Debian Active Directory Anbindung

Um Debian (ab v8) korrekt in eine Windows Domäne zu integrieren sind einige Schritte notwendig welche ich hier zusammenfasse.

Active Directory Authentifizierung

Zu beginn prüfen wir das Hosts File:

Hier passen wir die Zeile wie folgt an:
(hostname und domain ersetzen)

Als erstes installieren wir Samba und Winbind:

Danach sorgen wir dafür das Samba automatisch startet:

Das sollte eigentlich die Installation schon erledigt haben, aber sicher ist sicher.

Nun installieren wir Kerberos und sichern die Originale Konfiguration:

Nun ändern wir die Kerberos Konfiguration:

Der vorhandene Inhalt kann gelöscht und durch den folgenden Inhalt ersetzt werden.

• DOMAIN.LOC ist die Active Directory Domäne
• dc01.domain.loc ist der FQDN vom PDC
• dc02.domain.loc ist der FQDN von einem weiteren DC

!!! Bitte genau auf die Groß / Kleinschreibung achten !!!

Nun löschen wir bereits vorhandene Kerberos Tickets etc:

Anschließend prüfen wir ob wir ein gültiges Kerberos Ticket bekommen:

Bekommen wir hier ein gültiges Ticket ist die Konfiguration soweit OK und wir können fortfahren.

Um fortzufahren brauchen wir noch weitere Packete:

Jezt sichern wir noch die Samba config:

Jetzt bearbeiten wir die Samba Konfiguration:

• DOMAIN ist der NETBIOS Name von der Domäne
• DOMAIN.LOC ist die Active Directory Domäne
• dc01.domain.loc ist der FQDN vom PDC
• dc02.domain.loc ist der FQDN von einem weiteren DC

!!! Auch hier gilt es wieder die Groß / Kleinschreibung zu beachten !!!

Im gleichen File kommentieren wir noch [homes], [printers] und [print$] aus:

Sind die Dienste wieder gestartet versuchen wir der Domäne beizutreten:

Jetzt starten wir die notwendigen Dienste neu:

Weiter gehts mit der Überprüfung:

Wenn es erfolgreich war muss wbinfo die User und Gruppen aus dem Active Directory anzeigen.

Nun bringen wir winbidn dazu Passwörter und Gruppen abzufragen:

Hier passen wie diese 3 Einträge wie folgt an:

Jetzt prüfen wir wieder ob User und Gruppen angezeigt werden:

Zum Schluss müssen wir dem System noch beibringen Home Ordner automatisch beim einloggen anzulegen:

Hier passen wir wieder folgende Einträge an:
(Die erste Zeile sollte bereits vorhanden sein)

Zu guter letzt fügen wir noch die Domänen-Admins als SUDOers hinzu:

bzw. falls man die SUDO Rechte ohne Passworteingabe haben möchte:

Das „%“ Zeichen steht hier für eine Gruppe, für einzelne User einfach „%“ weglassen.

Quellen:

https://wiki.debian.org/AuthenticatingLinuxWithActiveDirectory
http://www.digitalllama.net/2013/05/join-debian-wheezy-to-windows-active.html