torkitea/mkdocs-etz
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
2bea6f01c04c84e7407da1c8a56083af1614f870
mkdocs-etz/mkdocs/docs/Linux_Unternehmen/linux-als-ad-client.md
Torkalis 2bea6f01c0 Initialer Upload MkDocs ETZ Dokumentation
2025-12-04 07:57:14 +01:00

111 lines
2.9 KiB
Markdown
Raw Blame History

Ein Ubuntu Desktop-System lässt sich auch in eine Domäne einbinden.
Falls Sie sich fragen, wozu man Linux an ein Windows-Netzwerk anbinden
soll, ist einfach erklärt: Egal an welchen Computer Sie gehen, sei es
Linux oder Windows, Sie melden Sich mit ihren Benutzerdaten an und
erhalten auch ggf. die Administrationsrechte um Auf dem System Schalten
und Walten zu können, wie sie möchten. Im Augenblick sind Rechtevergaben
nur für Gruppen pro System anzuwenden, somit können Administratoren
Programme Installieren. Wenn Gruppenrichtlinien genutzt werden sollen,
müssen Sie Kostenpflichtige Tools wie Centrify DirectControl oder Ubuntu
Pro nutzen.
## Voraussetzungen prüfen
* Ubuntu ist installiert und einsatzbereit
* Netzwerkverbindung zum AD-Controller funktioniert
* DNS-Auflösung auf die Domäne und den AD-Controller ist sichergestellt
* Systemuhr ist synchron (z.B. via NTP)
* Ein AD-Benutzerkonto mit Join-Rechten ist vorhanden
## System aktualisieren
```bash
sudo apt update
sudo apt upgrade
```
## Notwendige Pakete installieren
```bash
sudo apt install -y realmd sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit libnss-sss libpam-sss krb5-user sssd-krb5
```
## Hostname setzen (FQDN)
Passe den Hostnamen an das AD-Schema an (z.B. rechnername.deinedomäne.de):
```bash
sudo hostnamectl set-hostname vbox.tnXX.ito
```
## Kerberos konfigurieren
Bearbeite die Datei ```/etc/krb5.conf``` und passe die Domain an:
```ini
[libdefaults]
udp_preference_limit = 0
default_realm = TNXX.ITO
rdns = false
```
>*Hinweis: Domänenname in Großbuchstaben eintragen*
## Funktionstest: Domäne entdecken
```bash
realm discover tnXX.ito
```
>Ergebnis prüfen: Die Domäne sollte mit Typ „active-directory" angezeigt werden.
## Kerberos-Ticket holen
```bash
kinit deinbenutzername
```
>Passwort eingeben (AD-Benutzer mit Join-Rechten).
## System der Domäne beitreten
```bash
sudo realm join -v -U deinbenutzername TNXX.ITO
```
>Passwort eingeben, wenn abgefragt.
## Home-Verzeichnisse für AD-Benutzer automatisch erstellen
```bash
sudo pam-auth-update
```
„Create home directory on login" aktivieren falls deaktiviert und mit OK
bestätigen.
## Funktionstest: AD-Benutzer auflisten
```bash
id benutzer@TNXX.ITO
```
> Wenn die Benutzerinformationen angezeigt werden, war der Join erfolgreich.
## (Optional) Sudo-Rechte für AD-Gruppen vergeben
Datei anlegen:
```bash
sudo nano /etc/sudoers.d/adadmins
```
Eintragen (Beispiel):
```sudoers
%administratoren@TNXX.ITO ALL=(ALL) NOPASSWD:ALL
```
**Kontrollfragen**
1. Welche Pakete sind für den AD-Join notwendig?
2. Wie prüfen Sie, ob die Domäne erreichbar ist?
3. Wie testen Sie, ob ein AD-Benutzer korrekt erkannt wird?
4. Warum ist die DNS-Konfiguration so wichtig für den AD-Join?
**Hinweis:**\
Bei Fehlern prüfen Sie die Logdateien (/var/log/sssd/, /var/log/auth.log,
/var/log/syslog) und die Netzwerkkonfiguration.
[PDF herunterladen](linux-als-ad-client.pdf){ .md-button }
Reference in New Issue View Git Blame Copy Permalink