111 lines
2.9 KiB
Markdown
111 lines
2.9 KiB
Markdown
|
Ein Ubuntu Desktop-System lässt sich auch in eine Domäne einbinden.
|
||
|
|
Falls Sie sich fragen, wozu man Linux an ein Windows-Netzwerk anbinden
|
||
|
|
soll, ist einfach erklärt: Egal an welchen Computer Sie gehen, sei es
|
||
|
|
Linux oder Windows, Sie melden Sich mit ihren Benutzerdaten an und
|
||
|
|
erhalten auch ggf. die Administrationsrechte um Auf dem System Schalten
|
||
|
|
und Walten zu können, wie sie möchten. Im Augenblick sind Rechtevergaben
|
||
|
|
nur für Gruppen pro System anzuwenden, somit können Administratoren
|
||
|
|
Programme Installieren. Wenn Gruppenrichtlinien genutzt werden sollen,
|
||
|
|
müssen Sie Kostenpflichtige Tools wie Centrify DirectControl oder Ubuntu
|
||
|
|
Pro nutzen.
|
||
|
|
|
||
|
|
## Voraussetzungen prüfen
|
||
|
|
* Ubuntu ist installiert und einsatzbereit
|
||
|
|
* Netzwerkverbindung zum AD-Controller funktioniert
|
||
|
|
* DNS-Auflösung auf die Domäne und den AD-Controller ist sichergestellt
|
||
|
|
* Systemuhr ist synchron (z.B. via NTP)
|
||
|
|
* Ein AD-Benutzerkonto mit Join-Rechten ist vorhanden
|
||
|
|
## System aktualisieren
|
||
|
|
```bash
|
||
|
|
sudo apt update
|
||
|
|
sudo apt upgrade
|
||
|
|
```
|
||
|
|
## Notwendige Pakete installieren
|
||
|
|
|
||
|
|
```bash
|
||
|
|
sudo apt install -y realmd sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit libnss-sss libpam-sss krb5-user sssd-krb5
|
||
|
|
```
|
||
|
|
|
||
|
|
## Hostname setzen (FQDN)
|
||
|
|
|
||
|
|
Passe den Hostnamen an das AD-Schema an (z.B. rechnername.deinedomäne.de):
|
||
|
|
|
||
|
|
```bash
|
||
|
|
sudo hostnamectl set-hostname vbox.tnXX.ito
|
||
|
|
```
|
||
|
|
## Kerberos konfigurieren
|
||
|
|
|
||
|
|
Bearbeite die Datei ```/etc/krb5.conf``` und passe die Domain an:
|
||
|
|
|
||
|
|
```ini
|
||
|
|
[libdefaults]
|
||
|
|
udp_preference_limit = 0
|
||
|
|
default_realm = TNXX.ITO
|
||
|
|
rdns = false
|
||
|
|
```
|
||
|
|
>*Hinweis: Domänenname in Großbuchstaben eintragen*
|
||
|
|
|
||
|
|
## Funktionstest: Domäne entdecken
|
||
|
|
|
||
|
|
```bash
|
||
|
|
realm discover tnXX.ito
|
||
|
|
```
|
||
|
|
>Ergebnis prüfen: Die Domäne sollte mit Typ „active-directory" angezeigt werden.
|
||
|
|
|
||
|
|
## Kerberos-Ticket holen
|
||
|
|
|
||
|
|
```bash
|
||
|
|
kinit deinbenutzername
|
||
|
|
```
|
||
|
|
>Passwort eingeben (AD-Benutzer mit Join-Rechten).
|
||
|
|
|
||
|
|
## System der Domäne beitreten
|
||
|
|
|
||
|
|
```bash
|
||
|
|
sudo realm join -v -U deinbenutzername TNXX.ITO
|
||
|
|
```
|
||
|
|
>Passwort eingeben, wenn abgefragt.
|
||
|
|
|
||
|
|
## Home-Verzeichnisse für AD-Benutzer automatisch erstellen
|
||
|
|
|
||
|
|
```bash
|
||
|
|
sudo pam-auth-update
|
||
|
|
```
|
||
|
|
„Create home directory on login" aktivieren falls deaktiviert und mit OK
|
||
|
|
bestätigen.
|
||
|
|
|
||
|
|
## Funktionstest: AD-Benutzer auflisten
|
||
|
|
|
||
|
|
```bash
|
||
|
|
id benutzer@TNXX.ITO
|
||
|
|
```
|
||
|
|
> Wenn die Benutzerinformationen angezeigt werden, war der Join erfolgreich.
|
||
|
|
|
||
|
|
## (Optional) Sudo-Rechte für AD-Gruppen vergeben
|
||
|
|
|
||
|
|
Datei anlegen:
|
||
|
|
|
||
|
|
```bash
|
||
|
|
sudo nano /etc/sudoers.d/adadmins
|
||
|
|
```
|
||
|
|
Eintragen (Beispiel):
|
||
|
|
|
||
|
|
```sudoers
|
||
|
|
%administratoren@TNXX.ITO ALL=(ALL) NOPASSWD:ALL
|
||
|
|
```
|
||
|
|
**Kontrollfragen**
|
||
|
|
|
||
|
|
1. Welche Pakete sind für den AD-Join notwendig?
|
||
|
|
2. Wie prüfen Sie, ob die Domäne erreichbar ist?
|
||
|
|
3. Wie testen Sie, ob ein AD-Benutzer korrekt erkannt wird?
|
||
|
|
4. Warum ist die DNS-Konfiguration so wichtig für den AD-Join?
|
||
|
|
|
||
|
|
|
||
|
|
**Hinweis:**\
|
||
|
|
Bei Fehlern prüfen Sie die Logdateien (/var/log/sssd/, /var/log/auth.log,
|
||
|
|
/var/log/syslog) und die Netzwerkkonfiguration.
|
||
|
|
|
||
|
|
|
||
|
|
|
||
|
|
[PDF herunterladen](linux-als-ad-client.pdf){ .md-button }
|