DataSunrise erreicht AWS DevOps Kompetenz Status in AWS DevSecOps und Überwachung, Protokollierung, Performance

Diese Website verwendet Cookies, um Informationen darüber zu sammeln, wie Sie mit unserer Website interagieren. Um mehr zu erfahren, besuchen Sie bitte unsere Datenschutzerklarung.

Integration einer Linux-Maschine in eine Windows Active Directory-Domäne

Integration einer Linux-Maschine in eine Windows Active Directory-Domäne

Die Integration einer Ubuntu-Arbeitsstation mit Windows Active Directory (AD) ist eine häufige Herausforderung, insbesondere in gemischten Umgebungen, die sowohl Linux- als auch Windows-Systeme nutzen. Für DataSunrise-Benutzer ermöglicht diese Integration eine nahtlose Authentifizierung und Zugriffskontrolle über verschiedene Plattformen hinweg. Diese Anleitung beschreibt die notwendigen Schritte, um Ubuntu so zu konfigurieren, dass es gegen einen zentralen AD-Server authentifiziert wird, und sorgt so für ein effizientes Sicherheitsmanagement innerhalb Ihres Netzwerks.

1. Geben Sie den Namen des konfigurierten Computers in der Datei /etc/hostname an

Fragen Sie den aktuellen Hostnamen ab:

cat /etc/hostname

Geben Sie bei Bedarf einen neuen Hostnamen an:

echo myhost > /etc/hostname

Hinweis: Der Hostname darf nicht “localhost” sein, da “localhost” der Name für 127.0.0.1 (angegeben in der Datei /etc/hosts bei der Installation des Betriebssystems) ist.

2. Geben Sie den vollständigen Domänencontroller-Namen in der Datei /etc/hosts an

Fügen Sie am Ende der Datei /etc/hosts einen statischen Eintrag mit dem vollständigen Namen des Domänencontrollers hinzu. Eine Übersetzung zwischen IP-Adresse und Computernamen ist erforderlich, damit Sie den Hostnamen anstelle der IP-Adresse verwenden können.

echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts

3. Konfigurieren Sie einen DNS-Server auf dem konfigurierten Computer

Der Domänencontroller sollte die erste Option für die Suche sein. Fügen Sie die IP-Adresse des Domänencontrollers zur Datei /etc/resolv.conf hinzu. In den meisten Distributionen wird resolv.conf automatisch generiert, daher fügen Sie die IP-Adresse des Domänencontrollers in /etc/resolvconf/resolv.conf.d/head ein.

sudo vim /etc/resolvconf/resolv.conf.d/head

Ändern Sie die geöffnete Datei wie folgt:

domain domain.com
search domain.com
nameserver <domain controller IP address>
nameserver 8.8.8.8

Starten Sie den Netzwerkdienst neu.

/etc/init.d/networking restart

Verwenden Sie den Befehl nslookup zum Überprüfen.

nslookup www.google.com

4. Konfigurieren Sie die Zeitsynchronisierung

Die Systemzeit auf der Maschine muss mit der Systemzeit auf dem Domänencontroller-Server synchronisiert werden. Installieren Sie das ntp-Tool und ändern Sie die Datei ntp.conf.

sudo apt-get install ntp sudo vim /etc/ntp.conf

Ändern Sie die Datei wie folgt:

# Sie müssen mit einem NTP-Server oder zwei (oder drei) kommunizieren.
server dc.domain.com

Starten Sie den ntpd-Daemon neu.

sudo /etc/init.d/ntp restart

5. Installieren Sie einen Kerberos-Client

sudo apt-get install krb5-user libpam-krb5 libpam-ccreds auth-client-config  

6. Installieren Sie Samba, Winbind und NTP

sudo apt-get install samba winbind ntp

7. Bearbeiten Sie die Datei /etc/krb5.conf, um den vollständigen Domänennamen, den Domänencontrollernamen und den realm-Parameter hinzuzufügen

Wichtig: Hinterlassen Sie keine Kommentare, die mit dem Zeichen “#” im Konfigurationsdateientext versehen sind.

