torkitea/mkdocs-etz
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f9473a3578625e8aba61b01c49a2b00e8e720d13
mkdocs-etz/mkdocs/docs/bonus/linux-als-ad-client.md
Florian Hensel f9473a3578 Anpassung aller Samba-Dokumente als Projekt 
ADDC als Bonus
2025-12-10 12:41:50 +01:00

2.9 KiB
Raw Blame History

Ein Ubuntu Desktop-System lässt sich auch in eine Domäne einbinden. Falls Sie sich fragen, wozu man Linux an ein Windows-Netzwerk anbinden soll, ist einfach erklärt: Egal an welchen Computer Sie gehen, sei es Linux oder Windows, Sie melden Sich mit ihren Benutzerdaten an und erhalten auch ggf. die Administrationsrechte um Auf dem System Schalten und Walten zu können, wie sie möchten. Im Augenblick sind Rechtevergaben nur für Gruppen pro System anzuwenden, somit können Administratoren Programme Installieren. Wenn Gruppenrichtlinien genutzt werden sollen, müssen Sie Kostenpflichtige Tools wie Centrify DirectControl oder Ubuntu Pro nutzen.

Voraussetzungen prüfen

  • Ubuntu ist installiert und einsatzbereit
  • Netzwerkverbindung zum AD-Controller funktioniert
  • DNS-Auflösung auf die Domäne und den AD-Controller ist sichergestellt
  • Systemuhr ist synchron (z.B. via NTP)
  • Ein AD-Benutzerkonto mit Join-Rechten ist vorhanden

System aktualisieren

sudo apt update
sudo apt upgrade

Notwendige Pakete installieren

sudo apt install -y realmd sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit libnss-sss libpam-sss krb5-user sssd-krb5

Hostname setzen (FQDN)

Passe den Hostnamen an das AD-Schema an (z.B. rechnername.deinedomäne.de):

sudo hostnamectl set-hostname vbox.tnXX.ito

Kerberos konfigurieren

Bearbeite die Datei /etc/krb5.conf und passe die Domain an:

[libdefaults]
udp_preference_limit = 0
default_realm = TNXX.ITO
rdns = false

Hinweis: Domänenname in Großbuchstaben eintragen

Funktionstest: Domäne entdecken

realm discover tnXX.ito

Ergebnis prüfen: Die Domäne sollte mit Typ „active-directory" angezeigt werden.

Kerberos-Ticket holen

kinit deinbenutzername

Passwort eingeben (AD-Benutzer mit Join-Rechten).

System der Domäne beitreten

sudo realm join -v -U deinbenutzername TNXX.ITO

Passwort eingeben, wenn abgefragt.

Home-Verzeichnisse für AD-Benutzer automatisch erstellen

sudo pam-auth-update

„Create home directory on login" aktivieren falls deaktiviert und mit OK bestätigen.

Funktionstest: AD-Benutzer auflisten

id benutzer@TNXX.ITO

Wenn die Benutzerinformationen angezeigt werden, war der Join erfolgreich.

(Optional) Sudo-Rechte für AD-Gruppen vergeben

Datei anlegen:

sudo nano /etc/sudoers.d/adadmins

Eintragen (Beispiel):

%administratoren@TNXX.ITO ALL=(ALL) NOPASSWD:ALL

Kontrollfragen

  1. Welche Pakete sind für den AD-Join notwendig?
  2. Wie prüfen Sie, ob die Domäne erreichbar ist?
  3. Wie testen Sie, ob ein AD-Benutzer korrekt erkannt wird?
  4. Warum ist die DNS-Konfiguration so wichtig für den AD-Join?

Hinweis:
Bei Fehlern prüfen Sie die Logdateien (/var/log/sssd/, /var/log/auth.log, /var/log/syslog) und die Netzwerkkonfiguration.

PDF herunterladen{ .md-button }

Reference in New Issue View Git Blame Copy Permalink