Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- wiki:centos:ad-anbindung [2015/02/11 13:37] – wikiadmin
+++ wiki:centos:ad-anbindung [2015/08/03 13:08] (aktuell) – wikiadmin
@@ Zeile 1: / Zeile 1: @@
-Wenn man wie bei vielen Arbeitsstellen eine Nutzerauthentifizierung über Active Directory hat, wäre es doch schön, sich auch bei Linux-Rechnern über die AD authentifizieren zu können.
+Wenn man, wie bei vielen Arbeitsplätzen schon vorhanden, eine Nutzerauthentifizierung über Active Directory hat, wäre es doch schön, sich auch bei Linux-Rechnern über die AD authentifizieren zu können.
 ====== Installation benötigter Pakete ======
@@ Zeile 24: / Zeile 24: @@
 ====== Authentifizierung gegenüber AD ======
-<file>realmd --join --user=<username>@<domain> <domain></file>
+<file>realm join --computer-ou=OU=Linuxrechner,DC=<domain> --user=<username>@<domain> <domain></file>
 Der User sollte berechtigt sein, Rechner in die Domäne aufzunehmen (Domänenadmin)
-Wenn die anbidung funktiert hat, kann man sich mit dem Befehl ''realmd list'' alle einstellungen lassen.
+Wenn die anbidung funktiert hat, kann man sich mit dem Befehl ''realm list'' alle einstellungen lassen.
 Ab sofort kann man sich per SSH auf dem Rechner mit seinem Domänen-Namen anmelden: \\
@@ Zeile 50: / Zeile 50: @@
 systemctl restart sssd
 </file>
+===== Einschränkung des Nutzerkreises =====
+Wenn sich nur eine Bestimmete Person oder Gruppe per AD authentifizieren darf, kann man dies einschränken
+In der Datei ''/etc/sssd/sssd.conf'' im Domänen-Teil folgendes eintragen
+<file>
+[domain/Domain]
+...
+access_provider = simple
+simple_allow_users = <username1>,<username2>
+simple_allow_groups = <Gruppenname>
+</file>
+die User- und Gruppennamen findet man heraus, indem man sich diese mit ''id <username | sed -e 's/,/\n/g' '' anzeigen lässt.
+Um alle Änderungen am SSSD zu übernehmen, muss der Dienst jetzt noch neugestartet werden
+<file>
+systemctl restart sssd
+</file>
+====== AD-Verbindung trennen ======
+Nicht immer soll eine sssd-Verbindung von bestand bleiben. \
+Um den Rechner wieder aus der Domäne zu bekommen, empfiehlt sich der folgende Weg
+<file>realm leave --user=<username>@<domain> <domain></file>
+====== Debugging ======
+===== GSSAPI funktioniert nicht? =====
+Loglevel erhöhen
+<file sshd_config>
+LogLevel DEBUG1
+</file>
+SSH neu starten und unter ''/var/log/secure'' den Fehler identifizieren
 ====== Quellen ======
+  - [[https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server#no1]]
   - [[http://www.hexblot.com/blog/centos-7-active-directory-and-samba]]
+  - [[https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/introduction.html]]
   - [[https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/SSSD-Introduction.html]]
   - [[https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/6/html/Deployment_Guide/sssd-user-ids.html]]
+  - [[https://docs.fedoraproject.org/en-US/Fedora/18/html/System_Administrators_Guide/config-sssd-domain-access.html]]
+  - [[https://www.freeipa.org/images/c/cc/FreeIPA33-sssd-access-control.pdf]]
+  - [[https://fedorahosted.org/sssd/wiki/DesignDocs/ActiveDirectoryAccessControl]]