[libdefaults]
    default_realm       =           DOMAIN.COM    # domänenspezifischer Parameter (vollständiger Domänenname)
    clockskew           =           300
    ticket_lifetime     =           1d
    forwardable         =           true
    proxiable           =           true
    dns_lookup_realm    =           true
    dns_lookup_kdc      =           true
   
 
   [realms]
        DOMAIN.COM = {
        kdc            =       hostname.domain.com   # domänenspezifischer Parameter (Domänencontrollernamen)
        admin_server   =       hostname.domain.com   # domänenspezifischer Parameter (Domänencontrollernamen)
        default_domain =       DOMAIN.COM         # domänenspezifischer Parameter (vollständiger Domänenname)
        }
 
[domain_realm]
        .domain.com = DOMAIN.COM  # domänenspezifischer Parameter (Domänenname für DNS-Namen)
        domain.com = DOMAIN.COM   # domänenspezifischer Parameter (Domänenname für DNS-Namen)
 
[appdefaults]
        pam = {
        ticket_lifetime         = 1d
        renew_lifetime          = 1d
        forwardable             = true
        proxiable               = false
        retain_after_close      = false
        minimum_uid             = 0
        debug                   = false
        }
 

8. Bearbeiten Sie die Datei /etc/samba/smb.conf, um den kurzen Domänennamen und den vollständigen Domänennamen hinzuzufügen:

Wichtig: Hinterlassen Sie keine Kommentare, die mit dem Zeichen “#” im Konfigurationsdateientext versehen sind.

[global]
   workgroup = DOMAIN                   # domänenspezifischer Parameter (kurzer Domänenname)
   realm = DOMAIN.COM                 # domänenspezifischer Parameter (vollständiger Domänenname)
   security = ADS
   encrypt passwords = true
   socket options = TCP_NODELAY
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = 0
   server string = %h server (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   server role = standalone server
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes
 

Hinweis: Entfernen Sie vor der Verwendung der Konfigurationsdatei die Kommentarzeilen.

9. Betreten Sie die Domäne:

net ads join -U Administrator

Nach erfolgreichem Beitritt zur Domäne können Sie Active Directory-Hostnamen anpingen, z.B.:

vertica@vertica:~/ds$ ping johnny.domain.com PING johnny.domain.com (192.168.1.39) 56(84) bytes of data. 64 bytes from johnny.domain.com (192.168.1.39): icmp_seq=1 ttl=128 time=0.200 ms 64 bytes from johnny.domain.com (192.168.1.39): icmp_seq=2 ttl=128 time=0.560 ms  

10. Überprüfen Sie, dass die Authentifizierung für einen Active Directory-Benutzer erfolgreich ist:

kinit [email protected]

Hinweis: Geben Sie den Domänennamen in Großbuchstaben ein.

Wenn alles korrekt konfiguriert wurde, wird das Ticket erstellt.

Stellen Sie sicher, dass das Ticket erstellt wurde:

klist

Und da haben Sie es – eine Ubuntu-Arbeitsstation, die mit dem Windows Active Directory integriert ist.

Weitere Informationen finden Sie unter Active Directory-Authentifizierung für MySQL-Datenbanken.

Enthält Ihre Datenbank sensible Informationen, die geschützt werden müssen? Müssen Sie Vorschriften wie GDPR, SOX oder HIPAA einhalten? Erforschen Sie DataSunrises umfassende Lösung für Datenbank-Audits, Sicherheit und Daten-Maskierung. Probieren Sie unsere kostenlose Testversion aus oder planen Sie eine Online-Demo, um zu sehen, wie wir Ihre Daten schützen und die Einhaltung gesetzlicher Vorschriften gewährleisten können.

Nächste

Authentifizierungsproxy für DBaaS

Authentifizierungsproxy für DBaaS

Erfahren Sie mehr

Benötigen Sie die Hilfe unseres Support-Teams?

Unsere Experten beantworten gerne Ihre Fragen.

Allgemeine Informationen:
[email protected]
Vertrieb:
[email protected]
Kundenservice und technischer Support:
support.datasunrise.com
Partnerschafts- und Allianz-Anfragen:
[email protected]