Archiv

Posts Tagged ‘authconfig-tui’

Authentifizierung an einem vorhandenen Kerberos V‑Realm (provisorisch)

2012/02/16 Kommentare aus

Die Authentifizierung an einem vorhandenen Kerberos V-Realm kann sehr einfach über das vom System bereitgestellte Werkzeug authconfig-tui konfiguriert werden. Voraussetzung dafür ist außerdem ein installiertes PAM-Modul: pam_krb5.

yum install authconfig
yum install pam_krb5

Den Namen dieses Moduls muss man sich nicht unbedingt auswendig merken, authconfig-tui erinnert automatisch daran, falls dieses Modul nicht im System vorhanden ist. Nach erfolgter Installation von pam_krb5 kann nun die Authentifizierung durch Kerberos aktiviert werden:

authconfig-tui

Dieses Werkzeug bietet eine sehr komfortable Möglichkeit die Authentifizierung durch Kerberos zu konfigurieren. Unter anderem kann damit auch der Beitritt einer Windows-Domain problemlos durchgeführt werden. Einzutragen ist in Großbuchstaben der Kerberos V-Realm, das KDC sowie der Admin Server.

Kategorien:RHCE Schlagwörter: , ,

Samba Server als Active Directory Domänenmitglied

2011/01/06 Kommentare aus

Es ist mittlerweile sehr einfach einen Linux basierten Samba-Server als Domänenmitglied einer Microsoft Active-Directory Struktur zu betreiben. Damit fallen die Kosten für Client-Zugriffslizenzen auf Windows Server weg. Es bleiben die Vorteile einer zentralen Benutzerverwaltung und Single Sign-On durch Windows Server sowie Stabilität und Kostenersparnis durch die Verwendung eines Linux Systems erhalten.

Wichtig bei der Konfiguration von Samba ist der richtig gesetzte Hostname und die Verwendung des Active Directory Servers als DNS und NTP Server. Distributionseigene Tools erledigen den Domänenbeitritt sehr komfortabel (CentOS/Red Hat: authconfig-tui) und meist problemlos, hier soll nur der „harte“ Weg gezeigt werden: Manuelle Anpassung aller Konfigurationsdateien.

Windows Domäne: example.com

Active Directory Server: win2008.example.com

Netbios Name des AD-Servers: win2008

Hostname setzen:

Der Hostname ist entweder manuell in den Dateien /etc/sysconfig/network und /etc/hosts oder durch die entsprechenden Distributionseigenen Tools zu setzen, Im Falle von Red Hat Enterprise Linux durch system-config-network.

hostname suse.example.com

/etc/resolv.conf editieren:

search example.com
nameserver 192.168.10.1            # Active Directory Server

/etc/samba/smb.conf editieren:

[global]
realm = EXAMPLE.COM
security = ads
# nur verwenden wenn nicht automatisch gefunden
password server = win2008

/etc/krb5.conf editieren:

[libdefaults]
Default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
               kdc = win2008.example.com
               admin_server = win2008.example.com
              }

Samba und Netbios-Name Daemon aktivieren und starten:

chkconfig nmb on        # Dienste bei Systemstart starten
chkconfig smb on       
service nmb start       # Dienste jetzt starten
service smb start

Netbios Namensauflösung testen:

nmblookup win2008

Domain beitreten

Kerberos verlangt eine gleichgeschaltete Systemzeit zur Authentifizierung. Falls die Abweichung mehr als fünf Minuten beträgt schlägt eine Anmeldung fehl. Hier wird die Systemzeit manuell gesetzt, es ist aber empfehlenswert den Linux Server als NTP-Client des Windows Servers zu konfigurieren. Der Windows Active Directory Server stellt auch automatisch einen NTP-Server zu Verfügung. Die Konfiguration des Linux NTP-Clients erfolgt in /etc/ntp.conf.

ntpdate win2008 ; hwclock --systohc    # Zeit synchronisieren, Toleranz 5 min
net ads join –U Administrator –S win2008     # verlangt Domain-Admin Passwort

Domain-Benutzer Accounts aus AD auslesen und lokal anlegen:

Um Dateirechte richtig setzen zu können sollten Domänenbenutzer auch lokal auf dem Samba-Server existieren. Diese dienen nicht zur Anmeldung, benötigen keine Login-Shell, kein Heimatverzeichnis und kein Passwort.

cd /tmp
net rpc user  –U Administrator –S win2008 > users
for i in `cat users` ; do  useradd –d /tmp/tmpADUSER –s /dev/null  $i ; done
cat /etc/passwd | sed s_/tmp/tmpADUSER_/dev/null_g > passwd.tmp
mv passwd.tmp /etc/passwd

Die Unix-Dateirechte der Samba Freigabe müssen den Zugriff erlauben!