[LUG.ro] Apache2 y autenticación contra Active Directory

Ramiro Caire lugro@lugro.org.ar
Thu, 08 Mar 2007 20:08:45 -0300 

Yo lo que hice un par de veces es autenticar usuarios de proxy (squid) 
contra Active Directory,
se que no es lo mismo, pero si utilizas NTLM y samba, entonces ahí si es 
similar.

Te tiro algunas lineas de lo que CREO que puede estar pasando ahi:

Creo que tu problema esta en que no puede autenticar los usuarios contra 
el AD, debería hacerse mediante winbind.

Tenes que "unir" el server al dominio AD para que lo acepte para hacer 
consultas, con el comando "net ads join", despues probas si esta todo 
bien con "net ads test join".

Debes setear el usuario que va a autenticar contra el AD (con 
privilegios claro), con winbind seria algo como:

wbinfo --set-auth-user=<usuario administrador>%'<clave>'

y despues de reiniciar winbind deberias poder ver los usuarios en el AD:

wbinfo -u (Lista los usuarios)
wbinfo -g (Lista los grupos)
getent passwd (Lista usuarios)


Ojo, para antes de setear estas cosas deberias tener bien configurado el 
samba, al menos algunos parametros esenciales:

en el /etc/samba/smb.conf:

security = ADS

# seteos de winbind
bind interfaces only = yes
winbind separator = /
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
log file = /var/log/samba/log.%m
log level = 2
max log size = 1000


Espero que te sirva de ayuda.

Saludos
Ramiro







Sebastián D. Criado escribió:
> Por una de esas cosas de la vid, tengo que hacer andar un apache2 que 
> autentique contra un Active Directory dentro de la red interna ya que tengo 
> que instalar un sistema que autentica con NTLM.
>
> Buscando por internet me encontre que se podía hacer con el modulo auth_mod, 
> pam_smb y samba.
>
> Me encontre que el modulo pam_smb no se puede conseguir en Debian Etch, así 
> que lo use de un repositorio de rpm y lo pase por alien.
>
> El tema es que todo instalado según la escasa documentación del modulo, me 
> tira error 500.
>
> El log que tira el apache es :
> [Thu Mar 08 16:03:43 2007] [error] Internal error: pcfg_openfile() called with 
> NULL filename
> [Thu Mar 08 16:04:01 2007] [error] Internal error: pcfg_openfile() called with 
> NULL filename
>
> lo que según pude entender es que no está encontrando el archivo de passwd 
> para el auth_mod, pero, he aquí, mi idea es no usar un archivo, si no el AD.
>
> Alguno ha hecho este tipo de configuración¿?
>
> Material? Manuales? Links?
>
> gracias de antemano.
>