89241
Apr 15, 2010, updated at Oct 18, 2012 (UTC)
5110
14
1
Anmelden auf Linux mit Benutzerdaten aus dem Active Directory
Ich bin Auszubildender Fachinformatiker/Systemintegration und meine Aufgabe ist momentan ein Active Directory anzulegen und zu pflegen, ohne Vorkenntnisse in diesem Bereich stoße ich immer wieder auf Probleme und hoffe hier Hilfe zu finden.
Hallo,
einen Kurzen Einblick in unsere Infrastruktur:
Office:
1DC - Windows Server 2008 R2
x VM's - Windows 7
x ThinClients - Winembd
RZ:
x Server - CentOS, Debian
Nun stehe ich vor einem Problem, mir wurde folgendes aufgetragen.
Die Domäne soll momentan lediglich die Server/Rechner der Büroinfrastruktur beinhalten, allerdings sollen sich alle user des AD's, sofern berechtigt,
auf den Linux-Servern des Rechenzentrums anmelden können.
Die Linux-Server sollen nicht in der Domäne sein, sondern lediglich ermöglich sich mit den AD-Benutzerdaten anmelden zu können.
Ich habe bisher nur folgenden Lösungsansatz gefunden (grob zusammengefasst ich hoffe der Sinn wird klar):
-Linux aufsetzen
-samba, winbind, ntp, openldap, kerberos installieren und konfigurieren.
-Linux Server der Domäne zuführen.
-den Linux Server mit dem AD synchronisieren.
Selbst bei dieser Lösung (mit der mein Chef nicht zufrieden ist) ist mir nicht ganz klar wie die Synchronisation läuft, schliesslich darf ein Server ja nicht einfach Anmeldedaten auslesen, oder doch?
Wie sähe das dann von der DC Seite aus? welche Konfigurationen muss man vornehmen?
Mir fehlt grade der Durchblick daher ergänze ich gerne noch benötigte Informationen, vielen Dank im voraus.
Christian Tardt
einen Kurzen Einblick in unsere Infrastruktur:
Office:
1DC - Windows Server 2008 R2
x VM's - Windows 7
x ThinClients - Winembd
RZ:
x Server - CentOS, Debian
Nun stehe ich vor einem Problem, mir wurde folgendes aufgetragen.
Die Domäne soll momentan lediglich die Server/Rechner der Büroinfrastruktur beinhalten, allerdings sollen sich alle user des AD's, sofern berechtigt,
auf den Linux-Servern des Rechenzentrums anmelden können.
Die Linux-Server sollen nicht in der Domäne sein, sondern lediglich ermöglich sich mit den AD-Benutzerdaten anmelden zu können.
Ich habe bisher nur folgenden Lösungsansatz gefunden (grob zusammengefasst ich hoffe der Sinn wird klar):
-Linux aufsetzen
-samba, winbind, ntp, openldap, kerberos installieren und konfigurieren.
-Linux Server der Domäne zuführen.
-den Linux Server mit dem AD synchronisieren.
Selbst bei dieser Lösung (mit der mein Chef nicht zufrieden ist) ist mir nicht ganz klar wie die Synchronisation läuft, schliesslich darf ein Server ja nicht einfach Anmeldedaten auslesen, oder doch?
Wie sähe das dann von der DC Seite aus? welche Konfigurationen muss man vornehmen?
Mir fehlt grade der Durchblick daher ergänze ich gerne noch benötigte Informationen, vielen Dank im voraus.
Christian Tardt
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 140725
Url: https://administrator.de/contentid/140725
Printed on: April 24, 2024 at 12:04 o'clock
14 Comments
Latest comment
Hallo,
klar darf der Linuxserver, wenn er in der Domäne ist die Anmeldedaten mit dem Server abgleichen, macht dein Windows Client doch auch.
klar darf der Linuxserver, wenn er in der Domäne ist die Anmeldedaten mit dem Server abgleichen, macht dein Windows Client doch auch.
Hoi,
habs falsch formuliert.
Wenn ich einen Linux-LDAP-Server am laufen hätte der sich mit dem AD per cronjob synchronisiert liegen die Daten auf dem Linux-LDAP-Server(?!)
Es geht aber Grundsätzlich nicht um diesen Aufbau, sondern darum ohne großes Trara die Benutzerdaten des AD für einen "nich in der Domäne befindlichen" Linux-Server verwenden zu können.
Grüße Christian Tardt
habs falsch formuliert.
Wenn ich einen Linux-LDAP-Server am laufen hätte der sich mit dem AD per cronjob synchronisiert liegen die Daten auf dem Linux-LDAP-Server(?!)
Es geht aber Grundsätzlich nicht um diesen Aufbau, sondern darum ohne großes Trara die Benutzerdaten des AD für einen "nich in der Domäne befindlichen" Linux-Server verwenden zu können.
