Debian - Wheezy Client/Server im Active Directory aufnehmen
Beschreibung
diese Kurzanleitung soll die Schritte darstellen, wie Sie ein Linux Client (Debian 7 Wheezy oder 8 Etch) als Mitglied in eine Active Directory Umgebung mit aufnehmen können.
Die aufgeführten Schritte wurden in einer Testumgebung nachgestellt
- Domäne: LAB
- Realm Name: LAB.INT
- Domain Controller: LABADC01.LAB.INT und LABADC02.LAB.INT
- PWD Server: LABADC01.LAB.INT
Schritte:
- Installieren Sie folgende Pakete:
apt-get install samba smbclient samba-common winbind ntp libpam-krb5 krb5-user resolvconf realmd
- Kontrollieren Sie die Zeiteinstellungen: date
ggf. den NTP Dienst starten: /etc/init.d/ntp start
- Prüfen Sie, ob der Hostname der Maschine korrekt wieder zurück angezeigt wird (FQDN): hostname -f
- Anpassen der Kerberos Authentifizierung
- Erstellen Sie eine Sicherheitskopie der Kerberos Datei: cp krb5.conf krb5.conf_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die krb5.conf Datei: [Bsp aus Labor]
[libdefaults] default_realm = LAB.INT dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h renew_lifetime = 7d forwardable = true [realms] LAB.INT = { kdc = LABADC01.LAB.INT kdc = LABADC02.LAB.INT admin_server = LABADC01.LAB.INT } [domain_realm] .lab.int = LAB.INT lab.int = LAB.INT |
- Anpassen der Samba Konfiguration
- Erstellen Sie eine Kopie der Samba Konfigurationsdatei: cp smb.conf smb.conf_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die smb.conf Datei: [Bsp aus Labor]
realm = LAB.INT workgroup = LAB security = ADS domain master = no local master = no os level = 0 min protocol = SMB2 template shell = /bin/bash log file = /var/log/samba/samba.log # User Part # logon script = logon.cmd template homedir = /home/%D/%U # no shell access template shell = /bin/false client use spnego = yes client ntlmv2 auth = yes encrypt passwords = yes restrict anonymous = 2
# Winbind Part winbind enum users = yes winbind enum groups = yes winbind use default domain = yes winbind refresh tickets = yes
# idmap Part idmap config LAB:range = 10000000-19000000 idmap config LAB:backend = rid idmap config * : range = 11000-20000 idmap config * : backend = tdb
|
- Starten Sie folgende Dienste neu:
/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start
HINWEIS: Wenn beim start des Winbind Dienstes ein Fehler erscheint, keine Panic > Nach dem AD Join ist dieser ordnungsgemäß wieder am Arbeiten!
- Nehmen Sie den Clients im Active Directory auf mit anschließender Kontrolle:
Befehl |
Beschreibung |
net ads join -U administrator
OPTIONAL - OU Zuordnung: net ads join -U a0min createcomputer=Server/Linux
|
AD Admin Benutzer zum Aufnehmen in die Domäne |
/etc/init.d/winbind restart |
Neustart des WinBind Dienstes |
net ads testjoin |
Kontrolliert die Aufnahme im Active Directory |
net ads info |
Zeigt die Anmeldeinformation des Active Directory an |
wbinfo -u |
gibt eine Liste der im Active Directory hinterlegten User aus |
wbinfo -g |
gibt eine Liste der im Active Directory hinterlegten Gruppen aus |
- Legen Sie die Anmeldungsart der User fest
- Erstellen Sie eine Kopie der Name Service Switch datei: mv nsswitch.conf nsswitch.conf_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die nsswitch.conf Datei: [Bsp aus Labor]
passwd: compat winbind group: compat winbind shadow: compat winbind gshadow: files
# hosts: files myhostname mdns4_minimal [NOTFOUND=return] dns # networks: files |
- Kontrollieren Sie ob die AD User/Gruppen durch folgende Kommandos mit aufgelistet werden:
getent passwd
getent group
- Wenn Sie keine User/Gruppen sehen, müssen folgende Pakete installiert werden:
apt-get install libnss-winbind libpam-winbind
Nach der Installation der Pakete kontrollieren Sie erneut die Auflistung!
- Passen Sie die Anlage der Home Verzeichnisse an [/etc/pam.d/common-session]
- Erstellen Sie eine Kopie der Session Datei: mv common-session common-session_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die common-session Datei:
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
- Starten Sie nun den Client Neu.
Wenn Sie die oben genannten Schritte durchgeführt haben, können Sie Anwender die im Active Directory Hinterlegt sind am Linux Client anmelden.
Quelle: http://gamblisfx.com/how-to-join-debian-8-jessie-to-windows-server-active-directory
Alte Quelle: http://trabauer.com/?p=319