Integrieren Sie Linux mithilfe von Samba, Winbind und Kerberos in Active Directory - Wie Man

Integrieren Sie Linux mithilfe von Samba, Winbind und Kerberos in Active Directory

Dies ist die Zusammenfassung meiner Erfahrungen beim Einrichten einer Linux-Maschine als Mitglied einer vorhandenen Active Directory-Domäne.

Letztes Jahr war ich neu in einer Organisation, die eine ungesunde Affinität zu Dell hat. Trotzdem brauchten wir etwas mehr Speicherplatz. Daher bestand meine Lösung darin, einen Server aus Teilen aufzubauen und Centos 5.1 und Samba zu verwenden, um Dateien mit der Windows-Domäne gemeinsam zu nutzen. Ich hatte einen 3U-Dateiserver mit einem 12 TB Raid 6-Array mit einem Hot-Spare (Redundanz ist ein ernstes Geschäft) für knapp 4.000 Dollar. Angesichts der Kosten einer ähnlichen Lösung von Dell, ist das für mich ein wichtiger Brownie-Punkt. Aber ich schweife ab. Hier ist das Fleisch und die Kartoffeln, wenn man eine Linux-Box bekommt, um gut mit einer AD-Umgebung zu spielen.

Ich hoffe das hilft jemandem!

9 Schritte insgesamt

Schritt 1: Konfigurieren Sie Ihre Linux-Box mit den entsprechenden Paketen.

Sie haben also Ihren Server / Ihre Workstation mit Ihrer bevorzugten Linux-Variante installiert, und es ist Zeit, der Windows-Domäne beizutreten. Dafür brauchen wir Samba und Kerberos. Die meisten Distributionen sind mit Samba installiert, aber es empfiehlt sich, die neueste Version entweder aus den Repositories Ihrer Distribution oder von der Samba-Website selbst zu beziehen. Stellen Sie außerdem sicher, dass Sie die krb5-Pakete installiert haben.

Schritt 2: Zeitsynchronisation ...

AD ist sehr wählerisch bei der Zeitanpassung während der Authentifizierung. Daher müssen Sie den ntpd-Prozess auf einen Server in Ihrem Netzwerk richten. Ein Domänencontroller ist eine gute Wahl.

Bei Linux mit Red Hat Flavoured (CentOS, RHEL und vielleicht SuSE, da bin ich mir nicht sicher), können Sie NTP konfigurieren, ohne eine .conf-Datei zu bearbeiten:

ntpdate HOSTNAME

Bearbeiten Sie für Linux mit Debian-Geschmack die Datei /etc/ntp.conf mit Ihrem bevorzugten Texteditor. Echte Männer benutzen vi. Sie sehen einen Server-Abschnitt. Ersetzen Sie einfach das, was dort vorhanden ist, durch einen oder mehrere NTP-Server in Ihrer Domäne.

server HOSTNAME iburst dynamic

Starten Sie nun den NTP-Dienst wie folgt neu:

Dienst ntp neu starten

oder

/etc/init.d/ntp neu starten

oder

/etc/rc.d/init.d/ntp neu starten

abhängig von Ihrer Marke * nix.

Stellen Sie sicher, dass es mit dem folgenden Befehl funktioniert:

ntpq -p

Sie werden einige Ausgaben sehen, die den NTP-Server enthalten sollten, auf den Sie ihn gezeigt haben, und einige Statistiken.

