Hallo zusammen,
in dem heutigen Blogeintrag möchte ich euch zeigen wie Ihr Debian basierende Software-Distributionen, dazu gehören Debian 8, Linux Mint und Ubuntu an das Microsoft Active Directory 2012 anbinden könnt.
In der Vergangenheit habe ich bereits ein paar Blogeinträge zu dem Thema gemacht:
Ubuntu 11.10/12.04 Desktop in das Microsoft Active Directory einbinden
Debian 7 an das Active Directory anbinden
Im großen und Ganzen hat sich nicht viel verändert, außer das wir diesmal auf der Microsoft Seite nichts mehr verändern und hinzufügen müssen.
Unter Active Directory 2008 R2 mussten wir noch die „Identity Management für UNIX“ Features installieren und die Gruppenrichtlinien anpassen, dies fällt unter 2012 R2 weg, da Microsoft das „Identity Management für UNIX“ Feature nicht mehr mit an Board hat.
Alles was wir auf der Linux Seite benötigen ist NTP, Kerberos 5, Samba und Winbind und ein paar Tools für das testen der Verbindung.
Ich starte hier mit der Linux Mint 17.1 Distribution.
Nachdem das Betriebssystem installiert wurde, bringen wir das System mit update/upgrade auf den neusten Stand.
|
1 |
apt-get update && apt-get upgrade |
Mit folgender Kommandozeile installieren wir uns alle passenden Pakete dir wir für die Verbindung zu Active Directory benötigen.
NTP für die Zeitsynchronisation
Kerberos 5 für das Kerberos Ticket und die ADS Authentifizierung
Winbind für die NT-Kontenverwaltung
Samba um der Domain beitreten zu können
LDAP Utilites für einen LDAP Test gegen das Active Directory
|
1 |
apt-get install ntp ntpdate krb5-user libpam-krb5 krb5-doc winbind libnss-winbind libpam-winbind samba smbclient ldap-utils |
Wenn alle Paket sauber installiert wurden, beginnen wir auch schon mit der Konfiguration.
Im ersten Schritt passe ich die /etc/hosts an
|
1 |
nano /etc/hosts |
|
1 2 3 |
127.0.0.1 localhost.localdomain localhost 192.168.178.105 mint01.htdom.local mint01 192.168.178.101 ads01.htdom.local ads01 htdom.local |
#Kerberos 5 konfigurieren
|
1 2 |
cp /etc/krb5.{conf,old} && rm /etc/krb5.conf nano /etc/krb5.conf |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 |
[logging] default = FILE:/var/log/krb5/krb5.log kdc = FILE:/var/log/krb5/krb5kdc.log admin_server = FILE:/var/log/krb5/kadmind.log [libdefaults] default_realm = HTDOM.LOCAL clockskew = 300 kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true [realms] HTDOM.LOCAL = { kdc = ads01.htdom.local default_domain = htdom.local admin_server = ads01.htdom.local } [domain_realm] .htdom.local = HTDOM.LOCAL htdom.local = HTDOM.LOCAL |
# Samba konfigurieren
|
1 2 |
cp /etc/samba/smb.{conf,old} && rm /etc/samba/smb.conf nano /etc/samba/smb.conf |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 |
[global] security = ads realm = HTDOM.LOCAL password server = 192.168.178.101 workgroup = HTDOM netbios name = MINT01 server string = %h server load printers = no local master = no domain master = no preferred master = no dns proxy = no winbind uid = 10000-20000 winbind gid = 10000-20000 winbind use default domain = yes interfaces = eth0 lo syslog = 0 log file = /var/log/samba/log.%m max log size = 1000 panic action = /usr/share/samba/panic-action %d invalid users = root template homedir = /home/%D/%U template shell = /bin/bash winbind offline logon = yes winbind refresh tickets = yes |
|
1 |
/etc/init.d/samba restart |
Nach dem diese beiden Dateien konfiguriert wurden, starten wir den Client neu.
Danch überprüfen wir ob wir zur Domain eine Verbindung herstellen können
|
1 2 |
kinit administrator@HTDOM.LOCAL (Passwort) klist |
|
1 |
ldapsearch -h 192.168.178.101 -b DC=htdom,DC=local -D administrator@htdom.local -W -x (Passwort) |
Wenn das der Fall ist, können wir der Domain beitreten
|
1 |
net ads join -U Administrator (Passwort) |
Nach erfolgreichen Domain Join sollte der Computer im AD unter Computers auftauchen
Nun können wir noch folgende Abfragen testen.
|
1 2 |
wbinfo -u (Gibt eine Lister alle Domain Benutzer aus) wbinfo -g (Gibt eine Lister alle Domain Gruppen aus) |
In der nsswitch.conf nehmen wir die Konfiguration der Authentication vor
# nsswitch konfigurieren
|
1 2 |
cp /etc/nsswitch.{conf,old} && rm /etc/nsswitch.conf nano /etc/nsswitch.conf |
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 |
# Example configuration of GNU Name Service Switch functionality. passwd: compat winbind group: compat winbind shadow: compat hosts: files dns wins networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis |
Und in der common-session legen wir fest, das ein Homelaufwerk automatisch angelegt wird, wenn sich ein neuer Domain Benutzer am Linux Client anmeldet.
# common-session konfigurieren für die Automatische Home Verzeichnis anlage
|
1 2 |
cp /etc/pam.d/common-session /etc/pam.d/common-session.old nano /etc/pam.d/common-session |
|
1 |
session required pam_mkhomedir.so umask=0022 skel=/etc/skel |
Das war es auch schon, nun kann ich mich als Domänenbenutzer am Linux Client anmelden.
Viel Spaß
Gruß Helmut Thurnhofer
