Skip to content

Linux als Client in Active Directory

Ein Ubuntu Desktop-System lässt sich auch in eine Domäne einbinden. Falls Sie sich fragen, wozu man Linux an ein Windows-Netzwerk anbinden soll, ist einfach erklärt: Egal an welchen Computer Sie gehen, sei es Linux oder Windows, Sie melden Sich mit ihren Benutzerdaten an und erhalten auch ggf. die Administrationsrechte um Auf dem System Schalten und Walten zu können, wie sie möchten. Im Augenblick sind Rechtevergaben nur für Gruppen pro System anzuwenden, somit können Administratoren Programme Installieren. Wenn Gruppenrichtlinien genutzt werden sollen, müssen Sie Kostenpflichtige Tools wie Centrify DirectControl oder Ubuntu Pro nutzen.

Voraussetzungen prüfen

  • Ubuntu ist installiert und einsatzbereit
  • Netzwerkverbindung zum AD-Controller funktioniert
  • DNS-Auflösung auf die Domäne und den AD-Controller ist sichergestellt
  • Systemuhr ist synchron (z.B. via NTP)
  • Ein AD-Benutzerkonto mit Join-Rechten ist vorhanden

System aktualisieren

sudo apt update
sudo apt upgrade

Notwendige Pakete installieren

sudo apt install -y realmd sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit libnss-sss libpam-sss krb5-user sssd-krb5

Hostname setzen (FQDN)

Passe den Hostnamen an das AD-Schema an (z.B. rechnername.deinedomäne.de):

sudo hostnamectl set-hostname vbox.tnXX.ito

Kerberos konfigurieren

Bearbeite die Datei /etc/krb5.conf und passe die Domain an:

[libdefaults]
udp_preference_limit = 0
default_realm = TNXX.ITO
rdns = false

Hinweis: Domänenname in Großbuchstaben eintragen

Funktionstest: Domäne entdecken

realm discover tnXX.ito

Ergebnis prüfen: Die Domäne sollte mit Typ „active-directory" angezeigt werden.

Kerberos-Ticket holen

kinit deinbenutzername

Passwort eingeben (AD-Benutzer mit Join-Rechten).

System der Domäne beitreten

sudo realm join -v -U deinbenutzername TNXX.ITO

Passwort eingeben, wenn abgefragt.

Home-Verzeichnisse für AD-Benutzer automatisch erstellen

sudo pam-auth-update
„Create home directory on login" aktivieren falls deaktiviert und mit OK bestätigen.

Funktionstest: AD-Benutzer auflisten

id benutzer@TNXX.ITO

Wenn die Benutzerinformationen angezeigt werden, war der Join erfolgreich.

(Optional) Sudo-Rechte für AD-Gruppen vergeben

Datei anlegen:

sudo nano /etc/sudoers.d/adadmins
Eintragen (Beispiel):

%administratoren@TNXX.ITO ALL=(ALL) NOPASSWD:ALL
Kontrollfragen

  1. Welche Pakete sind für den AD-Join notwendig?
  2. Wie prüfen Sie, ob die Domäne erreichbar ist?
  3. Wie testen Sie, ob ein AD-Benutzer korrekt erkannt wird?
  4. Warum ist die DNS-Konfiguration so wichtig für den AD-Join?

Hinweis:\ Bei Fehlern prüfen Sie die Logdateien (/var/log/sssd/, /var/log/auth.log, /var/log/syslog) und die Netzwerkkonfiguration.

PDF herunterladen