Beschreibung

diese Kurzanleitung soll die Schritte darstellen, wie Sie ein Linux Client (Debian 7 Wheezy oder 8 Etch) als Mitglied in eine Active Directory Umgebung mit aufnehmen können.

Die aufgeführten Schritte wurden in einer Testumgebung nachgestellt

• Domäne: LAB
• Realm Name: LAB.INT
• Domain Controller: LABADC01.LAB.INT und LABADC02.LAB.INT
• PWD Server: LABADC01.LAB.INT

Schritte:

1. Installieren Sie folgende Pakete:
   
   apt-get install samba smbclient samba-common winbind ntp libpam-krb5 krb5-user resolvconf realmd
   
   
   
2. Kontrollieren Sie die Zeiteinstellungen: date
   ggf. den NTP Dienst starten: /etc/init.d/ntp start
3. Prüfen Sie, ob der Hostname der Maschine korrekt wieder zurück angezeigt wird (FQDN): hostname -f
4. Anpassen der Kerberos Authentifizierung
   • Erstellen Sie eine Sicherheitskopie der Kerberos Datei: cp krb5.conf krb5.conf_backup
   • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die krb5.conf Datei: [Bsp aus Labor]
     
     

     [libdefaults]  default_realm = LAB.INT  dns_lookup_realm = false  dns_lookup_kdc = false  ticket_lifetime = 24h  renew_lifetime = 7d  forwardable = true [realms]  LAB.INT = {  kdc = LABADC01.LAB.INT  kdc = LABADC02.LAB.INT  admin_server = LABADC01.LAB.INT  } [domain_realm]  .lab.int = LAB.INT  lab.int = LAB.INT

     
     
     
5. Anpassen der Samba Konfiguration
   • Erstellen Sie eine Kopie der Samba Konfigurationsdatei: cp smb.conf smb.conf_backup
   • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die smb.conf Datei: [Bsp aus Labor]
     
     

     realm = LAB.INT workgroup = LAB security = ADS domain master = no local master = no os level = 0 min protocol = SMB2 template shell = /bin/bash log file = /var/log/samba/samba.log # User Part # logon script = logon.cmd template homedir = /home/%D/%U # no shell access template shell = /bin/false client use spnego = yes client ntlmv2 auth = yes encrypt passwords = yes restrict anonymous = 2 # Winbind Part winbind enum users = yes winbind enum groups = yes winbind use default domain = yes winbind refresh tickets = yes # idmap Part idmap config LAB:range = 10000000-19000000 idmap config LAB:backend = rid idmap config * : range = 11000-20000 idmap config * : backend = tdb

     
     
     
6. Starten Sie folgende Dienste neu:
   
   /etc/init.d/winbind stop
   /etc/init.d/samba restart
   /etc/init.d/winbind start
   
   HINWEIS: Wenn beim start des Winbind Dienstes ein Fehler erscheint, keine Panic > Nach dem AD Join ist dieser ordnungsgemäß wieder am Arbeiten!
   
   
   
7. Nehmen Sie den Clients im Active Directory auf mit anschließender Kontrolle:
   
   

   Befehl	Beschreibung
   net ads join -U administrator OPTIONAL - OU Zuordnung: net ads join -U a0min createcomputer=Server/Linux	AD Admin Benutzer zum Aufnehmen in die Domäne
   /etc/init.d/winbind restart	Neustart des WinBind Dienstes
   net ads testjoin	Kontrolliert die Aufnahme im Active Directory
   net ads info	Zeigt die Anmeldeinformation des Active Directory an
   wbinfo -u	gibt eine Liste der im Active Directory hinterlegten User aus
   wbinfo -g	gibt eine Liste der im Active Directory hinterlegten Gruppen aus

   
   
   
8. Legen Sie die Anmeldungsart der User fest
   • Erstellen Sie eine Kopie der Name Service Switch datei: mv nsswitch.conf nsswitch.conf_backup
   • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die nsswitch.conf Datei: [Bsp aus Labor]
     
     

     passwd: compat winbind group: compat winbind shadow: compat winbind gshadow: files # hosts: files myhostname mdns4_minimal [NOTFOUND=return] dns # networks: files

     
     
     
9. Kontrollieren Sie ob die AD User/Gruppen durch folgende Kommandos mit aufgelistet werden:
   
   getent passwd
   getent group
   
   
   
10. Wenn Sie keine User/Gruppen sehen, müssen folgende Pakete installiert werden:
    
    apt-get install libnss-winbind libpam-winbind
    
    Nach der Installation der Pakete kontrollieren Sie erneut die Auflistung!
    
    
11. Passen Sie die Anlage der Home Verzeichnisse an [/etc/pam.d/common-session]
    • Erstellen Sie eine Kopie der Session Datei: mv common-session common-session_backup
    • Tragen Sie anhand des Beispiels die Notwendigen Punkte in die common-session Datei:
      
      session required pam_unix.so
      session required pam_mkhomedir.so umask=0022 skel=/etc/skel
      
      
      
12. Starten Sie nun den Client Neu.

Wenn Sie die oben genannten Schritte durchgeführt haben, können Sie Anwender die im Active Directory Hinterlegt sind am Linux Client anmelden.

Quelle: http://gamblisfx.com/how-to-join-debian-8-jessie-to-windows-server-active-directory

Alte Quelle: http://trabauer.com/?p=319