Logo faq-o-matic.net
Logo faq-o-matic.net

Linux (Debian-derived) Domain Integration

von veröffentlicht am20. Dezember 2017, 06:09 Uhr Kurzlink und Zitatlink einblenden
Kategorie Kategorie: Active Directory, Linux   Translate with Google Translate Translate EN   Die angezeigte Seite drucken

Nutzt man keine Enterprise-Linux-Systeme wie SUSE Enterprise Linux oder Redhat Enterprise Linux, stellt sich die Integration in einen LDAP-Verzeichnisdienst wie das Active Directory manchmal als kleine Herausforderung dar. Ein Weg dies, auf Debian-Derivaten zu realisieren, ohne auf Samba zurückzugreifen, ist Powerbroker Identity Services Open (PBIS Open) von BeyondTrust, ehemals bekannt als Likewise Open.

In dem geschilderten Szenario wird der der NETBIOS Name „CONTOSO“ und der FQDN „contoso.com“ verwendet. Die Installation an sich gestaltet sich auch relativ simpel. Zuerst wird die neuste Version des entsprechenden Paketes von „https://github.com/BeyondTrust/pbis-open/releases/latest“ heruntergeladen. Als dieser Blogartikel entstanden ist, war dies die Version 8.5.7.385.

Hat man also die Datei heruntergeladen, so setzt man die entsprechenden Rechte mit „chmod +x pbis-open-*.sh“ und führt anschließend mit „./pbis-open-*.sh“ das Installationsscript aus. Nach wenigen Sekunden sollte das Script hoffentlich ungefähr das folgende Ergebnis bringen:

[..]
New libraries and configurations have been installed for PAM and NSS.
Please reboot so that all processes pick up the new versions.
[..]

 

Sollte dem so sein, folgt man den Anweisungen und startet den Host einmal neu. Nach dem Neustart tritt man mit dem Kommando „/opt/pbis/bin/domainjoin-cli join contoso.com Administrator“ der Domäne bei.

Falls man die PAM-Config verändert hat, wird PBIS Open einen entsprechenden Hinweis geben. Führt man danach „pam-auth-update –force“ aus, wird die Standard PAM Config mit den entsprechenden PBIS Open Erweiterungen wiederhergestellt. Im Nachgang tätigt man noch ein wenig Finetuning wie folgt:

/opt/pbis/bin/config UserDomainPrefix CONTOSO                                                                         #Setzt Standard NETBIOS Mask
/opt/pbis/bin/config AssumeDefaultDomain true                                                                           #Schaltet die Default Netbios Mask aktiv
/opt/pbis/bin/config LoginShellTemplate /bin/bash                                                                      #Setzt /bin/bash als Standardshell (vorher /bin/sh
/opt/pbis/bin/config HomeDirTemplate %H/%U                                                                             #Setzt Homedirectory Pfad auf /home/sAMAccountName
/opt/pbis/bin/config RequireMembershipOf CONTOSO\\domain-users                                #Erlaubt allen Domain Users den Login auf dem Server (der doppelte Backslash ist hier notwendig, da sonst ein Escape Sign intepretiert wird)

 

Nachdem diese Kommandos ausgeführt worden und keine Fehler während der Installation und Konfiguration aufgetreten sind, kann man sich mit einem Domain-User einloggen. Um zu testen, ob der Gruppenabruf und das GID-Mapping problemlos funktioniert, kann man mit „/opt/pbis/bin/find-group-by-name domain-admins“ alle Mitglieder und Eigenschaften einer Gruppe anzeigen lassen.

Um eine Active Directory Gruppe auf dem Linux System zu privilegieren, kann man nun diese Gruppen auch in der sudoers Datei autorisieren. Hierfür fügt man z.B. eine Zeile wie folgt an die Datei „/etc/sudoers“:

%domain-admins ALL=(ALL:ALL) ALL      #Wichtig: Gruppennamen kleinschreiben

Ein kurzer Test (z.B. „sudo -i“) mit einem User in der entsprechenden Gruppe gibt Auskunft darüber, ob dies funktioniert hat.

Natürlich kann man diese Gruppen auch verwenden, um beispielsweise Samba Shares damit zu berechtigen. Hierfür installiert man wie gewohnt das samba Paket und führt im Nachgang das Kommando „/opt/pbis/bin/samba-interop-install –install“ aus, um die Samba entsprechend zu konfigurieren. Eine entsprechende smb.conf kann danach z.B. wie folgt aussehen:

[global]
security = ADS
workgroup = CONTOSO
realm = contoso.com
machine password timeout = 0

[ExampleFileshareName]
path = /mnt/examplefilestore
read only = no
valid users = @"CONTOSO\domain-users"

 

Hat man hierbei Schwierigkeiten, so findet man recht gute Diagnose Hilfe in den BeyondTrust Docs (http://bit.ly/2jGwq3r) dazu.

© 2005-2017 bei faq-o-matic.net. Alle Rechte an den Texten liegen bei deren Autorinnen und Autoren.

Jede Wiederveröffentlichung der Texte oder von Auszügen daraus - egal ob kommerziell oder nicht - bedarf der ausdrücklichen Genehmigung durch die jeweiligen Urheberinnen oder Urheber.

Das Impressum findet sich unter: http://www.faq-o-matic.net/impressum/

Danke, dass du faq-o-matic.net nutzt. Du hast ein einfaches Blog sehr glücklich gemacht!