Integration von Ubuntu in eine Windows Active Directory Domäne
Einleitung
Die Integration von Ubuntu in Active Directory (AD) ist eine gängige Anforderung in Umgebungen mit gemischten Betriebssystemen, in denen Linux- und Windows-Systeme nebeneinander betrieben werden. Wenn Sie Ubuntu einer Windows-Domäne hinzufügen möchten, sind Sie hier genau richtig. Diese Schritt-für-Schritt-Anleitung führt Sie durch eine sichere Integration unter Verwendung von Samba, Kerberos, DNS und unterstützenden Tools.
Ziel ist es, Ubuntu-Systemen die Authentifizierung über Active Directory zu ermöglichen – ganz wie bei nativen Windows-Clients. Dies vereinfacht die zentrale Zugriffskontrolle und sorgt für eine konsistente Durchsetzung der Benutzer-Richtlinien in Ihrer gesamten Infrastruktur.
1. Geben Sie den Namen des konfigurierten Computers in der /etc/hostname-Datei an
Rufen Sie den aktuellen Hostnamen ab:
cat /etc/hostname
Falls erforderlich, geben Sie einen neuen Hostnamen an:
echo myhost > /etc/hostname
Hinweis: Der Hostname darf nicht „localhost“ sein, da „localhost“ der Name für 127.0.0.1 ist (in der /etc/hosts-Datei beim Installieren des Betriebssystems angegeben).
2. Geben Sie den vollständigen Namen des Domänencontrollers in der /etc/hosts-Datei an
Fügen Sie am Ende der Datei /etc/hosts einen statischen Eintrag mit dem vollständigen Namen des Domänencontrollers hinzu. Die Übersetzung zwischen IP-Adresse und dem Namen des Computers ist notwendig, damit Sie den Hostnamen anstelle der IP-Adresse verwenden können.
echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts
3. Legen Sie einen DNS-Server auf dem konfigurierten Computer fest
Der Domänencontroller sollte als erste Option für die Suche verwendet werden. Fügen Sie die IP-Adresse des Domänencontrollers zu /etc/resolv.conf hinzu. In den meisten Distributionen wird resolv.conf automatisch generiert, daher fügen Sie die IP-Adresse des Domänencontrollers in die Datei /etc/resolvconf/resolv.conf.d/head ein.
sudo vim /etc/resolvconf/resolv.conf.d/head
Ändern Sie die geöffnete Datei wie folgt:
domain domain.com search domain.com nameservernameserver 8.8.8.8
Starten Sie den Netzwerkdienst neu.
/etc/init.d/networking restart
Verwenden Sie den nslookup-Befehl, um dies zu überprüfen.
nslookup www.google.com
4. Konfigurieren Sie die Zeitsynchronisation
Die Systemzeit des Rechners muss mit der Systemzeit des Domänencontrollers synchronisiert werden. Installieren Sie das ntp-Tool und ändern Sie die ntp.conf-Datei.
sudo apt-get install ntp sudo vim /etc/ntp.conf
Ändern Sie die Datei wie folgt:
server dc.domain.com
Starten Sie den ntpd-Daemon neu.
sudo /etc/init.d/ntp restart
5. Installieren Sie einen Kerberos-Client
sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config
6. Installieren Sie Samba, Winbind und NTP
sudo apt-get install samba winbind ntp
7. Bearbeiten Sie die /etc/krb5.conf-Datei, um den vollständigen Domainnamen, den Namen des Domänencontrollers und den realm-Parameter hinzuzufügen
Wichtig: Lassen Sie keine Kommentare mit dem Zeichen “#” in der Konfigurationsdatei.
[libdefaults]
default_realm = DOMAIN.COM
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
DOMAIN.COM = {
kdc = hostname.domain.com
admin_server = hostname.domain.com
default_domain = DOMAIN.COM
}
[domain_realm]
.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
8. Bearbeiten Sie die /etc/samba/smb.conf-Datei, um den kurzen Domänennamen und den vollständigen Domänennamen hinzuzufügen:
Wichtig: Lassen Sie keine Kommentare mit dem Zeichen “#” in der Konfigurationsdatei.
[global] workgroup = DOMAIN realm = DOMAIN.COM security = ADS encrypt passwords = true socket options = TCP_NODELAY domain master = no local master = no preferred master = no os level = 0 domain logons = 0 server string = %h server (Samba, Ubuntu) dns proxy = no log file = /var/log/samba/log.%m max log size = 1000 syslog = 0 panic action = /usr/share/samba/panic-action %d server role = standalone server passdb backend = tdbsam obey pam restrictions = yes unix password sync = yes passwd program = /usr/bin/passwd %u passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . pam password change = yes map to guest = bad user usershare allow guests = yes
Hinweis: Entfernen Sie vor der Verwendung der Konfigurationsdatei alle Kommentarzeilen.
9. Treten Sie der Domäne bei:
net ads join -U Administrator
Nachdem Sie erfolgreich der Domäne beigetreten sind, können Sie Active Directory-Hostnamen anpingen, z.B.:
ping johnny.domain.com
10. Überprüfen Sie, ob die Authentifizierung für einen Active Directory-Benutzer erfolgreich ist:
kinit [email protected]
Hinweis: Geben Sie den Domänennamen in Großbuchstaben ein.
Wenn alles korrekt konfiguriert wurde, wird das Ticket erstellt.
klist
Und das ist es – Sie haben Ihr Ubuntu-System nun mit Active Directory verbunden, was eine sichere Authentifizierung zwischen Ihrer Linux-Workstation und Ihrer Windows-Domänenumgebung ermöglicht.
Möchten Sie diese Integration auf Ihre Datenbanken ausweiten? Sehen Sie sich unseren Leitfaden zur Active Directory-Authentifizierung für MySQL an.
Egal, ob Sie eine hybride Infrastruktur verwalten oder Ubuntu für zentralisierte Zugriffskontrolle integrieren – DataSunrise unterstützt eine sichere, standardkonforme Authentifizierung in sowohl Linux- als auch Windows-Umgebungen.
Wenn Ihr Unternehmen mit sensiblen Daten arbeitet oder Compliance-Anforderungen unter GDPR, SOX oder HIPAA erfüllen muss, bietet DataSunrise umfassenden Schutz mit fortschrittlichem Audit-Logging, leistungsstarker Sicherheitsdurchsetzung und Echtzeit-Data Masking. Fordern Sie eine Demo an, um zu sehen, wie wir Organisationen dabei helfen, sicher und compliant zu bleiben.
