Samba und andere Linux-Dienste in Windows-Netzwerken nutzen

So integrieren Sie Linux-Systeme in Active-Directory-Domänen

| Autor / Redakteur: Thomas Joos / Andreas Donner

Auch in klassischen Windows-Netzen macht der eine oder andere Linux-Server durchaus Sinn!
Auch in klassischen Windows-Netzen macht der eine oder andere Linux-Server durchaus Sinn! (Bild: jan stopka - Fotolia.com)

Auch in Microsoft-Netzwerken gibt es den einen oder anderen Linux-Server, um den sich Administratoren kümmern müssen. Aktuelle Windows- und Linux-Versionen arbeiten enger zusammen als die Vorgängerversionen, und der Parallelbetrieb der beiden Systeme ist ohne Problem möglich.

Sollen Linux-Server im Microsoft-Netz zum Einsatz kommen, bietet es sich an, explizit auf die Server-Version der entsprechenden Distribution zu setzen. Diese bietet mehr Sicherheit und Stabilität da grafische Oberflächen fehlen. Zwar ist die Verwaltung zunächst komplizierter, aber mit etwas Einarbeitung kommen auch Windows-Administratoren gut mit der Befehls-Shell zurecht. Prominentes Beispiel für den verbreiteten Einsatz ist Ubuntu in der Version 14.04.2.LTS, aber es gibt zahlreiche weitere Beispiele von Red Hat, Suse und Co.

Linux-Server am Beispiel von Ubuntu an Active Directory anbinden

Um einen Linux-Server an das Active Directory anzubinden, können Administratoren auf einem Ubuntu-Server durchaus eine kleine grafische Oberfläche installieren, damit zumindest einfache Werkzeuge in der grafischen Oberfläche zur Verfügung stehen (siehe Abbildung 1). Nach der Installation von Ubuntu-Server über dessen Assistenten, installieren Administratoren die grafische Oberfläche Gnome Light mit dem folgenden Befehl:

sudo apt-get install xorg gnome-core gnome-system-tools gnome-app-install

Der Server muss dazu bereits an das Netzwerk und an das Internet angebunden sein, notfalls per DHCP. Um nach der Einrichtung die Sicherheit des Servers zu erhöhen, kann die grafische Oberfläche mit dem folgenden Befehl wieder deinstalliert werden:

sudo apt-get remove xorg gnome-core gnome-system-tools gnome-app-install

Kerberos auf Linux-Servern nutzen

Viele Linux-Server, darunter auch Ubuntu, beherrschen nicht nur die Anbindung an das Active Directory, sondern auch Protokolle wie Kerberos. Das erhöht die Produktivität von Linux-Servern in Active Directory deutlich, da damit auch das Ticketsystem von AD in Linux funktioniert. Die Technologie wird in Ubuntu über die Erweiterung Winbind integriert.

Dazu muss aber sichergestellt sein, dass der Server mit dem Netzwerk verbunden ist und die Domänencontroller per Ping und Namensauflösung erreicht werden können. Extrem wichtig ist auch die Zeitsynchronisierung der Server. Die Uhren der Linux-Server dürfen nicht mehr als 5 Minuten von den Zeiten der Domänencontroller abweichen.

Die Netzwerkeinstellungen lassen sich am Beispiel von Ubuntu am einfachsten mit "gedit" bearbeiten. Den Editor können Administratoren verwenden, um Einstellungen des Servers zu bearbeiten. Dieses Paket muss aber erst mit folgendem Befehl installiert werden:

sudo apt-get install gksu gedit

Die Konfigurationsdatei "interfaces" steuert die Netzwerkkonfiguration und befindet sich im Verzeichnis "etc\network". Um die Bearbeitung vorzunehmen, wird der folgende Befehl verwendet:

gksu gedit /etc/network/interfaces

Die Datei sollte mindestens folgenden Inhalt haben:

