Linux als Mitglied einer Windows Domäne

Heute möchte ich die Anbindung eines Linux Host als vollwertiges Domänenmitglied in eine Windows Server 200x Active Directory Domäne behandeln. Dabei kommt einem vermutlich Samba in den Sinn jedoch dient dies eher der Dateifreigabe in einem Netzwerk, bei einfachen Windows-Arbeitsgruppen Netzwerken ist dies auch recht schnell bewerkstelligt allerdings mit einigen Einschränkungen. Die Benutzer und Gruppen, die Identifiktaion der einzelnen Hosts eines Netzwerks, verschiedenen Berechtigungsysteme etc. alles muß von Hand verwaltet werden.
Eine Windows Active Directory-Domäne bietet hier verschiedene Vorteile. Alle Entitäten werden in einer LDAP Datenbank auf dem Windows Server innerhalb eines sogenannten Realms (vgl. Domäne) verwaltet, dabei erhalten alle Maschinen ihre verschiedenen Berechtigungen vom Windows Server. Für Windows Maschinen ist das nichts besonderes aber man kann sowas auch mit einer Linux Maschine machen dabei sollen folgende Kriterien erfüllt sein:

  • Nutzung der Kerberos Authentifizierung. Der Linux Host soll ein Domänen Mitglied mit eigener Machine Credential sein um sich so auch passwortlos am Domänennetzwerk anmelden zu können. So wie das Windows Maschinen auch machen.
  • Benutzer und Gruppen des Realms (vgl. Domäne) sollen dem Linux Host bekannt sein und auch als Besitzer für Dateien und Ordner des Linux Hosts gesetzt werden können.
  • Linux spezifische Accountdaten wie UID, GID, Homepath, Shell, etc, sollen im Active Directory verwaltet werden.
  • Der Linux Host soll Dienste anbieten die den Single sign-on Mechanismus der Domäne verwenden können und bei dem sich auch Benutzer der Domäne auf Diensten des Linux Hosts anmelden können z.B. Samba oder NFS Freigaben nutzen oder per SSH anmelden, etc.

Quellen:
The Official Samba 3.5.x HOWTO and Reference Guide
http://web.mit.edu/kerberos

Leave a Reply