Suchen

Samba und andere Linux-Dienste in Windows-Netzwerken nutzen So integrieren Sie Linux-Systeme in Active-Directory-Domänen

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Auch in Microsoft-Netzwerken gibt es den einen oder anderen Linux-Server, um den sich Administratoren kümmern müssen. Aktuelle Windows- und Linux-Versionen arbeiten enger zusammen als die Vorgängerversionen, und der Parallelbetrieb der beiden Systeme ist ohne Problem möglich.

Auch in klassischen Windows-Netzen macht der eine oder andere Linux-Server durchaus Sinn!
Auch in klassischen Windows-Netzen macht der eine oder andere Linux-Server durchaus Sinn!
(Bild: jan stopka - Fotolia.com)

Sollen Linux-Server im Microsoft-Netz zum Einsatz kommen, bietet es sich an, explizit auf die Server-Version der entsprechenden Distribution zu setzen. Diese bietet mehr Sicherheit und Stabilität da grafische Oberflächen fehlen. Zwar ist die Verwaltung zunächst komplizierter, aber mit etwas Einarbeitung kommen auch Windows-Administratoren gut mit der Befehls-Shell zurecht. Prominentes Beispiel für den verbreiteten Einsatz ist Ubuntu in der Version 14.04.2.LTS, aber es gibt zahlreiche weitere Beispiele von Red Hat, Suse und Co.

Linux-Server am Beispiel von Ubuntu an Active Directory anbinden

Um einen Linux-Server an das Active Directory anzubinden, können Administratoren auf einem Ubuntu-Server durchaus eine kleine grafische Oberfläche installieren, damit zumindest einfache Werkzeuge in der grafischen Oberfläche zur Verfügung stehen (siehe Abbildung 1). Nach der Installation von Ubuntu-Server über dessen Assistenten, installieren Administratoren die grafische Oberfläche Gnome Light mit dem folgenden Befehl:

sudo apt-get install xorg gnome-core gnome-system-tools gnome-app-install

Der Server muss dazu bereits an das Netzwerk und an das Internet angebunden sein, notfalls per DHCP. Um nach der Einrichtung die Sicherheit des Servers zu erhöhen, kann die grafische Oberfläche mit dem folgenden Befehl wieder deinstalliert werden:

sudo apt-get remove xorg gnome-core gnome-system-tools gnome-app-install

Kerberos auf Linux-Servern nutzen

Viele Linux-Server, darunter auch Ubuntu, beherrschen nicht nur die Anbindung an das Active Directory, sondern auch Protokolle wie Kerberos. Das erhöht die Produktivität von Linux-Servern in Active Directory deutlich, da damit auch das Ticketsystem von AD in Linux funktioniert. Die Technologie wird in Ubuntu über die Erweiterung Winbind integriert.

Dazu muss aber sichergestellt sein, dass der Server mit dem Netzwerk verbunden ist und die Domänencontroller per Ping und Namensauflösung erreicht werden können. Extrem wichtig ist auch die Zeitsynchronisierung der Server. Die Uhren der Linux-Server dürfen nicht mehr als 5 Minuten von den Zeiten der Domänencontroller abweichen.

Bildergalerie

Die Netzwerkeinstellungen lassen sich am Beispiel von Ubuntu am einfachsten mit "gedit" bearbeiten. Den Editor können Administratoren verwenden, um Einstellungen des Servers zu bearbeiten. Dieses Paket muss aber erst mit folgendem Befehl installiert werden:

sudo apt-get install gksu gedit

Die Konfigurationsdatei "interfaces" steuert die Netzwerkkonfiguration und befindet sich im Verzeichnis "etc\network". Um die Bearbeitung vorzunehmen, wird der folgende Befehl verwendet:

gksu gedit /etc/network/interfaces

Die Datei sollte mindestens folgenden Inhalt haben:

# This file describes the network interfaces available on your system# and how to activate them. For more information, see interfaces(5).# The loopback network interfaceauto loiface lo inet loopback# The primary network interfaceauto eth0iface eth0 inet staticaddress 192.168.178.188gateway 192.168.178.1

