: 172.16.0.5
Netmask: 255.255.252.0
Gateway: 172.16.0.1
DNS: 172.16.0.10
Der zu installierende Dienst: winbindd

Punkt
Winbind und krb5 Pakete werden installiert.

 

root@rad1:~# apt-get install krb5-user libpam-krb5 winbind libnss-winbind libpam-winbind
Punkt
Nach der Installation der winbind und krb Pakete müssen wir noch 3 Dateien überprüfen und anpassen. Auch wenn wir kein Samba Paket installiert haben, wird die Datei /etc/samba/smb.conf entsprechen konfiguriert, benötigt.

 

[global]
     workgroup = SCHULE
     realm = SCHULE.LAN
     netbios name = rad1
     server string = Freeradius1
     security = ADS
     winbind use default domain = Yes
Punkt
Die /etc/krb5.conf sollte so ähnlich aussehen.

 

[libdefaults]
   default_realm = SCHULE.LAN
   dns_lookup_realm = false
   dns_lookup_kdc = true

[realms]
   SCHULE.LAN = {
     kdc = dc1.schule.lan
     master_kdc = dc1.schule.lan
     admin_server = dc1.schule.lan
   }

[domain_realm]
   .dc1.schule.lan = SCHULE.LAN
   dc1.schule.lan = SCHULE.LAN

[logging]
   kdc = FILE:/var/log/krb5/krb5kdc.log
   admin_server = FILE:/var/log/krb5/kadmind.log
   default = SYSLOG:NOTICE:DAEMON
Punkt
Wir müssen noch die Einträge in der Datei /etc/nsswitch.conf anpassen.

 

passwd: files systemd winbind
group: files systemd winbind
shadow: files
gshadow: files
Punkt
Jetzt können wir den Server in die Domäne aufnehmen. Danach starten wir den winbindd Dienst neu.

 

root@rad1:~# net ads join -U Administrator
root@rad1:~# systemctl restart winbind.service
Punkt
Der Server ist jetzt für die entsprechende Freeradius Konfiguration vorbereitet. Um das noch zu überprüfen, können wir den Befehl wbinfo anwenden. Wird es mit dem Parameter -u ausgeführt, sollten alle Benutzer der Domäne aufgelistet sein. Nutz man den Parameter -g werden alle Gruppen aufgelistet.

 

root@rad1:~# wbinfo -u
root@rad1:~# wbinfo -g

 

Die Freeradius Konfiguration mit der AD-Authentifizierung finden Sie im Artikel Freeradius