Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wiki:centos:ad-anbindung [2015/01/21 21:25] – angelegt wikiadmin
+++ wiki:centos:ad-anbindung [2015/08/03 13:08] (aktuell) – wikiadmin
@@ Zeile 1: / Zeile 1: @@
+Wenn man, wie bei vielen Arbeitsplätzen schon vorhanden, eine Nutzerauthentifizierung über Active Directory hat, wäre es doch schön, sich auch bei Linux-Rechnern über die AD authentifizieren zu können.
+====== Installation benötigter Pakete ======
+<file>
+yum install realmd oddjob oddjob-mkhomedir sssd ntpdate
+</file>
+====== Zeitabgleich ======
+Bei einer Domänenanmeldung ist es wichtig, dass die Zeiten übereinstimmen.\\
+Ob die sychronisierung jetzt mit ntp oder chrony stattfindet, ist eigentlich völlig egal. Hier die chrony-Variante
+<file>
+systemctl stop chrony
+ntpdate <NTP-Server> (Meist AD-Server)
+sytemctl enable chrony
+systemctl start chrony
+</file>
+Zeitgleichheit sieht man über die Übersicht ''chronyc sources''
+====== Authentifizierung gegenüber AD ======
+<file>realm join --computer-ou=OU=Linuxrechner,DC=<domain> --user=<username>@<domain> <domain></file>
+Der User sollte berechtigt sein, Rechner in die Domäne aufzunehmen (Domänenadmin)
+Wenn die anbidung funktiert hat, kann man sich mit dem Befehl ''realm list'' alle einstellungen lassen.
+Ab sofort kann man sich per SSH auf dem Rechner mit seinem Domänen-Namen anmelden: \\
+__Format:__ <username>@<domain>
+====== Abkürzung des Anmeldenahmens ======
+Um nicht bei jeder SSH-Anmeldung <username>@<domain> angeben zu müssen, emfiehlt es sich, die Domäne automisch hinzufügen zu lassen
+In der Datei ''/etc/sssd/sssd.conf'' im Globalen Teil folgendes eintragen
+<file>
+[sssd]
+...
+default_domain_suffix = USERS.EXAMPLE.COM
+</file>
+Um alle Änderungen am SSSD zu übernehmen, muss der Dienst jetzt noch neugestartet werden
+<file>
+systemctl restart sssd
+</file>
+===== Einschränkung des Nutzerkreises =====
+Wenn sich nur eine Bestimmete Person oder Gruppe per AD authentifizieren darf, kann man dies einschränken
+In der Datei ''/etc/sssd/sssd.conf'' im Domänen-Teil folgendes eintragen
+<file>
+[domain/Domain]
+...
+access_provider = simple
+simple_allow_users = <username1>,<username2>
+simple_allow_groups = <Gruppenname>
+</file>
+die User- und Gruppennamen findet man heraus, indem man sich diese mit ''id <username | sed -e 's/,/\n/g' '' anzeigen lässt.
+Um alle Änderungen am SSSD zu übernehmen, muss der Dienst jetzt noch neugestartet werden
+<file>
+systemctl restart sssd
+</file>
+====== AD-Verbindung trennen ======
+Nicht immer soll eine sssd-Verbindung von bestand bleiben. \
+Um den Rechner wieder aus der Domäne zu bekommen, empfiehlt sich der folgende Weg
+<file>realm leave --user=<username>@<domain> <domain></file>
+====== Debugging ======
+===== GSSAPI funktioniert nicht? =====
+Loglevel erhöhen
+<file sshd_config>
+LogLevel DEBUG1
+</file>
+SSH neu starten und unter ''/var/log/secure'' den Fehler identifizieren
 ====== Quellen ======
+  - [[https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server#no1]]
   - [[http://www.hexblot.com/blog/centos-7-active-directory-and-samba]]
+  - [[https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/introduction.html]]
+  - [[https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/SSSD-Introduction.html]]
+  - [[https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-user-ids.html]]
+  - [[https://docs.fedoraproject.org/en-US/Fedora/18/html/System_Administrators_Guide/config-sssd-domain-access.html]]
+  - [[https://www.freeipa.org/images/c/cc/FreeIPA33-sssd-access-control.pdf]]
+  - [[https://fedorahosted.org/sssd/wiki/DesignDocs/ActiveDirectoryAccessControl]]