Categories
Bits & Bytes

Linux als Mitglied einer Windows Domäne

Use cases

Benutzer || Gruppen des Realms zu Besitzern von Dateien oder Ordnern machen

Möchte man nun auf der Linux Maschine Benutzer oder Gruppen zu Besitzern von Dateien oder Ordnern machen geht man zunächst auf den Windows Server in die Eigenschaften, z.B. der Gruppe Domain Users, auf das Tab Unix Attributes und wählt unter NIS Domain unseren Arbeitsgruppennamen aus:

DomainUsers

Für die GID sollte sofort eine ID aus unserem definierten Zahlenbereich erscheinen. Mit OK bestätigen, dieser Schritt ist für jeden Benutzer bzw. Gruppe nur einmal notwendig.

Achtung!
Wurde dieser Schritt einmal gemacht wird das Mapping zwischen der UID bzw. GID und der SID für immer festgelegt und sollte auch so beibehalten werden. Änderungen sind zwar nachträglich, theoretisch möglich aber man sollte das vermeiden oder nur machen wenn man ganz genau weiß was man da tut. Die Nebeneffekte solcher Aktionen können erhebliche Nachwirkungen bereiten. Im Zweifelsfall sollte man lieber ein neues Mapping mit neuen Benutzer- oder Gruppennamen einrichten.

Anschließend können wir unsere konfigurierte Beispielgruppe auf der Linux Maschine verwenden:

me@myComputer:~$ mkdir myFolder
me@myComputer:~$ chown me:domain\ users myFolder
me@myComputer:~$ ls -l .
total 4,0K
drwxr-xr-x 1 me   domain users       196 Mai  5 19:17 myFolder

Man beachte das etwaige Spaces in Benutzer oder Gruppennamen unter Linux durch einen Backslash escape’d werden oder man setzt den Namen in Anführungszeichen. Sollte Winbind nicht laufen oder keine Verbindung zum Realm bestehen kann dieser Name nicht korrekt aufgelöst werden und die Linux Maschine fällt auf die Anzeige der GID zurück:

me@myComputer:~$ ls -l .
total 4,0K
drwxr-xr-x 1 me   10000              196 Mai  5 19:17 myFolder

Das ist aber behoben sobald eine Verbindung zum Realm wieder hergestellt werden kann.

Benutzer || Gruppen des Realms für Berechtigungen in Samba Freigaben verwenden

Bei der Verwendung von Freigaben auf der Linux Maschine möchte man manchmal auch Freigaben erstellen für welche bestimmte Gruppen des Realms eine Zugriffsberechtigung erhalten sollen. Hier ist die Syntax für Benutzer oder Gruppennamen zu beachten. Enthält der Name ein Space so setzt man diesen am Besten in Anführungszeichen. Gruppennamen unterscheiden sich bei Samba in besonderer Weise durch ein vorangestelltes @-Zeichen. Hat man beides also eine Gruppe in dessen Name auch Spaces enthalten sind muß man beides kombinieren in der Notation: @”GRUPPENNAME MIT SPACES”, in einer smb.conf stellt sich das z.B. so dar:

[myFolder]
	comment = myFolder is only for domain users!
	path = /home/me/myFolder
	create mask = 0664
	directory mask = 0775
	force group = @"domain users"
	write list = @"domain users"

Achtung!
Berechtigungen sind auf zwei Ebenen aktiv. Einmal die Berechtigung der Freigabe bei der man den Zugriff für Benutzer & Gruppen der Freigabe bestimmen kann und dann nochmal auf Dateiebene wo der Zugriff logischerweise z.B. für die gewünschte Gruppe ebenfalls erlaubt sein muß. Gewährt man nur in einer der beiden Ebenen (vgl. smb.conf & chmod) den Zugriff wird dieser natürlich fehlschlagen.

Benutzer des Realms als Login auf der Linux Maschine

Nun kann man noch einen Schritt weiter gehen und Benutzer des Realms auch dazu verwenden sich an der Linux Maschine anzumelden. Analog zu den Gruppen wäre zuerst der gleiche Konfigurationschritt für Benutzer durchzuführen, dazu geht man wieder in die Eigenschaften des betreffenden Benutzers in das Tab Unix Attributes:

DomainUserProps

Und setzt die NIS Domain und zusätzlich die Shell und den Home Path. Zwar bietet Samba Möglichkeiten den Home Path per Skript automatisch zu erzeugen aber zu Testzwecken machen wir das hier mal von Hand:

me@myComputer:~$ sudo mkdir /home/IamAdomainUser
me@myComputer:~$ sudo chown IamAdomainUser:domain\ user /home/IamAdomainUser

Möchte man ein beim ersten Login eines Benutzers automatisch den Home-Ordner erzeugen fügt man der /etc/pam.d/common-session Datei folgendes als ersten aktiven Eintrag hinzu:

...
session required    pam_mkhomedir.so umask=0077 skel=/etc/skel
# here are the per-package modules (the "Primary" block)
...
# end of pam-auth-update config

Achtung!
Die beide Kommentare markieren den Anfang und das Ende des Konfigurationsblocks der von pam-auth-update verwaltet wird. Sollten Änderungen innerhalb des Blocks gemacht werden gehen diese wieder nach einem Aufruf des Kommandos verloren!

