Mobile-Menu

Best Practices zur Verwaltung von Identitäten Active Directory-Integration von Unix, Linux und macOS

Von Thomas Joos Lesedauer: 5 min |

Anbieter zum Thema

In lokal betriebenen Active-Directory-Umgebungen sind häufig auch andere Systeme im Einsatz. Es ist bei der Verwendung von Unix, Linux und macOS aber problemlos möglich, Identitäten in Active Directory zu speichern. Der Beitrag zeigt, auf was dabei geachtet werden muss.

Microsoft-Systeme dominieren die Netzwerke. Aber es finden sich zunehmend auch Geräte mit macOS, Linux und Unix in Unternehmensnetzen. Auch solche Fremdsysteme können an Active Directory angebunden werden.
Microsoft-Systeme dominieren die Netzwerke. Aber es finden sich zunehmend auch Geräte mit macOS, Linux und Unix in Unternehmensnetzen. Auch solche Fremdsysteme können an Active Directory angebunden werden.
(Bild: Joos - Apple)

Linux-, Unix-, und Mac-Nutzer können bei der Anbindung der jeweiligen Arbeitsstation an Active Directory auf Ressourcen in AD zugreifen, sich aber auch weiterhin mit dem jeweiligen lokalen Konto anmelden. Die Verbindung mit Active Directory erweitert jedoch die Möglichkeiten der externen Betriebssysteme, es erfolgt keine Einschränkung. Dadurch sind Zugriffe auf Ressourcen auch in Zero-Trust-Umgebungen mit externen Betriebssystemen möglich.

Generelle Vorgehensweise bei der Anbindung von Unix, Linux und macOS an Active Directory

Um Linux-, macOS- und Unix-Systeme an Active Directory anzubinden, gibt es eine Vielzahl von Methoden. Diese ermöglichen eine zentrale Benutzerauthentifizierung, Zugriffssteuerung und Richtlinienverwaltung.

Bildergalerie
Bildergalerie mit 7 Bildern

Für Linux-Systeme bietet sich die Verwendung von SSSD (System Security Services Daemon) an. SSSD ist eine Software-Suite, die eine Reihe von Daemons zur Verwaltung der Authentifizierung und Autorisierung auf einem Linux-System bereitstellt. Mit SSSD kann ein Linux-System Benutzer und Gruppen aus einer Active Directory-Domäne authentifizieren und autorisieren.

Realmd ist ein weiteres Werkzeug für Linux, das das Auffinden und die Verbindung mit einer Active Directory-Domäne erleichtert. Realmd kümmert sich um die notwendigen Konfigurationen für SSSD oder Winbind und ermöglicht eine einfache Einbindung in das Active Directory. Winbind ist eine Teilkomponente von Samba, welche ebenfalls für die Einbindung von Linux in Active Directory genutzt werden kann. Die Komponente ermöglicht es Linux-Systemen, in einer Windows-Domäne als vollwertige Mitglieder zu agieren.

Bei macOS ist die Integration in Active Directory einfacher, da Apple ein eingebautes Tool bereitstellt. Dies ermöglicht die Anbindung von macOS an Active Directory mit wenigen Klicks und unterstützt dabei die Authentifizierung und Gruppenzuordnung für Benutzer. Unix-Systeme können mit Hilfe von Samba und Kerberos an Active Directory angebunden werden.

Linux am Beispiel von Ubuntu mit Active Directory betreiben

Neben Linux-Servern lassen sich auch Linux-Arbeitsstationen in Active Directory einbinden. Das geht mittlerweile auch über die grafische Oberfläche – zum Beispiel beim Einsatz von Ubuntu. Natürlich steht in Linux auch die Möglichkeit zur Verfügung, die Active Directory-Anbindung im Terminal durchzuführen.

Seit Ubuntu 21.04 ist die Anbindung an Active Directory nativ in das Betriebssystem integriert. Ein sinnvolles Beispiel dafür ist die Installation von Microsoft SQL Server auf Ubuntu-Computern. Hier erfolgt die Installation des Datenbankservers auf Linux, inklusive der Möglichkeit zur Anbindung an Active Directory. Wir zeigen diese Vorgehensweise ausführlich im Beitrag "SQL-Benutzer auf Linux-Servern authentifizieren".

System Security Services Daemon im Detail

Um Linux-Computer am Beispiel von Ubuntu in Active Directory zu integrieren, ist System Security Services Daemon (SSSD) ein wichtiges Werkzeug. Die notwendigen Pakete lassen sich in Ubuntu/Debian mit dem folgenden Befehl installieren:

"sudo apt -y install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin packagekit"

Beim Betrieb von Active Directory spielt DNS eine wichtige Rolle. Daher sollte darauf geachtet werden, dass die DNS-Einstellungen auf den entsprechenden Computern richtig gesetzt sind. Das gilt für Linux, Unix und macOS. Vor der Domänenaufnahme sollte daher zuerst getestet werden, ob der Linux-Computer den Namen der Domänencontroller und idealerweise der AD-Domäne auflösen kann.

