Categories
Bits & Bytes

Linux als Mitglied einer Windows Domäne

Prerequisites

Bevor wir beginnen sollten folgende Dinge sicher gestellt sein. Da die Konfiguration sehr umfangreich ist können nicht alle Schritte im Detail betrachtet werden, daher wird folgendes voraus gesetzt:

  • Ein Windows Server 200x heraufgestuft zum Primären Domänen Controller mit Active Directory Realm hier bezeichnet als snakeoil.org. Im Folgenden wird der Windows Server als myPDC.snakeoil.org bezeichnet.
  • Ein DNS-Server der alle Hosts und insbesondere die SRV Einträge auflösen kann sodass sich der KDC Server auch im Realm, z.B. per snakeoil.org finden läßt. Tipp-Fehler werden schnell zur Stolperfalle wenn Hostnamen nicht mit dem Namen im KDC übereinstimmen oder etwaige lokale Hosts-Dateien auf einem Linux System den Namen anders auflösen als der DNS. Einfacher ist es hier den Windows DNS zu verwenden da dieser sowieso Voraussetzung für eine funktionierende Domäne ist. Die Pros richten häufig einen zusätzlichen Bind9 DNS Server auf einem Linux System als Slave-DNS mit entsprechendem Zonen-Transfer vom Windows DNS Server ein.
  • Auf der Linuxmaschine sollte man die Reihenfolge der Namensauflösung in /etc/host.conf beachten (!)
    Samba und Winbind verwenden abhängig von der Konfiguration trotz angegebener Reihenfolge der Namensauflösung manchmal trotzdem die Hosts-Datei oder den DNS daher sollte das Subnetz und die Domänennamen-Auflösung in /etc/networks identisch mit denen des Realms sein. Wenn /etc/hosts zusätzlich verwendet wird dann in [IP] [FQDN] [HOSTNAME] Notation z.B.

    192.168.1.1 myhost.snakeoil.org myhost

    weil Samba und Winbind sich manchmal pingelig anstellen wenn ein [FQDN] erwartet wird aber nur ein [HOSTNAME] zurückkommt.

  • Ein DHCP Server, am besten mit dynamischer Hostnamen-Aktualisierung sodass jeder Host im Sub-Netz bekannte für alle verbindliche Namen erhält. Es funktioniert prinzipiell unter den Linux Maschinen auch mit stinknormaler lokaler Hosts-Auflösung wer hier allerdings nicht präzise ist kann sich u.U. ins Knie schießen.
  • Alle Maschinen des Realms (Domäne) müssen per NTP korrekt zeit-synchronisiert laufen weil Kerberos keine Clock skews duldet und u.U. dann Tickets verweigert obwohl die Credentials korrekt sind.
  • Auf allen Maschinen des Relams muß die /etc/services Datei vorhanden und korrekte, identische Einträge enthalten zumindest für die Dienste die über Kerberos authentifiziert werden sollen, also in unserem Fall z.B:
    ...
    netbios-ns 137/tcp # NETBIOS Name Service
    netbios-ns 137/udp
    netbios-dgm 138/tcp # NETBIOS Datagram Service
    netbios-dgm 138/udp
    ...
    microsoft-ds 445/tcp # Microsoft Naked CIFS
    microsoft-ds 445/udp
    ...
    nfs 2049/tcp # Network File System
    nfs 2049/udp # Network File System
    ...

    Eigentlich sollte diese Datei überall gleich sein aber dies kann insbesonders dann wichtig werden wenn verschiedene, exotische Distributionen verwendet werden bei denen sich manche Portnummern evtl. unterscheiden. Debian und Ubuntu machen hier naturgemäß keine sonderlichen Probleme ansonsten sollte man zumindest einen diff machen um sicher zu gehen. Solche Fehlkonfiguration der services-Datei können natürlich ignoriert werden wenn die betreffenden Dienstnamen nicht über Kerberos authentifiziert werden.

By вяоӣсо

I'm a computer kid of the 80', not born but raised in good old' germany, playin' games, makin' music & lovin' the blues. My career started at an age of 10 in a shopping mall where they sold computers too. It was the first time ever i've seen such an electronic monster and was fascinated instantly.
Later on i've learned my first programming skills (Basic) with a friend's Sinclair ZX 81. Yes, that one with the strange plastics keyboard. After that i got some experience with a Schneider CPC464 and the Commodore C64 until i fell in love with the Commodore Amiga, a machine with 4096 different colors which sounds nowadays to most like black'n'white tv's sounded to me at that time.
We played a lot of games like Decathlon, The Last V8, Impossible Mission, Elite, Mega'lo'Mania, Xenon, Speedball or Chaos Engine and ruined a lot of those Competition Pro Joysticks. My favourites were mostly games by Sensible Software, Bitmap Brothers or Rainbow Arts.
What i liked the most about that machine was it's AmigaOS, it's operating system was ahead of it's time. On this machine i learned my first assembler language (m68k) and the hardware internas.
I watched the decline of Commodore with a tear in my eye and at some point i went over to usual business and my first PC and learned it's beastly manners.

Leave a Reply