Beschreibung
diese Kurzanleitung soll die Schritte darstellen, wie Sie ein Linux Client (Debian 7 Wheezy oder 8 Etch) als Mitglied in eine Active Directory Umgebung mit aufnehmen können.
Die aufgeführten Schritte wurden in einer Testumgebung nachgestellt
- Domäne: LAB
- Realm Name: LAB.INT
- Domain Controller: LABADC01.LAB.INT und LABADC02.LAB.INT
- PWD Server: LABADC01.LAB.INT
Schritte:
- Installieren Sie folgende Pakete:
apt-get install samba smbclient samba-common winbind ntp libpam-krb5 krb5-user resolvconf realmd - Kontrollieren Sie die Zeiteinstellungen: date
ggf. den NTP Dienst starten: /etc/init.d/ntp start - Prüfen Sie, ob der Hostname der Maschine korrekt wieder zurück angezeigt wird (FQDN): hostname -f
- Anpassen der Kerberos Authentifizierung
- Erstellen Sie eine Sicherheitskopie der Kerberos Datei: cp krb5.conf krb5.conf_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die krb5.conf Datei: [Bsp aus Labor]
[libdefaults]
default_realm = LAB.INT
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
LAB.INT = {
kdc = LABADC01.LAB.INT
kdc = LABADC02.LAB.INT
admin_server = LABADC01.LAB.INT
}
[domain_realm]
.lab.int = LAB.INT
lab.int = LAB.INT
- Anpassen der Samba Konfiguration
- Erstellen Sie eine Kopie der Samba Konfigurationsdatei: cp smb.conf smb.conf_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die smb.conf Datei: [Bsp aus Labor]
realm = LAB.INT
workgroup = LAB
security = ADS
domain master = no
local master = no
os level = 0
min protocol = SMB2
template shell = /bin/bash
log file = /var/log/samba/samba.log
# User Part
# logon script = logon.cmd
template homedir = /home/%D/%U
# no shell access
template shell = /bin/false
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
# Winbind Part
winbind enum users = yes
winbind enum groups = yes
winbind use default domain = yes
winbind refresh tickets = yes
# idmap Part
idmap config LAB:range = 10000000-19000000
idmap config LAB:backend = rid
idmap config * : range = 11000-20000
idmap config * : backend = tdb
- Starten Sie folgende Dienste neu:
/etc/init.d/winbind stop
/etc/init.d/samba restart
/etc/init.d/winbind start
HINWEIS: Wenn beim start des Winbind Dienstes ein Fehler erscheint, keine Panic > Nach dem AD Join ist dieser ordnungsgemäß wieder am Arbeiten! - Nehmen Sie den Clients im Active Directory auf mit anschließender Kontrolle:
Befehl Beschreibung net ads join -U administrator
OPTIONAL - OU Zuordnung:
net ads join -U a0min createcomputer=Server/LinuxAD Admin Benutzer zum Aufnehmen in die Domäne /etc/init.d/winbind restart Neustart des WinBind Dienstes net ads testjoin Kontrolliert die Aufnahme im Active Directory net ads info Zeigt die Anmeldeinformation des Active Directory an wbinfo -u gibt eine Liste der im Active Directory hinterlegten User aus wbinfo -g gibt eine Liste der im Active Directory hinterlegten Gruppen aus - Legen Sie die Anmeldungsart der User fest
- Erstellen Sie eine Kopie der Name Service Switch datei: mv nsswitch.conf nsswitch.conf_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die nsswitch.conf Datei: [Bsp aus Labor]
passwd: compat winbind
group: compat winbind
shadow: compat winbind
gshadow: files
# hosts: files myhostname mdns4_minimal [NOTFOUND=return] dns
# networks: files
- Kontrollieren Sie ob die AD User/Gruppen durch folgende Kommandos mit aufgelistet werden:
getent passwd
getent group - Wenn Sie keine User/Gruppen sehen, müssen folgende Pakete installiert werden:
apt-get install libnss-winbind libpam-winbind
Nach der Installation der Pakete kontrollieren Sie erneut die Auflistung! - Passen Sie die Anlage der Home Verzeichnisse an [/etc/pam.d/common-session]
- Erstellen Sie eine Kopie der Session Datei: mv common-session common-session_backup
- Tragen Sie anhand des Beispiels die Notwendigen Punkte in die common-session Datei:
session required pam_unix.so
session required pam_mkhomedir.so umask=0022 skel=/etc/skel
- Starten Sie nun den Client Neu.
Wenn Sie die oben genannten Schritte durchgeführt haben, können Sie Anwender die im Active Directory Hinterlegt sind am Linux Client anmelden.
Quelle: http://gamblisfx.com/how-to-join-debian-8-jessie-to-windows-server-active-directory
Alte Quelle: http://trabauer.com/?p=319