Willkommen bei SCHROETER|EDV
headerimage

Beschreibung

diese Kurzanleitung soll die Schritte darstellen, wie Sie ein Linux Client (Debian 7 Wheezy oder 8 Etch) als Mitglied in eine Active Directory Umgebung mit aufnehmen können.

Die aufgeführten Schritte wurden in einer Testumgebung nachgestellt

  • Domäne: LAB
  • Realm Name: LAB.INT
  • Domain Controller: LABADC01.LAB.INT und LABADC02.LAB.INT
  • PWD Server: LABADC01.LAB.INT

 

Schritte:

  1. Installieren Sie folgende Pakete:

    apt-get install samba smbclient samba-common winbind ntp libpam-krb5 krb5-user resolvconf realmd


  2. Kontrollieren Sie die Zeiteinstellungen: date
    ggf. den NTP Dienst starten: /etc/init.d/ntp start
  3. Prüfen Sie, ob der Hostname der Maschine korrekt wieder zurück angezeigt wird (FQDN): hostname -f
  4. Anpassen der Kerberos Authentifizierung
    • Erstellen Sie eine Sicherheitskopie der Kerberos Datei: cp krb5.conf krb5.conf_backup
    • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die krb5.conf Datei: [Bsp aus Labor]

      [libdefaults]
       default_realm = LAB.INT
       dns_lookup_realm = false
       dns_lookup_kdc = false
       ticket_lifetime = 24h
       renew_lifetime = 7d
       forwardable = true
      [realms]
       LAB.INT = {
       kdc = LABADC01.LAB.INT
       kdc = LABADC02.LAB.INT
       admin_server = LABADC01.LAB.INT
       }
      [domain_realm]
       .lab.int = LAB.INT
       lab.int = LAB.INT


  5. Anpassen der Samba Konfiguration
    • Erstellen Sie eine Kopie der Samba Konfigurationsdatei: cp smb.conf smb.conf_backup
    • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die smb.conf Datei: [Bsp aus Labor]

      realm = LAB.INT
      workgroup = LAB
      security = ADS
      domain master = no
      local master = no
      os level = 0
      min protocol = SMB2
      template shell = /bin/bash
      log file = /var/log/samba/samba.log
      # User Part
      # logon script = logon.cmd
      template homedir = /home/%D/%U
      # no shell access
      template shell = /bin/false
      client use spnego = yes
      client ntlmv2 auth = yes
      encrypt passwords = yes
      restrict anonymous = 2

      # Winbind Part
      winbind enum users = yes
      winbind enum groups = yes
      winbind use default domain = yes
      winbind refresh tickets = yes

      # idmap Part
      idmap config LAB:range = 10000000-19000000
      idmap config LAB:backend = rid
      idmap config * : range = 11000-20000
      idmap config * : backend = tdb


  6. Starten Sie folgende Dienste neu:

    /etc/init.d/winbind stop
    /etc/init.d/samba restart
    /etc/init.d/winbind start

    HINWEIS: Wenn beim start des Winbind Dienstes ein Fehler erscheint, keine Panic > Nach dem AD Join ist dieser ordnungsgemäß wieder am Arbeiten!


  7. Nehmen Sie den Clients im Active Directory auf mit anschließender Kontrolle:

    Befehl Beschreibung

    net ads join -U administrator

    OPTIONAL - OU Zuordnung:
    net ads join -U a0min createcomputer=Server/Linux

    		 AD Admin Benutzer zum Aufnehmen in die Domäne
    /etc/init.d/winbind restart Neustart des WinBind Dienstes
    net ads testjoin Kontrolliert die Aufnahme im Active Directory
    net ads info Zeigt die Anmeldeinformation des Active Directory an
    wbinfo -u gibt eine Liste der im Active Directory hinterlegten User aus
    wbinfo -g gibt eine Liste der im Active Directory hinterlegten Gruppen aus


  8. Legen Sie die Anmeldungsart der User fest
    • Erstellen Sie eine Kopie der Name Service Switch datei: mv nsswitch.conf nsswitch.conf_backup
    • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die nsswitch.conf Datei: [Bsp aus Labor]

      passwd: compat winbind
      group: compat winbind
      shadow: compat winbind
      gshadow: files

      # hosts: files myhostname mdns4_minimal [NOTFOUND=return] dns
      # networks: files


  9. Kontrollieren Sie ob die AD User/Gruppen durch folgende Kommandos mit aufgelistet werden:

    getent passwd
    getent group


  10. Wenn Sie keine User/Gruppen sehen, müssen folgende Pakete installiert werden:

    apt-get install libnss-winbind libpam-winbind

    Nach der Installation der Pakete kontrollieren Sie erneut die Auflistung!

  11. Passen Sie die Anlage der Home Verzeichnisse an [/etc/pam.d/common-session]
    • Erstellen Sie eine Kopie der Session Datei: mv common-session common-session_backup
    • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die common-session Datei:

      session required pam_unix.so
      session required pam_mkhomedir.so umask=0022 skel=/etc/skel


  12. Starten Sie nun den Client Neu.

 

Wenn Sie die oben genannten Schritte durchgeführt haben, können Sie Anwender die im Active Directory Hinterlegt sind am Linux Client anmelden.

 

Quelle: http://gamblisfx.com/how-to-join-debian-8-jessie-to-windows-server-active-directory

Alte Quelle: http://trabauer.com/?p=319

 

Inhaltsverzeichnis

nach oben