Grüße Christian Tardt
Hallo,
es gäbe noch likewise (open), aber auch damit wird die Linux Kiste Domainmember.
Mir ist auch nicht ganz klar was dagegen spricht die Rechner in die Domain zu nehmen.
es gäbe noch likewise (open), aber auch damit wird die Linux Kiste Domainmember.
Mir ist auch nicht ganz klar was dagegen spricht die Rechner in die Domain zu nehmen.
Die Housing-Kunden (Linux-Server) sollen nicht vom DC abhängig sein (DNS-Server, NTP, etc).
Grüße Christian Tardt
Grüße Christian Tardt
Hallo,
vertshe ich leider jetzt gar nicht.
Wenn der Linux Server AD member ist, kann man sich doch trotzdem noch ohne Probleme mit den lokalen Accounts anmelden.
Ihr wollt den Housing Kunden ja wohl keine AD Accounts machen?
vertshe ich leider jetzt gar nicht.
Wenn der Linux Server AD member ist, kann man sich doch trotzdem noch ohne Probleme mit den lokalen Accounts anmelden.
Ihr wollt den Housing Kunden ja wohl keine AD Accounts machen?
Ich hätte damit kein Problem 
Allerdings sieht mein Chef darin absolut keinen Nutzen da es lediglich darum geht dass die Administratoren sich lokal anmelden können mit dem selben passwort wie im AD bzw dass wir uns überall mit den selben Daten anmelden können.
Allerdings sieht mein Chef darin absolut keinen Nutzen da es lediglich darum geht dass die Administratoren sich lokal anmelden können mit dem selben passwort wie im AD bzw dass wir uns überall mit den selben Daten anmelden können.
Hallo,
anders geht es wohl leider nicht, aber warum meldet ihr euch überhaupt mit username und Passwort und nicht mit Keyfiles an?
(Wenn es um ssh geht)
anders geht es wohl leider nicht, aber warum meldet ihr euch überhaupt mit username und Passwort und nicht mit Keyfiles an?
(Wenn es um ssh geht)
Es geht sowohl um ssh als auch die Lokale Anmeldung.
Mein Chef hat Aussagen erhalten, dass es möglich sei, was mich in die Preduille bringt, da ich auch keine Informationen finde die darauf hindeuten, dieses Problem Domänenlos lösen zu können.
Mein Chef hat Aussagen erhalten, dass es möglich sei, was mich in die Preduille bringt, da ich auch keine Informationen finde die darauf hindeuten, dieses Problem Domänenlos lösen zu können.
Es gibt doch zuhauf HowTos wie man das löst:
http://www.windowsnetworking.com/articles_tutorials/Authenticating-Linu ...
http://www.symantec.com/connect/articles/active-directory-and-linux
Und...sogar direkt von MS selber:
http://technet.microsoft.com/de-de/magazine/2008.12.linux.aspx
http://www.windowsnetworking.com/articles_tutorials/Authenticating-Linu ...
http://www.symantec.com/connect/articles/active-directory-and-linux
Und...sogar direkt von MS selber:
http://technet.microsoft.com/de-de/magazine/2008.12.linux.aspx
Danke für die Links,
allerdings behandeln diese, die Domänenmitgliedschaft oder sind auf Win Server 2000 ausgerichtet.
(bzw helfen mir nicht weiter)
Grüße Christian Tardt
allerdings behandeln diese, die Domänenmitgliedschaft oder sind auf Win Server 2000 ausgerichtet.
(bzw helfen mir nicht weiter)
Grüße Christian Tardt
Das ist doch völlig egal. Es geht doch darum nur die Daten per Kerberos oder LDAP auszulesen... Was hat das denn mit einer Domäne zu tun...
Danke,
aber eine Integration steht nicht zur Debatte.
Ich versuche es nun erstma rein mit ldap und kerberos auf der Linuxkiste.
Grüße Christian
aber eine Integration steht nicht zur Debatte.
Ich versuche es nun erstma rein mit ldap und kerberos auf der Linuxkiste.
Grüße Christian
Die Frage ist doch um welche Dienste es geht.
Du kannst dich immer mit dem AD-LDAP verbinden (auch als nicht Domain-Member) und somit prüfen ob die Anmeldedaten korrekt sind.
Das ist eine Standardpraxis bei Webanwendungen.
Du kannst es aber auch "richtig" machen und Kerberos benutzen
Du kannst dich immer mit dem AD-LDAP verbinden (auch als nicht Domain-Member) und somit prüfen ob die Anmeldedaten korrekt sind.
Das ist eine Standardpraxis bei Webanwendungen.
Du kannst es aber auch "richtig" machen und Kerberos benutzen
