Active Directory: Linux Domänen-Beitritt für Bequeme

Directory

Wenn die Zeit mal wieder die Muße verdrängt, sich durch digitale Bedienungsanleitungen und angestaubte Lesezeichen zu Samba, Winbind, Kerberos und gleiches Teufelszeug zu wühlen, erleichtert BeyondTrust dem Admin das Leben.

Das Produkt nennt BeyondTrust etwas unglücklich „PowerBroker Identity Services, Open Edition“ – findet man garantiert nicht mehr wieder. Wenn mich nicht alles täuscht, nannte es sich vorher „LikewiseOpen“ und befand sich sogar im Debian/Ubuntu Repository. Das sollte zu Zeiten eines Ubuntus in Version 10.04 gewesen sein.

Mein Ziel ist es Domänen-Benutzern schnell Zugang zu einem Linux-System zu gewährleisten. Die Anmeldung erfolgt durch den Benutzernamen „DOMAIN\username“ und, logisch, zugehörigem Kennwort.
Ich setze als Test-System ein Debian Jessie amd64-System ein.

Ich bequeme mich im Folgenden auf die Abkürzung „PBIS“.
Beyondtrust stellt seinen Nutzern ein Forum unter der Adresse http://forum.beyondtrust.com/ zur Verfügung. Die Aktivität hält sich stark in Grenzen. Support erwartet ihr besser in Foren oder im IRC, ganz klassisch.

Downloaden lässt sich PBIS für verschiedenste System, darunter übrigens auch OS X, hier.

Die Installation verläuft zügig und stellt keine Fragen, die uns überfordern würden.
Im Beispiel verwende ich die gerade aktuelle Version 8.2.1:

cd ~ ; wget http://download.beyondtrust.com/PBISO/8.2.1/linux.deb.x64/pbis-open-8.2.1.2979.linux.x86_64.deb.sh
chmod +x pbis-open-8.2.1.2979.linux.x86_64.deb.sh
./pbis-open-8.2.1.2979.linux.x86_64.deb.sh

Would you like to install package for legacy links? Nein, das ist nicht notwendig und bezieht sich auf den „Vorgänger“ LikewiseOpen. Wenn ihr diese Verknüpfungen bräuchtet, wüsstet ihr es.

Der Domänen-Beitritt verläuft schmerzfrei:

domainjoin-cli join DOMAIN.LOCAL Administrator

Achtet auf die Großschreibung!
Auf Systemen mit einer GUI, stünde eine grafische Oberfläche bereit: domainjoin-gui

PBIS legt sich im Pfad /opt/pbis/ ab und erstellt/verändert nach einem Domänen-Beitritt nur wenige Dateien im System.
Zu den veränderten Dateien gehören etwa diverse /etc/pam.d/common-* Dateien, da selbstverständlich PAM um den Domänen-Login erweitert werden muss, wie auch Kerberos-spezifische Konfigurationen, etwa /etc/krb5.conf.
Außerdem erstellt es einen Dienst unter „/etc/init.d/lwsmd“, auch der darf gerne genauer unter die Lupe genommen werden.
Eine Domäne verlassen können wir ebenso schnell durch domainjoin-cli leave.

Ich gehe davon aus, dass das Prinzip eines Domänen-Beitritts bekannt ist und beende damit den kleinen Artikel aus Zeitmangel.
Schaut euch noch die Tools unter /opt/pbis/bin an, zum Beispiel lässt sich die Standard-Shell von Domänen-Benutzern durch ein einfaches /opt/pbis/bin/config LoginShellTemplate /bin/bash abändern.

Achtet bitte auch darauf, dass die Zeit mehr oder weniger synchron zum DC läuft, sonst streikt Kerberos! :-)

4 Antworten auf “Active Directory: Linux Domänen-Beitritt für Bequeme

  1. Shadow

    Hallo zusammen,

    ich wollte ein Linux Mint (Ubuntu 14.04 LTS) in eine Windows SBS 2011 Domaine einbinden. Leider erhalte ich folgende Fehlermeldung nach Eingabe des Passworts:
    Error: ERROR_GEN_FAILURE [code 0x0000001f]

    Die Linux VM bekommt vom DC (der auch DHCP und DNS ist) eine IP und ich kann andere Rechner im selben Netz anpingen. Was merkwürdigerweise nicht geht, ist ein ping an den Rechnernamen mit FQDN. Ohne wird alles korrekt aufgelöst.

    Hat jemand einen Tipp?

  2. Marcus Moeller

    Mit sssd/realmd ist auch unter Debian eine Anbindung an ein AD ohne weiteres möglich. Und das alles mit Boardmitteln ohne zuhilfename semiproprietärer tools.

    1. André P. Autor

      Fedora, als Red Hats Sandkasten, hat generell ein paar coole Dinge in der Hinterhand, finde ich. Habe mich nach einem Reinfall mit FreeIPA und Debian aber erst einmal vom Glauben entfernt.

      Ich komme selten über LDAP hinaus, wenn es um cross-platform Dinge geht, daher bin ich da eigentlich offen und lernbereit.

      Danke für den Hinweis!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.