Wie kann ich einen Linux-Computer einer Windows-Domäne beitreten lassen?

12

Es tut mir leid, wenn ich hier Begriffe missbrauche. Ich weiß eigentlich nicht viel über Active Directory und die damit verbundenen Technologien. Grundsätzlich habe ich einen Linux-Computer und möchte, dass er (oder mein Benutzer auf diesem Computer) meinem Benutzer in der Domäne zugeordnet wird, damit ich im Netzwerk surfen kann und all das, was Windows zu bieten hat.

Ist das machbar? Worauf muss ich achten, um so etwas zu tun?

linux windows active-directory Frew Schmidt
quelle

Antworten:

9

Es gibt drei Hauptoptionen:

  • Kerberos plus LDAP - Dies ist eine niedrigere Option, bei der Sie Linux so einrichten, dass die zugrunde liegenden Protokolle von Active Directory selbst verwendet werden. Beschrieben in dieser Antwort .
  • Samba - Samba ist der De-facto-Standard für den Beitritt eines Linux-Rechners zu einer Windows-Domäne.
  • Microsoft Windows Services für Unix enthält Optionen zum Bereitstellen von Benutzernamen für Linux / UNIX über NIS und zum Synchronisieren von Kennwörtern mit Linux / UNIX-Computern. Sie würden dies verwenden, wenn Sie alles unter Windows tun möchten oder wenn Sie über eine vorhandene Linux / UNIX-Infrastruktur verfügen, die Sie an Windows binden möchten. Für die meisten Umgebungen wäre jedoch eine der anderen Lösungen besser.

Es gibt noch ein paar andere Optionen: Ebenso (anscheinend nicht mehr verfügbar), Centrify, SSSD ... In dieser Frage gibt es weitere Diskussionen .

Josh Kelley
quelle
+1 für Ebenso. Ebenso hat mir Open Hunderte von Stunden in der Benutzerverwaltung erspart. Ich habe speziell für meine Linux-Boxen eine AD-Infrastruktur aufgebaut. Weg, Weg, Weg, Weg, besser.
Matt Simmons
Ebenso scheint tot zu sein; Zumindest führt Ihr Link zu einem anderen Geschäft, und die Suche wird nicht sehr häufig durchgeführt.
Detly
1
Ebenso wurde von Isilon (jetzt DellEMC) für die Aufnahme in deren NAS gekauft. Ich denke, sie haben das eigenständige Produkt abgeschafft.
Dan Pritts
1

Zwei Möglichkeiten, die ich kenne. Vom Linux-Host aus können Sie Folgendes versuchen:

root # net ads join -UAdministrator% Passwort

Oder Sie können das Computerobjekt einfach in Active Directory erstellen.

Wie alle anderen gesagt haben, müssen Sie die Samba-Pakete hinzufügen, um dies zu erreichen.

http://www.samba.org/samba/docs/man/Samba-HOWTO-Collection/domain-member.html

CosmicQ
quelle
0

Ich würde vorschlagen, sich ein exzellentes Public-Domain-Paket namens Samba anzuschauen. Möglicherweise ist es Teil der von Ihnen installierten Linux-Distribution.

mdpc
quelle
0

Um alle Vorteile und die Sicherheit von AD nutzen zu können, benötigen Sie eine Lösung mit Kerberos (für die Authentifizierung) und LDAP (für die Autorisierung). Es gibt hier ein exzellentes Tutorial , das ich in der Vergangenheit benutzt habe und das erstaunlich gut funktioniert. Die Implementierung ist komplexer als nur die Verwendung von samba / winbindd. Sie können jedoch die UNIX-Attribute in AD verwenden, um Ihre Linux-Benutzer, -Gruppen, -UIDs, -GIDs usw. zu verwalten.

EEAA
quelle
1
Ich glaube, dass Samba / Winbind auch ADs UNIX-Attribute verwenden kann, wenn man das idmap_ad-Backend ( samba.org/samba/docs/man/manpages-3/idmap_ad.8.html ) und die smb.conf-Einstellung "winbind nss info" verwendet ( samba.org/samba/docs/man/manpages-3/smb.conf.5.html#id2564796 ).
Josh Kelley
Heh, Neuigkeiten für mich :-) Das ist ein schönes Feature. Ich denke, ich bevorzuge immer noch die Sicherheit, die Kerberos bietet, aber für einfachere Setups ist dies wahrscheinlich in Ordnung.
EEAA
Ich finde dieses Tutorial überhaupt nicht exzellent. Beispiel: "Stellen Sie sicher, dass die entsprechenden Kerberos-Bibliotheken OpenLDAP, pam_krb5 und nss_ldap installiert sind. Wenn sie nicht installiert sind, installieren Sie sie.", Ohne weitere Details.
Frank H.
@FrankH. Sie werden feststellen, dass diese Antwort 7 Jahre alt ist. Wenn Sie ein besseres Tutorial haben, auf das Sie verlinken können, bearbeiten Sie auf jeden Fall meine Antwort entsprechend. Wenn Sie jedoch ein Linux-Systemadministrator sind, sollten Sie zunächst lernen, wie Sie Pakete ohne schrittweise Anleitung installieren können.
EEAA
3
@FrankH. Du bist ein Profi. Sie können nicht davon ausgehen, dass Sie Ihre Arbeit erledigen, indem Sie für jede einzelne Aufgabe, die Sie erledigen müssen, eine umfassende Schritt-für-Schritt-Anleitung befolgen. Zum Erlernen der von Ihnen verwendeten Betriebssysteme ist ein gewisses Maß an Eigeninitiative erforderlich . Wenn Sie dazu nicht in der Lage oder nicht bereit sind, stellen Sie jemanden ein, der Ihnen hilft. Das ist keine Schande.
EEAA
0

Samba / Ebenso ist Overkill.

Richten Sie pam_krb5 ein und authentifizieren Sie sich beim KDC der AD-Domäne.

Fahad Sadah
quelle
0

Um einen Linux-Computer zu einer Active Directory-Domäne hinzuzufügen, benötigen Sie:

  • TCP / IP-Konfiguration: Konfigurieren Sie den DNS des AD als DNS.
  • NTP Config: Konfigurieren Sie den NTP-Server in DC
  • Pakete: Installieren Sie die erforderlichen Pakete
  • SSSD-Konfiguration: Konfigurieren Sie den Netzwerkauthentifizierungsdienst.
  • Überprüfung mit dem Befehl id

Hier ist eine Anleitung, Schritt für Schritt:

https://www.sysadmit.com/2019/11/linux-anadir-equipo-al-dominio-windows.html

Mark Stowe
quelle