Join to Active Directory

Um ein Ubuntu/ Debian System in ein ADDS (Active Directory Domain Services) zu bringen, werde ich ein Tutorial aufzeigen. Denn es hat gewisse Vorteile, sogar wenn Sie einen Linux Desktop zum Beispiel haben, können sich User über diesen Dienst anmelden. Sie können dementsprechende Berechtigungen erteilen, wie normal Benutzer oder doch lieber administrativer Benutzer.

Aber vorher möchte ich euch, noch kurz erklären was ist ein Active Directory ist.


Inhaltsverzeichnis

  1. Active Directory
  2. Installation
  3. Konfiguration
  4. Join Active Directory
  5. HOME Verzeichnis
    1. SSSD
  6. Berechtigungen einschränken
    1. Nach Gruppen oder Benutzer erlauben oder verbieten
    2. Alle Erlauben
    3. Alle Verbieten
  7. Administrativer Zugang einrichten
  8. Anmelden am Linux
    1. Benutzeranmeldung (NetBIOS)
    2. Benutzeranmeldung (Prä-Windows 2000)
  9. Wichtige Information

Active Directory

Es ist ein Verzeichnisdienst, der es ermöglicht hierarchisch Unternehmensstruktur nachzubilden, sowie Ressourcen, Attribute usw. zu steuern und zu wen gewollt zu veröffentlichen oder zu sperren. Wie in anderen Informationen beschrieben, ist es nicht mehr nur ein Windows-Dienst und darauf beschränkt. Der Grund ist ganz einfach, Windows Active Directory ist wie andere Verzeichnisdienst, wie LDAP (Light Directory Access Protokoll) aufgebaut und das seit seiner Geburt, es unterscheidet sich nur mit den Attributen, die zum Aufrufen der Informationen nötig sind. ADDS wird auch sehr oft für LDAP Authentifizierung benutzt, um nicht immer einen neuen Benutzer anzulegen und den Überblick zu verlieren.

In unserem Fall ist das LDAP von Active Directory nicht so wichtig, denn wir werden das Linux System direkt in das ADDS bringen und brauchen uns keine Gedanken über LDAP Attribute zu machen.


Installation

sudo apt update
sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit

Konfiguration

Wir benötigen, nun denn richtigen Eintrag, in der Netzwerkkonfiguration, um den Windows Active Directory zu finden. Ich möchte, nicht näher darauf eingehen, dafür habe ich einen anderen Beitrag gestaltet, wie Ihre die Konfiguration richtig erstellt. Ich zeige Euch nur, auf was es darauf ankommt.

Link: Netzwerkadresse anpassen


Ebenfalls ist auch die Uhrzeit wichtig, da die Kerberos-Authentifizierung darauf aufgebaut ist, daher solltet Ihr vor dem Domain Join ebenfalls konfigurieren, da eine Toleranzgrenze von 5 Minuten zwingend ist, ansonsten kann man sich nicht Anmelden.

Link: NTP einrichten

Wir suchen, jetzt die Active Directory Domäne, bzw. den Server.

sudo realm discover example.local

Join Active Directory

Wenn wir diesen Befehl ausführen, wird wenig passieren, es dient ausschließlich zur Darstellung.

sudo realm list


Wenn wir alles richtig eingestellt haben, wird es jetzt interessant und nach diesem Befehl, wird jetzt sich der Linux Server in der Windows Domäne wieder finden.

sudo realm join -U Administrator example.local

Jetzt führen wir wieder den ob angeführten Befehl aus. Nun sehen wir alleine von Linux, dass es funktioniert hat. Der Benutzer, der jemand in eine Domäne lässt, kann auch ein delegierter Benutzer sein, ACHTUNG, kein normaler Benutzer.

sudo realm list

Nochmal zur Kontrolle.


HOME Verzeichnis

Wir benötigen noch ein Home Verzeichnis, damit es einwandfrei läuft. Daher werden wir dieses Scirpt ausführen.

sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
        required                        pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF

Damit dies vollständig Funktioniert, geht uns noch die Markierung ab, dies werden wir nun anpassen.

sudo pam-auth-update

SSSD

Dieser Dienst wird nur noch Neugestartet, damit er einwandfrei läuft.

sudo systemctl restart sssd

Berechtigungen einschränken

Wir sind nun an dem Punkt, da es nur noch um Berechtigungen geht. Dieses Thema werden wir nun bearbeiten, da sich sonst jeder Anmelden kann, dass sicher nicht im Sinne des Admin ist.

Da ich nur mit Gruppen arbeite und nicht mit Benutzer hat einen Grund. Aus administratriven Sicht sind User nicht das optimale, da man die Übersicht schnell verliert, daher wird ausschließlich mit Gruppen gearbeitet und nicht mit Usern.
Ich werde natürlich, die Domain-Admins hinzufügen und zwei Gruppen. Die Admins sind klar, aber wir benötigen eine Gruppe für das Anmelden am Linux System und eine Gruppe als Root User.

Nach Gruppen oder Benutzer erlauben oder verbieten

sudo realm permit -g SSH-ROOT
sudo realm permit -g LINUX-USER
sudo realm permit -g ‘Domänen-Admins’

Nur zur Anmerkung möchte ich euch zeigen, wie man alle erlaubt oder alle verbietet.

Alle Erlauben

sudo realm permit –all

Alle Verbieten

sudo realm deny –all

Administrativer Zugang einrichten

Bevor wir uns damit anmelden können und administrative Aufgaben können, müssen wir eine Datei anpassen.

sudo nano /etc/sudoers

Wir fügen bei der Stelle, die Gruppe “SSH-ROOT” ein, nur noch speichern und der Zugriff ist sofort erlaubt. In dem Fall wird beim Root Zugriff kein Passwort gefragt. Weiter unten zeige ich euch, damit jeder Root Zugriff hat, auch nach dem Passwort gefragt wird.

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%SSH-ROOT@example.local     ALL=(ALL)   NOPASSWD:ALL
# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%SSH-ROOT@example.local     ALL=(ALL)   ALL

Anmelden am Linux

Nun könnt Ihr Euch Anmelden, wie am Windows

Benutzeranmeldung (NetBIOS)

User@example.local

Benutzeranmeldung (Prä-Windows 2000)

exampleUser

Bei Linux ist es im Normalfall wichtig die Case-Sensitive, aber bei Windows ist es egal, da wir aber eine Authentifizierung auf Windows Ebene haben, wird die Case-Sensitive keine Rolle spielen.


Wichtige Information

Wenn ihr euch als Root User anmeldet ist es nicht wichtig “sudo” vorangestellt ist, aber bei der Windows-Authentifizierung ist es zwingend, dass man “sudo” vorangestellte ist, ansonsten funktioniert der administrative Zugang nicht.

Schreibe einen Kommentar

%d Bloggern gefällt das: