Active Directory | Helle's Portfolio – Server und Client Howtos, Installationsanleitungen, Tipps und Tricks für den Administrator.

Jan

Ubuntu 16.04 Desktop an das Active Directory anbinden

Tags: Active Directory, Howto, Linux, ubuntu

Nach der Grundinstallation von Ubuntu 16.04 LTS Desktop, wird das System auf den neusten Stand gebracht.

sudo su - oder sudo -i
apt update -y && apt upgrade -y

1 2	sudo su - oder sudo -i apt update -y && apt upgrade -y

Nach dem das System up to date ist, kann man manuell die Netzwerkkarte konfigurieren, wichtig ist hier das der DNS Server vom Domaincontroller angesprochen wird.

cp /etc/hosts{,.old}
nano /etc/hosts

##### /etc/hosts ##################################
127.0.0.1 localhost
192.168.xxx.xxx clienthostname.htdom.local clienthostname
192.168.xxx.xxx ads01.htdom.local ads01 htdom.local
###################################################

dig -t SRV _ldap._tcp.htdom.local | grep -A2 "ANSWER SECTION

;; ANSWER SECTION:
_ldap._tcp.htdom.local. 600 IN SRV 0 100 389 ads01.htdom.local.

apt install fping

fping ads01.htdom.local
fping htdom.local
fping ads01
ads01.htdom.local is alive

cp /etc/hosts{,.old}

nano /etc/hosts

##### /etc/hosts ##################################

127.0.0.1 localhost

192.168.xxx.xxx clienthostname.htdom.local clienthostname

192.168.xxx.xxx ads01.htdom.local ads01 htdom.local

###################################################

dig -t SRV _ldap._tcp.htdom.local | grep -A2 "ANSWER SECTION

;; ANSWER SECTION:

_ldap._tcp.htdom.local. 600 IN SRV 0 100 389 ads01.htdom.local.

apt install fping

fping ads01.htdom.local

fping htdom.local

fping ads01

ads01.htdom.local is alive

Wenn der DNS Server für den Client konfiguriert wurde, installieren wir alle benötigten Pakete um den Client an das AD anzubinden.

apt install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp vim -y

1	apt install realmd sssd sssd-tools samba-common krb5-user packagekit samba-common-bin samba-libs adcli ntp vim -y

NTP Service konfigurieren

cp /etc/ntp.{conf,old}
nano /etc/ntp.conf

##### /etc/ntp.conf ###############################
server ads01.htdom.local
################################################### 

systemctl start ntp.service
systemctl status ntp.service

cp /etc/ntp.{conf,old}

nano /etc/ntp.conf

##### /etc/ntp.conf ###############################

server ads01.htdom.local

###################################################

systemctl start ntp.service

systemctl status ntp.service

Realmd konfigurieren

nano /etc/realmd.conf

##### /etc/realmd.conf ############################
[users]
default-home = /home/%D/%U
  ## default-home = /home/%U@%D
  ## default-home = /nfs/home/%D-%U
default-shell = /bin/bash
  ## default-shell = /bin/sh

[active-directory]
default-client = sssd
  ## default-client = winbind
os-name = Ubuntu Linux Desktop
os-version = 16.04

[service]
automatic-install = no
  ## automatic-install = yes

[htdom.local]
computer-ou = OU=Clients,OU=Company,DC=htdom,DC=local
fully-qualified-names = no
automatic-id-mapping = yes
user-principal = yes
manage-system = no
###################################################

nano /etc/realmd.conf

##### /etc/realmd.conf ############################

[users]

default-home = /home/%D/%U

## default-home = /home/%U@%D

## default-home = /nfs/home/%D-%U

default-shell = /bin/bash

## default-shell = /bin/sh

[active-directory]

default-client = sssd

## default-client = winbind

os-name = Ubuntu Linux Desktop

os-version = 16.04

[service]

automatic-install = no

## automatic-install = yes

[htdom.local]

computer-ou = OU=Clients,OU=Company,DC=htdom,DC=local

fully-qualified-names = no

automatic-id-mapping = yes

user-principal = yes

manage-system = no

###################################################

default-home: set the default homedir for each Active Directory User. In our example it will be something like /home/dom.example.int/domainuser.
default-shell: the default shell used by the users. bash is usually the preferred default shell.

default-client: we are using sssd in our scenario. winbind is also a possible option.
os-name: the operating system name as it will appear in our Active Directory.
os-version: the operating system version as it will appear in our Active Directory.

automatic-install: we want to prevent realmd to try to install its dependencies.

fully-qualified-names: this will allow users to use just their username instead of the combination of domain and username. For example we can use the username domainuser instead of DOM\domainuser or domainuser@dom.example.int. Note, however, that this could cause conflicts with local users, if they have the same username as a domain user.
automatic-id-mapping: this option will auto-generate the user and group ids (UID, GID) for newly created users, if set to yes.
user-principal: this will set the necessary attributes for the Ubuntu machine when it joins the domain.
manage-system: if you don’t want policies from the Active Directory environment to be applied on this machine, set this option to no.

Kerberos konfigurieren

cp /etc/krb5.{conf,old} && rm -rf /etc/krb5.conf
nano /etc/krb5.conf

##### /etc/krb5.conf ##############################
[logging]
	default = FILE:/var/log/krb5/krb5.log
	kdc = FILE:/var/log/krb5/krb5kdc.log
	admin_server = FILE:/var/log/krb5/kadmind.log

[libdefaults] 
	default_realm = HTDOM.LOCAL
	clockskew = 300

## The following krb5.conf variables are only for MIT Kerberos. 
	kdc_timesync = 1 
	ccache_type = 4 
	forwardable = true 
	proxiable = true 

[realms] 
	HTDOM.LOCAL = {
	kdc = ads01.htdom.local
  default_domain = htdom.local
  admin_server = ads01.htdom.local
}
 
[domain_realm] 
	.htdom.local = HTDOM.LOCAL
	htdom.local = HTDOM.LOCAL
###################################################

cp /etc/krb5.{conf,old} && rm -rf /etc/krb5.conf

nano /etc/krb5.conf

##### /etc/krb5.conf ##############################

[logging]

default = FILE:/var/log/krb5/krb5.log

kdc = FILE:/var/log/krb5/krb5kdc.log

admin_server = FILE:/var/log/krb5/kadmind.log

[libdefaults]

default_realm = HTDOM.LOCAL

clockskew = 300

## The following krb5.conf variables are only for MIT Kerberos.

kdc_timesync = 1

ccache_type = 4

forwardable = true

proxiable = true

[realms]

HTDOM.LOCAL = {

kdc = ads01.htdom.local

default_domain = htdom.local

admin_server = ads01.htdom.local

}

[domain_realm]

.htdom.local = HTDOM.LOCAL

htdom.local = HTDOM.LOCAL

###################################################

Client zur Domain hinzufügen

realm discover htdom.local
realm --verbose join htdom.local --user-principal=administrator@HTDOM.LOCAL

## Wer darf sich am System anmelden?
realm deny --all
realm permit helmut.thurnhofer
realm list

## Alle Domainadmins dürfen sich am System anmelden.
realm permit --groups Domänen-Admins@htdom.local

## Domain Admins der sudoers hinzufügen
visudo
%Domänen-Admins@htdom.local ALL=(ALL:ALL) ALL

AD Account berechtigen
usermod -a -G adm,cdrom,sudo,dip,plugdev,lpadmin,sambashare username

realm discover htdom.local

realm --verbose join htdom.local --user-principal=administrator@HTDOM.LOCAL

## Wer darf sich am System anmelden?

realm deny --all

realm permit helmut.thurnhofer

realm list

## Alle Domainadmins dürfen sich am System anmelden.

realm permit --groups Domänen-Admins@htdom.local

## Domain Admins der sudoers hinzufügen

visudo

%Domänen-Admins@htdom.local ALL=(ALL:ALL) ALL

AD Account berechtigen

usermod -a -G adm,cdrom,sudo,dip,plugdev,lpadmin,sambashare username

SSSD konfigurieren

cat /etc/sssd/sssd.conf

## cp /etc/sssd/sssd.{conf,old} && rm -rf /etc/sssd/sssd.conf
## nano /etc/sssd/sssd.conf

### /etc/sssd/sssd.conf ###########################
[sssd]
  domains = htdom.local
  config_file_version = 2
  services = nss, pam

[domain/htdom.local]
  ad_domain = htdom.local
  krb5_realm = HTDOM.LOCAL
  realmd_tags = joined-with-adcli
  cache_credentials = True
  id_provider = ad
  krb5_store_password_if_offline = True
  default_shell = /bin/bash
  ldap_id_mapping = True
  use_fully_qualified_names = False
  fallback_homedir = /home/%d/%u
  simple_allow_users = $
  access_provider = simple
###################################################

ls -la /etc/sssd/sssd.conf
-rw------- 1 root root 486 Sep 18 01:07 /etc/sssd/sssd.conf
## chown root:root /etc/sssd/sssd.conf
## chmod 600 /etc/sssd/sssd.conf

systemctl start sssd.service
systemctl enable sssd.service
systemctl status sssd.service

cat /etc/sssd/sssd.conf

## cp /etc/sssd/sssd.{conf,old} && rm -rf /etc/sssd/sssd.conf

## nano /etc/sssd/sssd.conf

### /etc/sssd/sssd.conf ###########################

[sssd]

domains = htdom.local

config_file_version = 2

services = nss, pam

[domain/htdom.local]

ad_domain = htdom.local

krb5_realm = HTDOM.LOCAL

realmd_tags = joined-with-adcli

cache_credentials = True

id_provider = ad

krb5_store_password_if_offline = True

default_shell = /bin/bash

ldap_id_mapping = True

use_fully_qualified_names = False

fallback_homedir = /home/%d/%u

simple_allow_users = $

access_provider = simple

###################################################

ls -la /etc/sssd/sssd.conf

-rw------- 1 root root 486 Sep 18 01:07 /etc/sssd/sssd.conf

## chown root:root /etc/sssd/sssd.conf

## chmod 600 /etc/sssd/sssd.conf

systemctl start sssd.service

systemctl enable sssd.service

systemctl status sssd.service

Pam common-session konfigurieren für das Home Laufwerk

cp /etc/pam.d/common-session /etc/pam.d/common-session.old
nano /etc/pam.d/common-session

session required pam_mkhomedir.so umask=0022 skel=/etc/skel
## echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session

cp /etc/pam.d/common-session /etc/pam.d/common-session.old

nano /etc/pam.d/common-session

session required pam_mkhomedir.so umask=0022 skel=/etc/skel

## echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session

Ubuntu 16.04 Login anpassen

nano /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf

greeter-show-manual-login=true
greeter-hide-users=true

nano /usr/share/lightdm/lightdm.conf.d/50-ubuntu.conf

greeter-show-manual-login=true

greeter-hide-users=true

So das war es schon wieder

Viel Spaß damit
Gruß Helmut

Mai

Linux Mint 17 Clients an das Active Directory 2012 anbinden

Tags: Active Directory, AD, Debian, Howto, Kerberos 5, kinit, klist, LDAP, Linux Mint, NTP, Realm, samba, ubuntu, winbind

Comments: No

Hallo zusammen,

in dem heutigen Blogeintrag möchte ich euch zeigen wie Ihr Debian basierende Software-Distributionen, dazu gehören Debian 8, Linux Mint und Ubuntu an das Microsoft Active Directory 2012 anbinden könnt.

In der Vergangenheit habe ich bereits ein paar Blogeinträge zu dem Thema gemacht:

Ubuntu 11.10/12.04 Desktop in das Microsoft Active Directory einbinden
Debian 7 an das Active Directory anbinden

Im großen und Ganzen hat sich nicht viel verändert, außer das wir diesmal auf der Microsoft Seite nichts mehr verändern und hinzufügen müssen.
Unter Active Directory 2008 R2 mussten wir noch die „Identity Management für UNIX“ Features installieren und die Gruppenrichtlinien anpassen, dies fällt unter 2012 R2 weg, da Microsoft das „Identity Management für UNIX“ Feature nicht mehr mit an Board hat.

Alles was wir auf der Linux Seite benötigen ist NTP, Kerberos 5, Samba und Winbind und ein paar Tools für das testen der Verbindung.

Ich starte hier mit der Linux Mint 17.1 Distribution.

Nachdem das Betriebssystem installiert wurde, bringen wir das System mit update/upgrade auf den neusten Stand.

apt-get update && apt-get upgrade

1	apt-get update && apt-get upgrade

Mit folgender Kommandozeile installieren wir uns alle passenden Pakete dir wir für die Verbindung zu Active Directory benötigen.

NTP für die Zeitsynchronisation
Kerberos 5 für das Kerberos Ticket und die ADS Authentifizierung
Winbind für die NT-Kontenverwaltung
Samba um der Domain beitreten zu können
LDAP Utilites für einen LDAP Test gegen das Active Directory

apt-get install ntp ntpdate krb5-user libpam-krb5 krb5-doc winbind libnss-winbind libpam-winbind samba smbclient ldap-utils

1	apt-get install ntp ntpdate krb5-user libpam-krb5 krb5-doc winbind libnss-winbind libpam-winbind samba smbclient ldap-utils

Wenn alle Paket sauber installiert wurden, beginnen wir auch schon mit der Konfiguration.

Im ersten Schritt passe ich die /etc/hosts an

nano /etc/hosts

1	nano /etc/hosts

127.0.0.1 localhost.localdomain localhost
192.168.178.105 mint01.htdom.local mint01
192.168.178.101 ads01.htdom.local ads01 htdom.local

127.0.0.1 localhost.localdomain localhost

192.168.178.105 mint01.htdom.local mint01

192.168.178.101 ads01.htdom.local ads01 htdom.local

#Kerberos 5 konfigurieren

cp /etc/krb5.{conf,old} && rm /etc/krb5.conf
nano /etc/krb5.conf

1 2	cp /etc/krb5.{conf,old} && rm /etc/krb5.conf nano /etc/krb5.conf

[logging]
        default = FILE:/var/log/krb5/krb5.log
        kdc = FILE:/var/log/krb5/krb5kdc.log
        admin_server = FILE:/var/log/krb5/kadmind.log

[libdefaults]
        default_realm = HTDOM.LOCAL
        clockskew = 300
        kdc_timesync = 1
        ccache_type = 4
        forwardable = true
        proxiable = true

[realms]
        HTDOM.LOCAL = {
                kdc = ads01.htdom.local
                default_domain = htdom.local
                admin_server = ads01.htdom.local
        }

[domain_realm]
        .htdom.local = HTDOM.LOCAL
        htdom.local = HTDOM.LOCAL

[logging]

default = FILE:/var/log/krb5/krb5.log

kdc = FILE:/var/log/krb5/krb5kdc.log

admin_server = FILE:/var/log/krb5/kadmind.log

[libdefaults]

default_realm = HTDOM.LOCAL

clockskew = 300

kdc_timesync = 1

ccache_type = 4

forwardable = true

proxiable = true

[realms]

HTDOM.LOCAL = {

kdc = ads01.htdom.local

default_domain = htdom.local

admin_server = ads01.htdom.local

}

[domain_realm]

.htdom.local = HTDOM.LOCAL

htdom.local = HTDOM.LOCAL

# Samba konfigurieren

cp /etc/samba/smb.{conf,old} && rm /etc/samba/smb.conf
nano /etc/samba/smb.conf

1 2	cp /etc/samba/smb.{conf,old} && rm /etc/samba/smb.conf nano /etc/samba/smb.conf

[global]
security = ads
realm = HTDOM.LOCAL
password server = 192.168.178.101
workgroup = HTDOM
netbios name = MINT01
server string = %h server
load printers = no
local master = no
domain master = no
preferred master = no
dns proxy = no
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = yes
interfaces = eth0 lo
syslog = 0
log file = /var/log/samba/log.%m
max log size = 1000
panic action = /usr/share/samba/panic-action %d
invalid users = root
template homedir = /home/%D/%U
template shell = /bin/bash
winbind offline logon = yes
winbind refresh tickets = yes

[global]

security = ads

realm = HTDOM.LOCAL

password server = 192.168.178.101

workgroup = HTDOM

netbios name = MINT01

server string = %h server

load printers = no

local master = no

domain master = no

preferred master = no

dns proxy = no

winbind uid = 10000-20000

winbind gid = 10000-20000

winbind use default domain = yes

interfaces = eth0 lo

syslog = 0

log file = /var/log/samba/log.%m

max log size = 1000

panic action = /usr/share/samba/panic-action %d

invalid users = root

template homedir = /home/%D/%U

template shell = /bin/bash

winbind offline logon = yes

winbind refresh tickets = yes

/etc/init.d/samba restart

1	/etc/init.d/samba restart

Nach dem diese beiden Dateien konfiguriert wurden, starten wir den Client neu.

Danch überprüfen wir ob wir zur Domain eine Verbindung herstellen können

kinit administrator@HTDOM.LOCAL (Passwort)
klist

1 2	kinit administrator@HTDOM.LOCAL (Passwort) klist

ldapsearch -h 192.168.178.101 -b DC=htdom,DC=local -D administrator@htdom.local -W -x (Passwort)

1	ldapsearch -h 192.168.178.101 -b DC=htdom,DC=local -D administrator@htdom.local -W -x (Passwort)

Wenn das der Fall ist, können wir der Domain beitreten

net ads join -U Administrator (Passwort)

1	net ads join -U Administrator (Passwort)

Nach erfolgreichen Domain Join sollte der Computer im AD unter Computers auftauchen

Nun können wir noch folgende Abfragen testen.

wbinfo -u (Gibt eine Lister alle Domain Benutzer aus)
wbinfo -g (Gibt eine Lister alle Domain Gruppen aus)

1 2	wbinfo -u (Gibt eine Lister alle Domain Benutzer aus) wbinfo -g (Gibt eine Lister alle Domain Gruppen aus)

In der nsswitch.conf nehmen wir die Konfiguration der Authentication vor

# nsswitch konfigurieren

cp /etc/nsswitch.{conf,old} && rm /etc/nsswitch.conf
nano /etc/nsswitch.conf

1 2	cp /etc/nsswitch.{conf,old} && rm /etc/nsswitch.conf nano /etc/nsswitch.conf

# Example configuration of GNU Name Service Switch functionality.
 
passwd:         compat winbind
group:          compat winbind
shadow:         compat
 
hosts:          files dns wins
networks:       files
 
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
 
netgroup:       nis

# Example configuration of GNU Name Service Switch functionality.

passwd: compat winbind

group: compat winbind

shadow: compat

hosts: files dns wins

networks: files

protocols: db files

services: db files

ethers: db files

rpc: db files

netgroup: nis

Und in der common-session legen wir fest, das ein Homelaufwerk automatisch angelegt wird, wenn sich ein neuer Domain Benutzer am Linux Client anmeldet.

# common-session konfigurieren für die Automatische Home Verzeichnis anlage

cp /etc/pam.d/common-session /etc/pam.d/common-session.old
nano /etc/pam.d/common-session

1 2	cp /etc/pam.d/common-session /etc/pam.d/common-session.old nano /etc/pam.d/common-session

session required pam_mkhomedir.so umask=0022 skel=/etc/skel

1	session required pam_mkhomedir.so umask=0022 skel=/etc/skel

Das war es auch schon, nun kann ich mich als Domänenbenutzer am Linux Client anmelden.

Viel Spaß
Gruß Helmut Thurnhofer

Feb

Zertifikatssperrliste im Active Directory veröffentlichen

Tags: Active Directory, CA, CDP, certificate revocation list, CRL, CRL Distribution Point, PKI, Sperrlisten, Zertifikate, Zertifikatserver

Comments: No

Hier in diesen Howto möchte ich euch zeigen, wie man die Zertifikatssperrliste(n) im Active Directory veröffentlicht. Das ganze wurde wieder in einer Virtuellen Umgebung mit Oracle – VirtualBox nachgestellt.

Die erste Frage die sich stellt, was ist eigentliche eine Zertifikatssperrliste?

Eine Zertifikatsperrliste (certificate revocation list, CRL) ist eine Liste, die die Ungültigkeit von Zertifikaten beschreibt. Sie ermöglicht es, festzustellen, ob ein Zertifikat gesperrt oder widerrufen wurde und warum.
Zertifikate werden gesperrt oder widerrufen, wenn deren zugehöriger Schlüssel z. B. nicht mehr sicher ist, weil sie in die falsche Hände geraten sind oder kompromittiert wurden – in solchen Fällen muss das Zertifikat noch vor dem eigentlichen Ablaufdatum gesperrt werden.

Hier geht es wieder zum Howto – Zertifikatssperrliste im Active Directory veröffentlichen

Viel Spaß damit

Gruß Helmut Thurnhofer

Okt

Debian 7 an das Active Directory anbinden

Tags: Active Directory, Debian 7, DomainJoin, Howto, kerberos, samba, Ubuntu 13.x, winbind

Comments: 2

Da ich mich derzeit auf die LPIC-1 Prüfung vorbereite und viel mit Linux Systemen arbeite, habe ich wieder den Punkt Linux Systeme und das Microsoft Active Directory Thema aufgegriffen.
Hier ein kleiner Blog Eintrag wie sich das ganze bewerkstelligen lässt.

Diesmal habe ich mich für das Debian 7 Linux System entschieden und dieses per winbind, Samba und Kerberos 5 an das Active Directory angebunden. Die gleiche Vorgehensweise funktioniert auch mit Ubuntu 13.x

2012 habe ich bereits einen Blog Artikel geschrieben mit Ubuntu 11/12 –> http://www.thurnhofer.net/ubuntu-11-1012-04-desktop-in-das-microsoft-active-directory-einbinden/

Hier findet ihr wieder das Howto zum Thema. –> http://www.thurnhofer.net/howtos/Debian7_ActiveDirectory.pdf

Viele Spaß beim nach machen

Gruß Helmut

Apr

Ubuntu 11.10/12.04 Desktop in das Microsoft Active Directory einbinden

Tags: 11.10, 12.04, Active Directory, apt-get install likewise-open, domainjoin-cli join, einbinden, hinzufügen, Howto, likewise-open, lw-get-status, nsswitch.conf, ubuntu

Comments: No

Da ich mich derzeit wieder mit der Monitoring Software ICINGA 1.6.1 beschäftige und die passende Dokumentation vorbereite, bin ich auf einen Punkt gestoßen der mich als Microsoft Administrator sehr freudig stimmt.
Linux Systeme in das Microsoft Active Directory System einbinden, welche Vorteile es am Ende hat muss sich noch rausstellen.

Hier ein kleiner Blog Eintrag wie sich das ganze bewerkstelligen lässt.

Nach einer Neuinstallation von Ubuntu 11.10/12.04 Desktop beginne ich mit der Vorbereitung:

Um sicher zu gehen das der Domaincontroller richtig aufgelöst wird, frage ich den DNS Server mit der Forward und Reverse Lookup Adresse ab.

host ads01
host 192.168.178.100
ping htdom.local
nslookup !$

Wenn das sauber funktioniert dann starte ich die Installation von Likewise, wenn nicht dann muss man noch kurz die /etc/hosts Datei anpassen, damit der ping auf die Domäne funktioniert.

Da ich eine *.local Domain für die Testumgebung nutze, muss ich noch die /etc/nsswitch.conf Datei anpassen. Die ursprüngliche Zeile hosts: kommentiere ich aus und schreib eine neue Zeile.

nano /etc/nsswitch.conf
hosts: files dns mdns4

Wenn das alles erledigt ist beginne ich die Installation.

sudo apt-get install likewise-open likewise-open-gui

Nach der Installation, nehme ich den ICINGA Server in der Domäne auf.

sudo domainjoin-cli join –ou ComputersUnix htdom.local Administrator

20 mal Probiert und es ist nix passiert. Smiley Die Integration bringt mir jetzt einen Undokumentierten Errorcode. Trotzdem funktionierte die Anlage vom Computerkonto im AD.
Mal sehen welche Auswirkungen der Fehler noch hat.

Ich habe die Integration mit mehreren Ubuntu Versionen (10.04, 10.10, 11.04, 12.04) getestet und immer eine Success Meldung bekommen, bei der jetzigen 11.10 tritt dieser Error Code auf.

Nach dem ersten reboot nach der Integration, teste ich den Domain Join In mit dem Befehl

sudo lw-get-status

Die Benutzerinformationen der Domäne kann ich noch mit folgenden Befehl abrufen

sudo lw-enum-users

Im nächsten Schritt melde ich mich auf den ICINGA Server mit einen Domänen Benutzer an.

Auch das scheint sauber zu funktionieren.

„Optional habe ich auch folgendes Script bei meinen vorigen Tests benutzt und es hat ebenfalls funktioniert.“

Auf folgender Webseite à http://www.beyondtrust.com/Technical-Support/Downloads/PowerBroker-Identity-Services-Open-Edition bekommt man die Software/Script „pbis-open-7.0.0.867.linux.x86.deb.sh“ Nach einer kurzen Registrierung bekommt man einen E-Mail zugesandt und kann im Anschluss das Script für die Ubuntu Umgebung downloaden.

Hier die Dokumentation die ich verwendet habe à http://www.beyondtrust.com/Technical-Support/Downloads/files/PBISO/Manuals/PBISO_Installation_and_Administration_Guide_V6.5/Default.htm

Nach dem Download, setzt man die Rechte für das Script und führt es im Anschluss mit Root-Rechten aus.

chmod a+x pbis-open-7.0.0.867.linux.x86.deb.sh
./pbis-open-7.0.0.867.linux.x86.deb.sh

Wenn das Script durchgelaufen ist, passt man noch die resolv.conf Datei im etc Verzeichnis an um den Richtigen DNS Server der Domäne anzusprechen. Wenn das vergessen wird funktioniert der Join In nicht! à Bis jetzt nur unter der Version 12.04 Beta nötig gewesen

sudo nano /etc/resolv.conf

„Mir ist aufgefallen, dass nach jeden Neustart von Ubuntu 12.04 Beta die resolv.conf vom System überschrieben wird. Um dieses zu vermeiden, kann man die Datei nach einer Änderung mit folgenden Befehl schützen“

Sperren –> chattr +i /etc/resolv.conf
Entsperren –> chattr -i /etc/resolv.conf

Auf was auch noch zu achten ist wäre die /etc/nsswitch.conf Datei, dort muss ein Eintrag verändert werden.

Unter hosts: muss der dns Eintrag nach files kommen, die ist nötig wenn man eine *.local Domänenendung hat. (Musste ich auch nachlesen weil der Domain Join In am Anfang nicht funktioniert hat.)

Um sicher zu gehen das der Domaincontroller richtig aufgelöst wird, frage ich den DNS Server mit der Forward und Reverse Lookup Adresse ab.

host ads01
host 192.168.178.100

Wenn das sauber funktioniert dann starte ich den Join in in die Domäne mit folgenden Befehl.

domainjoin-cli join htdom.local Administrator
Passwort nicht vergessen

Danach sollte der Join In funktioniert haben, wenn dem nicht so ist, dann passt irgendwas mit der Namensauflösung nicht.

Man kann noch bei der Fehlersuche das Loglevel anschalten:

sudo domainjoin-cli –loglevel verbose join htdom.local Administrator
gedit /var/log/auth.log

Mit folgenden Befehlen kann man überprüfen ob alles funktioniert hat

sudo /opt/pbis/bin/get-status

sudo domainjoin-cli query

sudo /opt/pbis/bin/get-dc-name htdom.local

sudo /opt/pbis/bin/find-user-by-name htdom\\Administrator
id htdom\\Administrator

Mit folgenden Befehl kann man sich die laufenden Services ansehen

sudo /opt/pbis/bin/lwsm list

Und mit folgenden Befehl kann man die Services durchstarten

sudo /opt/pbis/bin/lwsm restart lwio

Viel Spaß beim nachmachen und ich werde wieder Berichten.

Viele Grüße
Helmut

Aug

Drucker über Active Directory bereitstellen

Tags: Active Directory, bereitstellen, Drucker, Druckserver, Gruppenrichtlinien, Howto

Comments: No

Um Drucker Zentral in einer Firma verwalten zu können gibt es die Möglichkeit Drucker über einen Druckserver + Gruppenrichtlinien den Benutzern bzw. Computer zuzuweisen.

Der Vorteil an der Verteilung mit Gruppenrichtlinien liegt an der Art und Weise wie dem Benutzer/Computer Drucker zugänglich gemacht werden.

Man kann bestimmte Drucker mit dem Benutzer verknüpfen und egal an welchen PC sich der Benutzer anmeldet, er nimmt seine Drucker mit.

Oder man verknüpft den Drucker mit einem PC. Hier ist es dann egal welcher Benutzer sich an den PC anmeldet, er bekommt immer die Drucker zugewiesen die in der Umgebung vom PC stehen.

Server Rolle Druck- und Dokumentdienste installieren

Um das Ganze jetzt zu realisieren, installiere ich auf meinen Active Directory Server die Druck- und Dokumentdienste Rolle.

Klicke auf Weiter

Wähle die Rolle Druckserver aus und optional Internetdrucken und im Anschluss auf Weiter

Alle anderen Fenster vom Wizard klicke ich durch und beende den Wizard mit Schließen.

Rest des Howtos könnt ihr wieder hier nachlesen –> Drucker über Active Directory bereitstellen

Open publication – Free publishing

Viele Grüße
Helmut

Apr

Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren

Tags: Active Directory, Howto, PKI, Windows Server 2008, Zertifikatserver

Comments: No

Hier in diesen Howto möchte ich euch zeigen, wie man die Active Directory-Zertifikatdienste Installiert und grundlegend konfiguriert. Das ganze wurde in einer Virtuellen Umgebung mit Oracle – VirtualBox nachgestellt. Diese Zertifikatstelle benötige ich für Exchange 2010 und Sharepoint 2010.

In den Serverrollen aktiviere ich die Active Directory-Zertifikatdienste und klicke auf Weiter

Aktiviere die Zertifizierungsstelle und die Zertifizierungsstelle-Webregistrierung, danach poppt der Rollen Assistent hoch dass noch der IIS zusätzlich Installiert werden muss.

Hier findet Ihr wieder das Howto zum folgenden Beitrag –> Active-Directory-Zertifikatdienste (PKI) Installieren & konfigurieren

Open publication – Free publishing

Viele Grüße
Helmut

Quellen:
Rachfahl IT Solution –> Link
Windows Server 2008 R2 Buch von Ulrich B. Boddenberg –> Link

Sep

Read Only Domain Controller – Vorbereiten und Bereitstellen

Tags: Active Directory, bereitstellen, Howto, Read Only Domain Controller, RODC, vorbereiten

Comments: No

Mit dem Read Only Domain Controller (kurz RODC), hat Microsoft ein neues und sehr nützliches Features in die Server 2008 Technologie gepackt.

Read Only Domain Controller – bietet den Administrator eine Lösung an, die immer wieder vor dem gleichen Problem in den Zweigstellen stehen. Entweder haben sie derzeit keinen Domänencontroller vor Ort und die Benutzer klagen über Verbindungsprobleme oder aber es ist ein schreibbaren Domain Controller vor Ort, aber dafür kann der Administrator keine physische Sicherheit gewährleiten bzw. fehlt die erforderliche Netzwerk Bandbreite um diesen anständig betreiben zu können.

Die folgenden Eigenschaften von RODCs ermöglichen die Lösung dieser Probleme:

Schreibgeschützte Active Directory-Datenbank (NTDS.dit)
Attributsatz mit RODC-Filter
Unidirektionale Replikation
Zwischenspeicherung von Anmeldeinformationen
Aufteilung der Administratorrolle
DNS ohne Schreibzugriff´

Hier geht’s zum Howto –> Read Only Domain Controller – Vorbereiten & Bereitstellen

Viel Spaß beim Einrichten

Viele Grüße
Helmut

All posts tagged Active Directory

NTP Service konfigurieren

Realmd konfigurieren

Kerberos konfigurieren

Client zur Domain hinzufügen

SSSD konfigurieren

Pam common-session konfigurieren für das Home Laufwerk

Ubuntu 16.04 Login anpassen