# This file describes the network interfaces available on your system

# and how to activate them. For more information, see interfaces(5).

# The loopback network interface

auto lo

iface lo inet loopback

# The primary network interface

auto eth0

iface eth0 inet static

address 192.168.178.188

gateway 192.168.178.1

Die Änderungen werden mit dem folgenden Befehl aktiv geschaltet:

sudo /etc/init.d/networking restart

Die DNS-Server werden in der Datei "/etc/resolv.conf" angepasst. Um diese zu öffnen, wird der Befehl "gksu gedit /etc/resolv.conf" verwendet. Damit die Namensauflösung funktioniert, sollten folgende Zeilen eingetragen werden:

nameserver <IP-Adresse des DNS-Servers>

search <FQDN der Domäne>

In einigen Linux-Distributionen lassen sich die Einstellungen zur Namensauflösung in der Datei "/etc/resolvconf/resolv.conf.d/base" vornehmen. Sind mehrere DNS-Server im Einsatz, muss für jeden eine Zeile in der Form "nameserver <IP-Adresse>" eingetragen werden. Mit "sudo resolvconf -u" werden die Änderungen in den produktiven Betrieb übernommen.

Den Hostnamen des lokalen Servers passen Administratoren mit dem Befehl "sudo /bin/hostname <Neuer Hostname>" an. Danach müssen die notwendigen Erweiterungen für Active Directory auf dem Server installiert werden:

sudo apt-get install krb5-user libpam-krb5 winbind samba smbclient libnss-winbind libpam-winbind

Wurden die Dateien installiert, kann der Server in die Active-Directory-Domäne aufgenommen werden.

Linux für Active Directory vorbereiten

Die Kerberos-Konfigurationsdatei "krb5.conf" im Verzeichnis "/etc" steuert die Anbindung und Verwendung von Kerberos (siehe Abbildung 3). Um die Datei zu bearbeiten, wird folgender Befehl verwendet:

gksu gedit /etc/krb5.conf

In der Datei werden die notwendigen Daten für die AD-Domäne konfiguriert:

default_realm = <Active Directory-Domäne>

[<Active Directory-Domäne> = {

kdc = <Domänencontroller>:88

admin_server = <Domänencontroller>:464

default_domain = <Active Directory-Domäne>

}

[domain_realm]

.<Active Directory-Domäne>= <Active Directory-Domäne>

<Active Directory-Domäne klein geschrieben> = <Active Directory-Domäne gross geschrieben>

Der folgende Befehl testet die Verbindung zu den Domänencontrollern:

kinit <UNC-Anmeldenamen eines Domänen-Admins>

Mit "klist" lassen sich danach die Daten des Kerberos-Tickets anzeigen. Dieses muss den Namen der Domäne enthalten sowie den Ablauf seiner Gültigkeit. Die Konfigurationsdatei "smb.conf" im Verzeichnis "/etc/samba" steuert die Anbindung:

gksu gedit /etc/samba/smb.conf

Die Datei sollte folgende Daten enthalten:

[global]

realm = <Domäne in Großbuchstaben>

password server = <IP-Adresse des Domänencontrollers>

workgroup = <Domäne>

Linux in AD aufnehmen

Nach der Speicherung der Datei und dem Neustart des Servers, sollte dieser bereit für die Aufnahme in Active Directory sein. Mit dem Befehl "sudo net ads join -U Administrator" wird der Server zum Mitglied der Domäne. Anschließend muss noch folgender Befehl eingegeben werden:

/etc/init.d/winbind restart

Im Terminal des Linux-Servers können mit "wbinfo -u" die Domänenbenutzer und mit "wbinfo -g" die Domänengruppen angezeigt werden. Für die optimale Zusammenarbeit mit Active Directory muss noch die Winbind-Konfigurationsdatei bearbeitet werden:

gksu gedit /etc/nsswitch.conf

Die Datei muss mit folgenden Zeilen ergänzt werden.

passwd: compat winbind

group: compat winbind

shadow: compat

Danach wird Winbind neu gestartet und kann getestet werden:

/etc/init.d/winbind restart

getent passwd

getent group

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43363994 / Administration)