Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen angezeigt.
Nächste Überarbeitung | Vorhergehende Überarbeitung | ||
wiki:centos:ad-anbindung [2015/01/21 21:25] – angelegt wikiadmin | wiki:centos:ad-anbindung [2015/08/03 13:08] (aktuell) – wikiadmin | ||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
+ | Wenn man, wie bei vielen Arbeitsplätzen schon vorhanden, eine Nutzerauthentifizierung über Active Directory hat, wäre es doch schön, sich auch bei Linux-Rechnern über die AD authentifizieren zu können. | ||
+ | |||
+ | ====== Installation benötigter Pakete ====== | ||
+ | |||
+ | < | ||
+ | yum install realmd oddjob oddjob-mkhomedir sssd ntpdate | ||
+ | </ | ||
+ | |||
+ | ====== Zeitabgleich ====== | ||
+ | |||
+ | Bei einer Domänenanmeldung ist es wichtig, dass die Zeiten übereinstimmen.\\ | ||
+ | Ob die sychronisierung jetzt mit ntp oder chrony stattfindet, | ||
+ | |||
+ | |||
+ | < | ||
+ | systemctl stop chrony | ||
+ | ntpdate < | ||
+ | sytemctl enable chrony | ||
+ | systemctl start chrony | ||
+ | </ | ||
+ | |||
+ | Zeitgleichheit sieht man über die Übersicht '' | ||
+ | |||
+ | ====== Authentifizierung gegenüber AD ====== | ||
+ | |||
+ | < | ||
+ | |||
+ | Der User sollte berechtigt sein, Rechner in die Domäne aufzunehmen (Domänenadmin) | ||
+ | |||
+ | Wenn die anbidung funktiert hat, kann man sich mit dem Befehl '' | ||
+ | |||
+ | Ab sofort kann man sich per SSH auf dem Rechner mit seinem Domänen-Namen anmelden: \\ | ||
+ | __Format:__ < | ||
+ | |||
+ | ====== Abkürzung des Anmeldenahmens ====== | ||
+ | |||
+ | Um nicht bei jeder SSH-Anmeldung < | ||
+ | |||
+ | In der Datei ''/ | ||
+ | |||
+ | < | ||
+ | [sssd] | ||
+ | ... | ||
+ | default_domain_suffix = USERS.EXAMPLE.COM | ||
+ | </ | ||
+ | |||
+ | |||
+ | Um alle Änderungen am SSSD zu übernehmen, | ||
+ | < | ||
+ | systemctl restart sssd | ||
+ | </ | ||
+ | |||
+ | ===== Einschränkung des Nutzerkreises ===== | ||
+ | |||
+ | |||
+ | Wenn sich nur eine Bestimmete Person oder Gruppe per AD authentifizieren darf, kann man dies einschränken | ||
+ | |||
+ | In der Datei ''/ | ||
+ | |||
+ | < | ||
+ | [domain/ | ||
+ | ... | ||
+ | access_provider = simple | ||
+ | simple_allow_users = < | ||
+ | simple_allow_groups = < | ||
+ | </ | ||
+ | |||
+ | die User- und Gruppennamen findet man heraus, indem man sich diese mit '' | ||
+ | |||
+ | Um alle Änderungen am SSSD zu übernehmen, | ||
+ | < | ||
+ | systemctl restart sssd | ||
+ | </ | ||
+ | |||
+ | ====== AD-Verbindung trennen ====== | ||
+ | |||
+ | Nicht immer soll eine sssd-Verbindung von bestand bleiben. \ | ||
+ | Um den Rechner wieder aus der Domäne zu bekommen, empfiehlt sich der folgende Weg | ||
+ | |||
+ | < | ||
+ | |||
+ | ====== Debugging ====== | ||
+ | |||
+ | ===== GSSAPI funktioniert nicht? ===== | ||
+ | |||
+ | Loglevel erhöhen | ||
+ | |||
+ | <file sshd_config> | ||
+ | LogLevel DEBUG1 | ||
+ | </ | ||
+ | SSH neu starten und unter ''/ | ||
+ | |||
+ | |||
+ | |||
+ | |||
====== Quellen ====== | ====== Quellen ====== | ||
+ | |||
+ | - [[https:// | ||
- [[http:// | - [[http:// | ||
+ | - [[https:// | ||
+ | - [[https:// | ||
+ | - [[https:// | ||
+ | - [[https:// | ||
+ | - [[https:// | ||
+ | - [[https:// |