Linux als Mitglied einer Windows Domäne

Leave a reply

Auf dem Windows Server

Doch bevor es an die Linux Maschine geht müssen wir einige Vorbereitungen auf dem Windows Server treffen. Dort sollten die Windows Komponenten Server for NIS und Identity Management for Unix installiert sein, die man auf der Windows Server Installations CD findet. Der einfachste Weg ist hier:

Start
>> Control Panel
>> Add or Remove Programs
>> Add/Remove Windows Components
>> Active Directory Services
>> Identity Management for UNIX
>> Administration Components
>> Server for NIS

und optional kann man z.B. noch den NFS Server installieren wer einen solchen Dienst unter Windows betreiben möchte:

Other Network File & Print Services
>> Microsoft Services for NFS

Die Installation sorgt u.A. dafür dass das Active Directory um dass sogenannte RFC2307 Schema erweitert wird, auf diese Weise werden Benutzer und Gruppen der Domäne (SID) den entsprechenden lokalen Unix Benutzer und Gruppen IDs (UID & GID) zugeordnet. Man kann sich das so vorstellen das in der LDAP Datenbank weitere Spalten in einer Tabelle eingerichtet werden um zusätzliche Informationen abzuspeichern.
Die R2 Variante des Windows 2003 Servers soll Teile dieses Schemas bereits in seiner LDAP Datenbank enthalten, da aber diese scheinbar nicht vollständig ist, wie in diversen Foren berichtet wird, ist eine Installation dieser Komponenten unabdingbar. Keine Sorge, die Integrität des Active Directory bleibt vollkommen erhalten, die besagten Komponenten sind auch keine Hicky-Hacky-Tools sondern stammen vom Microsoft höchstpersönlich.

ServerForNIS

Links sieht man die installierte Komponente welche im Benutzerdialog rechts ein weiteres Tab zur Verfügung stellt um Unix Einstellungen für Benutzer & Gruppen der Domäne vorzunehmen. Diese werden vom winbind Dienst auf dem Linux System verwendet um einen Domänenbenutzer einer NIS-Domain zuzuordnen, die in unserem Fall identisch mit dem Arbeitsgruppennamen der Active Directory-Domäne ist. Ggfs. kann man noch zusätzliche Daten wie z.B. Login Shell oder Home Directory angeben.

Achtung!
Da das im Netz oft gerne durcheinander geworfen wird, für Windows Server Varianten bis einschließlich Windows Server 2003 heißt diese Komponente Microsoft Windows Services for UNIX, in der Samba Dokumentation häufig als sfu abgekürzt und ab Windows Server 2003 R2 wurde es anschließend umbenannt in Subsystem for UNIX-based Applications. Letzteres scheint sich in der Verwendung dennoch zu unterscheiden da in der Samba Dokumentation diese explizit als rfc2307 bezeichnet wird. Man sollte also wissen welche der beiden man einsetzen möchte abhängig von der Windows Server Version die man einsetzt. Im Folgenden beziehen wir uns hier auf das rfc2307 Schema.

Quellen:
Microsoft Windows Services for UNIX
Services for UNIX vs Windows Server 2003 R2 UNIX Interoperability
Linux, Active Directory, and Windows Server 2003 R2 Revisited
Configuring 2307/AD for Unix IDs
IDMAP and NSS Using LDAP from ADS with RFC2307bis Schema Extension
Using Kerberos security with Server for NFS (also good explanation how root UID is bound to a user in AD)

Pages: 1 2 3 4 5 6

Leave a Reply