Nachdem wir die Beispielgruppe Domain Users und unseren Beispielbenutzer IamAdomainUser im snakeoil.org Realm per NIS unserer Linux Maschine bekannt gemacht haben sollten wir diese nun auch per getent Aufruf in der Liste der lokalen Linux Benutzer & Gruppen zu sehen bekommen.

me@myComputer:~$ getent passwd
...
IamAdomainUser:*:10103:10000:test user:/home/IamAdomainUser:/bin/bash

Tauchen die Benutzer auf können sich diese nun z.B. per SSH oder sogar via XDMCP anmelden:

you@AnotherComputer:~$ ssh IamAdomainUser@myComputer.snakeoil.org
Welcome to SnakeOil
you@myComputer's password: *********

Analog dazu müßte man doch die Gruppen in gleicher Weise auflisten können?
Im Prinzip ja … aber

me@myComputer:~$ getent group
...
me@myComputer:~$ # Gruppen bleiben unsichtbar scheinen aber dennoch da zu sein z.B.
me@myComputer:~$ ls -l .
total 4,0K
drwxr-xr-x 1 me   domain users       196 Mai  5 19:17 myFolder

Wie im Aftermath erwähnt kann es bei einigen Samba Versionen durch einen Bug dazu kommen das diese Einträge nicht angezeigt werden das muß aber nicht zwangweise bedeuten das diese nicht da wären denn beim setzen von Dateiberechtigungen konnte man sehen das Winbind auch Gruppennamen richtig anzeigt daher ist eher davon auszugehen das getent Domäneneinträge bei der Gruppenauflistung offenbar ignoriert.

Logins über SSH ohne Passwort (Single-SignOn)

Wenn ein Host, der ebenfalls Mitglied der Domäne ist, den SSH Dienst anbietet so läßt sich für Benutzer der Domäne auch ein passwortloses Anmelden ermöglichen insofern sie über Winbind bzw. Kerberos im Realm bereits authentifiziert sind. Auf dem entsprechenden Host, der den SSH Dienst anbietet, aktiviert man in /etc/ssh/sshd_config folgende Zeilen:

...
# Kerberos options
KerberosAuthentication yes
#KerberosGetAFSToken no
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes

# GSSAPI options
GSSAPIAuthentication yes
GSSAPICleanupCredentials yes
...

Allerdings wird auf diese Weise allen Benutzern der Domäne eine passwortlose Anmeldung gestattet was u.U. etwas riskant sein könnte im Hinblick auf etwaige Gast-Konten. Wer zusätzlich pam_mkhomedir.so konfiguriert hat, erzeugt vorher sogar noch ein Home-Environment für Benutzer die u.U. gar nicht in der Lage sein sollen sich anzumelden. Daher ist es hier empfehlenswert den Zugriff auf bestimmte Gruppen zu beschränken zumindest für den SSH Dienst, dazu kann man in /etc/ssh/sshd_config mit der AllowGroups MYGROUP1 MYGROUP2 … Anweisung nur solchen Gruppen Zugriff gewähren die in der Lage sein sollen eine Anmeldung durchzuführen denkbar wäre hier u.A. einer Gruppe der Domäne (z.B. Domain Users) den Zugriff zu gestatten.

Quellen:
http://ubuntuforums.org/showthread.php?t=2152487

By вяоӣсо

I'm a computer kid of the 80', not born but raised in good old' germany, playin' games, makin' music & lovin' the blues. My career started at an age of 10 in a shopping mall where they sold computers too. It was the first time ever i've seen such an electronic monster and was fascinated instantly.
Later on i've learned my first programming skills (Basic) with a friend's Sinclair ZX 81. Yes, that one with the strange plastics keyboard. After that i got some experience with a Schneider CPC464 and the Commodore C64 until i fell in love with the Commodore Amiga, a machine with 4096 different colors which sounds nowadays to most like black'n'white tv's sounded to me at that time.
We played a lot of games like Decathlon, The Last V8, Impossible Mission, Elite, Mega'lo'Mania, Xenon, Speedball or Chaos Engine and ruined a lot of those Competition Pro Joysticks. My favourites were mostly games by Sensible Software, Bitmap Brothers or Rainbow Arts.
What i liked the most about that machine was it's AmigaOS, it's operating system was ahead of it's time. On this machine i learned my first assembler language (m68k) and the hardware internas.
I watched the decline of Commodore with a tear in my eye and at some point i went over to usual business and my first PC and learned it's beastly manners.

Leave a Reply