Schritt 3: Bearbeiten Sie / etc / hosts

Fügen Sie diese Zeile für jeden Domänencontroller zu / etc / hosts hinzu:

xxx.xxx.xxx.xxx adserver.ihrdomain adserver

Schritt 4: Bearbeiten Sie die Datei /etc/krb5.conf

Bearbeiten Sie /etc/krb5.conf so, dass es etwa so aussieht:

[libdefaults]
ticket_lifetime = 600
default_realm = YOURDOMAIN
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
[reiche]
YOURDOMAIN = {
kdc = IP Ihres Anzeigenservers
default_domain = YOURDOMAIN
}
[Domain_realm]
.IhreDomäne = DEIN DOMAIN
yourdomain = YOURDOMAIN
[kdc]
profile = /etc/krb5kdc/kdc.conf
[logging]
kdc = DATEI: /var/log/krb5kdc.log
admin_server = DATEI: /var/log/kadmin.log
default = DATEI: /var/log/krb5lib.logog

Schritt 5: Testen Sie die Kerberos-Authentifizierung

Geben Sie in der Shell Folgendes ein, um die Kerberos-Authentifizierung zu testen:

kinit Benutzername @ DOMAIN

Sie werden aufgefordert, ein Kennwort einzugeben. Wenn alles in Ordnung ist, kehren Sie zur Eingabeaufforderung zurück.

Verwenden Sie die Befehlsliste, um zu bestätigen, dass Sie ein Ticket erhalten haben. Wenn Sie ein Ticket haben, geht es Ihnen gut. Wenn nicht, überprüfen Sie Ihre /etc/krb5.conf -Datei.

Schritt 6: Konfigurieren Sie Samba und Winbind als Domänenmitglied.

Fast fertig. Jetzt müssen wir die Datei /etc/samba/smb.conf bearbeiten. Ich werde die wichtigen Parameter angeben. Ihre smb.conf-Datei sollte ungefähr so ​​aussehen:

[global]
Arbeitsgruppe = Domainname
Kennwort Server = Hostname des Domänencontrollers
Wins-Server = IP des Wins-Servers
Realm = DOMAIN
Sicherheit = Anzeigen
idmap uid = 16777216-33554431
idmap gid = 16777216-33554431
Template-Shell = / bin / bash
winbind verwendet default domain = false
Winbind-Offline-Anmeldung = false
Winbind-Trennzeichen = + <

Schritt 7: Teilen Sie linux mit, dass winbind die Authentifizierung durchführen soll.

Bearbeiten Sie Ihre /etc/nsswitch.conf so, dass sie ungefähr so ​​aussieht:

passwd: compat winbind
Schatten: Comp
Gruppe: Compat Winbind

Schritt 8: Moment der Wahrheit: Treten Sie der Domäne bei.

Wenn die Datei /etc/samba/smb.conf ordnungsgemäß bearbeitet wurde, geben Sie Folgendes an der Shell ein:

Testparm

Es gibt Ihnen den Überblick über Ihre Samba-Konfigurationsdatei und informiert Sie, wenn etwas nicht stimmt. Wenn alles in Ordnung ist, ist es Zeit, die smb- und winbind-Dienste zu starten, wie folgt: (abhängig von * nix)

service smb restart
Service Winbind Neustart

oder

/etc/init.d/smb neu starten
/etc/init.d/winbind neustarten

oder

/etc/rc.d/init.d/smb neu starten
/etc/rc.d/init.d/winbind neu starten

Wenn beide wieder in Ordnung sind, können wir uns der Domäne anschließen, wie folgt:

net ads join -U DOMAIN + Benutzername% Kennwort

Dann testen Sie den Join mit:

net ads testjoin

Wenn es "Join is OK" meldet, ist der Test winbind:

Wbinfo -u
wbinfo -g

Wenn es funktioniert, ist Ihre Linux-Box jetzt in die AD-Domäne integriert.

Schritt 9: Konfigurieren Sie abschließend die Dienste smb und winbind so, dass sie automatisch gestartet werden

Jede Distribution hat einen anderen Weg, so dass ich nicht zu sehr ins Detail gehe. Habe einfach einen google drauf; Es gibt eine Fülle von Informationen da draußen.

Das sollte es tun. Wenn Sie auf Fehler stoßen, kann ich Ihnen vielleicht helfen. Ich hatte einen holprigen Weg, um das zu schaffen, aber am Ende hat das funktioniert.

Viel Spaß und ich hoffe, das hilft jemandem.