Domänenaufnahme testen und durchführen

Funktioniert die Namensauflösung, kann am Beispiel von Ubuntu/Debian überprüft werden, ob der Linux-Computer das Active Directory erreicht. Das erfolgt dem Befehl "realm disover" und dem FQDN der Active-Directory-Domäne, zum Beispiel:

"realm discover joos.int"

Die Aufnahme des Linux-Computers in Active Directory erfolgt mit dem Parameter "join" in Verbindung mit dem FQDN der Domäne. In diesem Beispiel ist das:

"realm join joos.int"

Kann der Computer das Active Directory erreichen, erfolgt die Authentifizierung an der Domäne. Nach der erfolgreichen Aufnahme ist der Computer auch in den AD-Verwaltungstools zu sehen, zum Beispiel in "Active Directory-Benutzer und -Computer": In Linux kann die Domänenaufnahme ebenfalls getestet werden, zum Beispiel mit:

"id administrator@joos.int"

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zu Netzwerktechnik, IP-Kommunikation und UCC

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

In der Datei "sssd.conf" im Verzeichni "/etc"sssd" lassen sich jederzeit Anpassungen für die Anbindung an Active Directory vornehmen.

macOS und Active Directory

Neben Linux lässt sich auch macOS an Active Directory anbinden. Dazu ist keine Installation von Zusatztools notwendig, alle notwendigen Bestandteile sind bereits in macOS integriert. Bei macOS können sich Benutzer weiterhin mit ihrer Apple-ID anmelden und Clouddienste von Apple wie iCloud nutzen, parallel zu Active Directory.

Unix und FreeBSD an Active Directory anbinden

Einige der bekanntesten Unix-Systeme sind Solaris, AIX (Advanced Interactive eXecutive), HP-UX und die BSD-Varianten. Solaris wurde ursprünglich von Sun Microsystems entwickelt und wird jetzt von der Oracle Corporation weitergeführt. AIX wurde von IBM entwickelt und ist speziell auf die Hardware von IBM optimiert. HP-UX ist ein Unix-System von Hewlett-Packard, das hauptsächlich auf deren eigenen Server-Hardware-Plattformen läuft. Die BSD-Varianten, darunter FreeBSD, OpenBSD und NetBSD, stammen alle von der ursprünglichen Berkeley Software Distribution ab.

Es ist möglich, diese Unix-Systeme an Active Directory anzubinden. Eine der verbreitetsten Methoden hierfür ist die Nutzung von Samba und Kerberos. Samba stellt eine Reihe von Diensten bereit, die es Unix-Systemen ermöglichen, als vollwertige Mitglieder in einer Windows-Domäne zu fungieren.

Unabhängig von der genutzten Methode müssen bestimmte Voraussetzungen erfüllt sein. Dazu gehört die korrekte Konfiguration des Domain Name Systems (DNS), eine sichere Netzwerkverbindung und eine gültige Active-Directory-Domäne. Es ist auch wichtig zu beachten, dass die Anbindung von Unix-Systemen an Active Directory in der Regel technische Fachkenntnisse erfordert, um die Integration erfolgreich durchzuführen. Um Unix an Active Directory anzubinden, sind folgende Vorgehensweisen sinnvoll:

Planung: Vor der Anbindung eines Unix-Systems an Active Directory sollten die Anforderungen und Ziele klar definiert und ein detaillierter Implementierungsplan erstellt werden.

Aktualisierung: Stellen Sie sicher, dass alle beteiligten Systeme (Unix und Active Directory) auf dem neuesten Stand sind, um von den aktuellsten Sicherheitsupdates und Kompatibilitätsfeatures zu profitieren.

Verwenden von Kerberos und Samba: Diese Dienste ermöglichen eine sichere Authentifizierung und nahtlose Integration mit Active Directory.

Richtige DNS-Konfiguration: Stellen Sie sicher, dass das DNS korrekt konfiguriert ist und die Unix-Systeme und Active-Directory-Domänencontroller ordnungsgemäß auflösen kann.

NTP (Network Time Protocol) verwenden: Sowohl Active Directory als auch Kerberos sind von synchronisierten Systemzeiten abhängig. Stellen Sie sicher, dass alle Systeme die gleiche Zeitquelle verwenden.

Testen in einer nicht-produktiven Umgebung: Testen Sie die Integration zuerst in einer Testumgebung, um mögliche Fehler und Unverträglichkeiten zu identifizieren, bevor Sie Änderungen in einer Produktionsumgebung vornehmen.

Backup und Wiederherstellungsplan: Erstellen Sie vor der Integration einen Backup-Plan und stellen Sie sicher, dass alle wichtigen Daten gesichert sind.

Regelmäßige Überwachung und Wartung: Überwachen Sie den Status der Integration regelmäßig, um eventuelle Probleme frühzeitig zu erkennen und zu beheben.

Gut dokumentierte Prozesse: Halten Sie den Prozess der Integration und alle relevanten Konfigurationen schriftlich fest, um Informationsverlust bei Personalwechseln zu verhindern und eine nachvollziehbare Historie der Änderungen zu haben.

Schulung des IT-Personals: Stellen Sie sicher, dass die Administratoren und Support-Mitarbeiter entsprechend geschult sind und die notwendigen Kenntnisse haben, um das System zu verwalten und auf mögliche Probleme zu reagieren.

(ID:49701775)