Ein Ubuntu Desktop-System lässt sich auch in eine Domäne einbinden. Falls Sie sich fragen, wozu man Linux an ein Windows-Netzwerk anbinden soll, ist einfach erklärt: Egal an welchen Computer Sie gehen, sei es Linux oder Windows, Sie melden Sich mit ihren Benutzerdaten an und erhalten auch ggf. die Administrationsrechte um Auf dem System Schalten und Walten zu können, wie sie möchten. Im Augenblick sind Rechtevergaben nur für Gruppen pro System anzuwenden, somit können Administratoren Programme Installieren. Wenn Gruppenrichtlinien genutzt werden sollen, müssen Sie Kostenpflichtige Tools wie Centrify DirectControl oder Ubuntu Pro nutzen. ## Voraussetzungen prüfen * Ubuntu ist installiert und einsatzbereit * Netzwerkverbindung zum AD-Controller funktioniert * DNS-Auflösung auf die Domäne und den AD-Controller ist sichergestellt * Systemuhr ist synchron (z.B. via NTP) * Ein AD-Benutzerkonto mit Join-Rechten ist vorhanden ## System aktualisieren ```bash sudo apt update sudo apt upgrade ``` ## Notwendige Pakete installieren ```bash sudo apt install -y realmd sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit libnss-sss libpam-sss krb5-user sssd-krb5 ``` ## Hostname setzen (FQDN) Passe den Hostnamen an das AD-Schema an (z.B. rechnername.deinedomäne.de): ```bash sudo hostnamectl set-hostname vbox.tnXX.ito ``` ## Kerberos konfigurieren Bearbeite die Datei ```/etc/krb5.conf``` und passe die Domain an: ```ini [libdefaults] udp_preference_limit = 0 default_realm = TNXX.ITO rdns = false ``` >*Hinweis: Domänenname in Großbuchstaben eintragen* ## Funktionstest: Domäne entdecken ```bash realm discover tnXX.ito ``` >Ergebnis prüfen: Die Domäne sollte mit Typ „active-directory" angezeigt werden. ## Kerberos-Ticket holen ```bash kinit deinbenutzername ``` >Passwort eingeben (AD-Benutzer mit Join-Rechten). ## System der Domäne beitreten ```bash sudo realm join -v -U deinbenutzername TNXX.ITO ``` >Passwort eingeben, wenn abgefragt. ## Home-Verzeichnisse für AD-Benutzer automatisch erstellen ```bash sudo pam-auth-update ``` „Create home directory on login" aktivieren falls deaktiviert und mit OK bestätigen. ## Funktionstest: AD-Benutzer auflisten ```bash id benutzer@TNXX.ITO ``` > Wenn die Benutzerinformationen angezeigt werden, war der Join erfolgreich. ## (Optional) Sudo-Rechte für AD-Gruppen vergeben Datei anlegen: ```bash sudo nano /etc/sudoers.d/adadmins ``` Eintragen (Beispiel): ```sudoers %administratoren@TNXX.ITO ALL=(ALL) NOPASSWD:ALL ``` **Kontrollfragen** 1. Welche Pakete sind für den AD-Join notwendig? 2. Wie prüfen Sie, ob die Domäne erreichbar ist? 3. Wie testen Sie, ob ein AD-Benutzer korrekt erkannt wird? 4. Warum ist die DNS-Konfiguration so wichtig für den AD-Join? **Hinweis:**\ Bei Fehlern prüfen Sie die Logdateien (/var/log/sssd/, /var/log/auth.log, /var/log/syslog) und die Netzwerkkonfiguration. [PDF herunterladen](linux-als-ad-client.pdf){ .md-button }