Integration einer Ubuntu-Maschine in eine Windows AD-Domäne
Das Problem der Integration einer Ubuntu-Workstation mit Windows Active Directory ist recht häufig. Im Folgenden beschreiben wir die erforderlichen Schritte, um DataSunrise-Benutzern zu helfen, diese Aufgabe zu bewältigen:
1. Geben Sie den Namen des konfigurierten Computers in der Datei /etc/hostname an
Fragen Sie den aktuellen Hostnamen ab:
cat /etc/hostnameGeben Sie bei Bedarf einen neuen Hostnamen an:
echo myhost > /etc/hostnameHinweis: Der Hostname darf nicht “localhost” sein, da “localhost” der Name für 127.0.0.1 ist (angegeben in der Datei /etc/hosts, wenn Sie das Betriebssystem installieren).
2. Geben Sie den vollständigen Namen des Domänencontrollers in der Datei /etc/hosts an
Fügen Sie am Ende der Datei /etc/hosts einen statischen Eintrag mit dem vollständigen Namen des Domänencontrollers hinzu. Eine Übersetzung zwischen IP-Adresse und dem Namen des Computers ist erforderlich, damit Sie den Hostnamen anstelle der IP-Adresse verwenden können.
echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts 3. Konfigurieren Sie einen DNS-Server auf dem konfigurierten Computer
Der Domänencontroller sollte die erste Suchoption sein. Fügen Sie die IP-Adresse des Domänencontrollers zu /etc/resolv.conf hinzu. In den meisten Distributionen wird resolv.conf automatisch generiert, daher müssen Sie die IP-Adresse des Domänencontrollers zur Datei /etc/resolvconf/resolv.conf.d/head hinzufügen.
sudo vim /etc/resolvconf/resolv.conf.d/headÄndern Sie die geöffnete Datei wie folgt:
domain domain.com search domain.com nameserver <domain controller IP-Adresse> nameserver 8.8.8.8
Starten Sie den Netzwerkdienst neu.
/etc/init.d/networking restartVerwenden Sie den Befehl nslookup zur Überprüfung.
nslookup www.google.com 4. Konfigurieren Sie die Zeitsynchronisierung
Die Systemzeit auf dem Computer muss mit der Systemzeit auf dem Domänencontroller-Server synchronisiert sein. Installieren Sie das Tool ntp und ändern Sie die Datei ntp.conf.
sudo apt-get install ntp
sudo vim /etc/ntp.conf Ändern Sie die Datei wie folgt:
# Sie müssen mit einem NTP-Server oder zwei (oder drei) sprechen. server dc.domain.com
Starten Sie den ntpd-Daemon neu.
sudo /etc/init.d/ntp restart 5. Installieren Sie einen Kerberos-Client
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config 6. Installieren Sie Samba, Winbind und NTP
sudo apt-get install samba winbind ntp 7. Bearbeiten Sie die Datei /etc/krb5.conf, um den vollständigen Domänennamen, den Namen des Domänencontrollers und den realm-Parameter hinzuzufügen
Wichtig: Lassen Sie keine Kommentare mit dem Zeichen “#” im Konfigurationsfile.
[libdefaults]
default_realm = DOMAIN.COM # domainspezifischer Parameter (vollständiger Domänenname)
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = hostname.domain.com # domainspezifischer Parameter (Domänencontrollername)
admin_server = hostname.domain.com # domainspezifischer Parameter (Domänencontrollername)
default_domain = DOMAIN.COM # domainspezifischer Parameter (vollständiger Domänenname)
}
[domain_realm]
.domain.com = DOMAIN.COM # domainspezifischer Parameter (Domänenname für DNS-Namen)
domain.com = DOMAIN.COM # domainspezifischer Parameter (Domänenname für DNS-Namen)
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
} 8. Bearbeiten Sie die Datei /etc/samba/smb.conf, um den kurzen Domänennamen und den vollständigen Domänennamen hinzuzufügen:
Wichtig: Lassen Sie keine Kommentare mit dem Zeichen “#” im Konfigurationsfile.
[global] workgroup = DOMAIN # domainspezifischer Parameter (kurzer Domänenname) realm = DOMAIN.COM # domainspezifischer Parameter (vollständiger Domänenname) security = ADS encrypt passwords = true socket options = TCP_NODELAY domain master = no local master = no preferred master = no os level = 0 domain logons = 0 server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes
Hinweis: Entfernen Sie vor der Verwendung der Konfigurationsdatei alle Kommentarzeilen.
9. Tritt der Domäne bei:
net ads join -U AdministratorNach erfolgreichem Beitritt zur Domäne können Sie Active Directory-Hostnamen anpingen, z.B.:
vertica@vertica:~/ds$ ping johnny.domain.com
PING johnny.domain.com (192.168.1.39) 56(84) Bytes Daten.
64 Bytes von johnny.domain.com (192.168.1.39): icmp_seq=1 ttl=128 Zeit=0.200 ms
64 Bytes von johnny.domain.com (192.168.1.39): icmp_seq=2 ttl=128 Zeit=0.560 ms 10. Überprüfen Sie, ob die Authentifizierung für einen Active Directory-Benutzer erfolgreich ist:
kinit [email protected]Hinweis: Geben Sie den Domänennamen in Großbuchstaben ein.
Wenn alles richtig konfiguriert wurde, wird das Ticket erstellt.
Stellen Sie sicher, dass das Ticket erstellt wurde:
klistUnd da haben Sie es – eine Ubuntu-Workstation, die in Windows Active Directory integriert ist.
Bitte lesen Sie Active Directory-Authentifizierung für MySQL-Datenbanken, wenn Sie weitere Informationen benötigen.
Enthält Ihre Datenbank sensible Daten, die gesichert und geschützt werden müssen? Oder müssen Sie die GDPR-, SOX- oder HIPAA-Richtlinien einhalten? Überprüfen Sie die DataSunrise-Datenbanksicherheits- und Datenmaskierungssoftware oder laden Sie die Testversion herunter.