Die Änderungen werden mit dem folgenden Befehl aktiv geschaltet:

sudo /etc/init.d/networking restart

Die DNS-Server werden in der Datei "/etc/resolv.conf" angepasst. Um diese zu öffnen, wird der Befehl "gksu gedit /etc/resolv.conf" verwendet. Damit die Namensauflösung funktioniert, sollten folgende Zeilen eingetragen werden:

nameserver <IP-Adresse des DNS-Servers>search <FQDN der Domäne>

In einigen Linux-Distributionen lassen sich die Einstellungen zur Namensauflösung in der Datei "/etc/resolvconf/resolv.conf.d/base" vornehmen. Sind mehrere DNS-Server im Einsatz, muss für jeden eine Zeile in der Form "nameserver <IP-Adresse>" eingetragen werden. Mit "sudo resolvconf -u" werden die Änderungen in den produktiven Betrieb übernommen.

Den Hostnamen des lokalen Servers passen Administratoren mit dem Befehl "sudo /bin/hostname <Neuer Hostname>" an. Danach müssen die notwendigen Erweiterungen für Active Directory auf dem Server installiert werden:

sudo apt-get install krb5-user libpam-krb5 winbind samba smbclient libnss-winbind libpam-winbind

Wurden die Dateien installiert, kann der Server in die Active-Directory-Domäne aufgenommen werden.

Linux für Active Directory vorbereiten

Die Kerberos-Konfigurationsdatei "krb5.conf" im Verzeichnis "/etc" steuert die Anbindung und Verwendung von Kerberos (siehe Abbildung 3). Um die Datei zu bearbeiten, wird folgender Befehl verwendet:

gksu gedit /etc/krb5.conf

In der Datei werden die notwendigen Daten für die AD-Domäne konfiguriert:

default_realm = <Active Directory-Domäne>[<Active Directory-Domäne> = {kdc = <Domänencontroller>:88admin_server = <Domänencontroller>:464default_domain = <Active Directory-Domäne>}[domain_realm].<Active Directory-Domäne>= <Active Directory-Domäne><Active Directory-Domäne klein geschrieben> = <Active Directory-Domäne gross geschrieben>

Der folgende Befehl testet die Verbindung zu den Domänencontrollern:

kinit <UNC-Anmeldenamen eines Domänen-Admins>

Mit "klist" lassen sich danach die Daten des Kerberos-Tickets anzeigen. Dieses muss den Namen der Domäne enthalten sowie den Ablauf seiner Gültigkeit. Die Konfigurationsdatei "smb.conf" im Verzeichnis "/etc/samba" steuert die Anbindung:

gksu gedit /etc/samba/smb.conf

Die Datei sollte folgende Daten enthalten:

[global]realm = <Domäne in Großbuchstaben>password server = <IP-Adresse des Domänencontrollers>workgroup = <Domäne>
Bildergalerie

Linux in AD aufnehmen

Nach der Speicherung der Datei und dem Neustart des Servers, sollte dieser bereit für die Aufnahme in Active Directory sein. Mit dem Befehl "sudo net ads join -U Administrator" wird der Server zum Mitglied der Domäne. Anschließend muss noch folgender Befehl eingegeben werden:

/etc/init.d/winbind restart

Im Terminal des Linux-Servers können mit "wbinfo -u" die Domänenbenutzer und mit "wbinfo -g" die Domänengruppen angezeigt werden. Für die optimale Zusammenarbeit mit Active Directory muss noch die Winbind-Konfigurationsdatei bearbeitet werden:

gksu gedit /etc/nsswitch.conf

Die Datei muss mit folgenden Zeilen ergänzt werden.

passwd: compat winbindgroup: compat winbindshadow: compat

Danach wird Winbind neu gestartet und kann getestet werden:

/etc/init.d/winbind restartgetent passwdgetent group

(ID:43363994)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist