Join to Active Directory - Ubuntu
Um ein Ubuntu/ Debian System in ein ADDS (Active Directory Domain Services) zu bringen, werde ich ein Tutorial aufzeigen. Denn es hat gewisse Vorteile, sogar wenn Sie einen Linux Desktop zum Beispiel haben, können sich User über diesen Dienst anmelden. Sie können dementsprechende Berechtigungen erteilen, wie normal Benutzer oder doch lieber administrativer Benutzer.
Aber vorher möchte ich euch, noch kurz erklären was ist ein Active Directory ist.
Active Directory[Bearbeiten | Quelltext bearbeiten]
Es ist ein Verzeichnisdienst, der es ermöglicht hierarchisch Unternehmensstruktur nachzubilden, sowie Ressourcen, Attribute usw. zu steuern und zu wen gewollt zu veröffentlichen oder zu sperren. Wie in anderen Informationen beschrieben, ist es nicht mehr nur ein Windows-Dienst und darauf beschränkt. Der Grund ist ganz einfach, Windows Active Directory ist wie andere Verzeichnisdienst, wie LDAP (Light Directory Access Protokoll) aufgebaut und das seit seiner Geburt, es unterscheidet sich nur mit den Attributen, die zum Aufrufen der Informationen nötig sind. ADDS wird auch sehr oft für LDAP Authentifizierung benutzt, um nicht immer einen neuen Benutzer anzulegen und den Überblick zu verlieren.
In unserem Fall ist das LDAP von Active Directory nicht so wichtig, denn wir werden das Linux System direkt in das ADDS bringen und brauchen uns keine Gedanken über LDAP Attribute zu machen.
Installation[Bearbeiten | Quelltext bearbeiten]
sudo apt update sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
Konfiguration[Bearbeiten | Quelltext bearbeiten]
Wir benötigen, nun denn richtigen Eintrag, in der Netzwerkkonfiguration, um den Windows Active Directory zu finden. Ich möchte, nicht näher darauf eingehen, dafür habe ich einen anderen Beitrag gestaltet, wie Ihre die Konfiguration richtig erstellt. Ich zeige Euch nur, auf was es darauf ankommt.
Link: Netzwerkadresse anpassen
Ebenfalls ist auch die Uhrzeit wichtig, da die Kerberos-Authentifizierung darauf aufgebaut ist, daher solltet Ihr vor dem Domain Join ebenfalls konfigurieren, da eine Toleranzgrenze von 5 Minuten zwingend ist, ansonsten kann man sich nicht Anmelden.
Link: NTP einrichten
Wir suchen, jetzt die Active Directory Domäne, bzw. den Server.
sudo realm discover example.local
Join Active Directory[Bearbeiten | Quelltext bearbeiten]
Wenn wir diesen Befehl ausführen, wird wenig passieren, es dient ausschließlich zur Darstellung.
sudo realm list
Wenn wir alles richtig eingestellt haben, wird es jetzt interessant und nach diesem Befehl, wird jetzt sich der Linux Server in der Windows Domäne wieder finden.
sudo realm join -U Administrator example.local
Jetzt führen wir wieder den ob angeführten Befehl aus. Nun sehen wir alleine von Linux, dass es funktioniert hat. Der Benutzer, der jemand in eine Domäne lässt, kann auch ein delegierter Benutzer sein, ACHTUNG, kein normaler Benutzer.
sudo realm list
Nochmal zur Kontrolle.
HOME Verzeichnis[Bearbeiten | Quelltext bearbeiten]
Wir benötigen noch ein Home Verzeichnis, damit es einwandfrei läuft. Daher werden wir dieses Scirpt ausführen.
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF
Damit dies vollständig Funktioniert, geht uns noch die Markierung ab, dies werden wir nun anpassen.
sudo pam-auth-update
SSSD[Bearbeiten | Quelltext bearbeiten]
Dieser Dienst wird nur noch Neugestartet, damit er einwandfrei läuft.
sudo systemctl restart sssd
Berechtigungen einschränken[Bearbeiten | Quelltext bearbeiten]
Wir sind nun an dem Punkt, da es nur noch um Berechtigungen geht. Dieses Thema werden wir nun bearbeiten, da sich sonst jeder Anmelden kann, dass sicher nicht im Sinne des Admin ist.
Da ich nur mit Gruppen arbeite und nicht mit Benutzer hat einen Grund. Aus Administratriven Sicht sind User nicht das optimale, da man die Übersicht schnell verliert, daher wird ausschließlich mit Gruppen gearbeitet und nicht mit Usern.
Ich werde natürlich, die Domain-Admins hinzufügen und zwei Gruppen. Die Admins sind klar, aber wir benötigen eine Gruppe für das Anmelden am Linux System und eine Gruppe als Root User.
sudo realm permit -g SSH-ROOT
sudo realm permit -g LINUX-USER
sudo realm permit -g ‘Domänen-Admins’
Nur zur Anmerkung möchte ich euch zeigen, wie man alle erlaubt oder alle verbietet.
Alle Erlauben[Bearbeiten | Quelltext bearbeiten]
sudo realm permit –all
Alle Verbieten[Bearbeiten | Quelltext bearbeiten]
sudo realm deny –all
Administrativer Zugang einrichten[Bearbeiten | Quelltext bearbeiten]
Bevor wir uns damit anmelden können und administrative Aufgaben können, müssen wir eine Datei anpassen.
sudo nano /etc/sudoers
Wir fügen bei der Stelle, die Gruppe “SSH-ROOT” ein, nur noch speichern und der Zugriff ist sofort erlaubt. In dem Fall wird beim Root Zugriff kein Passwort gefragt. Weiter unten zeige ich euch, damit jeder Root Zugriff hat, auch nach dem Passwort gefragt wird.





