Benutzer-Werkzeuge

Webseiten-Werkzeuge


it:linux:redhat-ad-anbindung

RedHat linux an Windows Domäne anbinden

Um die personalisierte Anmeldung auf RedHat Systeme zu verwirklichen, sollten die clients an LDAP Server (z.B.: Windows AD) angebunden werden.
Am einfachtsen kann dieses mit authconfig script durchgeführt werden.
Hier ist ein Beispiel mit den von uns benutzten Parameter
Voraussetzung:
Folgende Packete sollen installiert sein:

authconfig
authconfig-gtk
xorg-x11-xauth
xorg-x11-fonts*
krb5-workstation
oddjob-mkhomedir
samba
samba-client
samba-common
samba-winbind
samba-winbind-clients
nscd

Folgende dienste müssen in runlevel gestartet sein:

chkconfig nscd on
chkconfig smb on
chkconfig winbind on
chkconfig oddjobd on

Falls lokal und auf AD user mit gleichem Namen verwendet werden, Service nscd anpassen,
oder einen AD-user vor der Anmeldung ausschließen mit:
unter

 /etc/pam.d/password-auth

Neue Zeile einfügen:

auth        requisite     pam_succeed_if.so user != domainname\von-der-anmeldung-ausgeschlossener-AD-username

/home muss vorhanden sein, sonst muss smb konfig angepaßt werden.

authconfig --enableshadow --passalgo=sha512 --disablefingerprint --enablewinbind --enablewinbindauth --enablewinbindusedefaultdomain --enablewinbindoffline --enablemkhomedir --winbindtemplateshell=/bin/bash --smbsecurity ads --smbservers=adservername1.xxx,adservername2.xxx --smbworkgroup=DOMAINNAME--smbrealm=DOMAINNAME-FQN.xxx --winbindjoin=benutzername%passwort --updateall


Danach OS rebooten, und falls die Domainname Auflösung und entsp. Portfreischaltungen funktionieren,
kann AD Authentifizierung auf dem linux client durchgeführt werden.

P.S.: das ganze macht dann auch Sinn wenn lokale super Benutzer root von SSH Anmeldung ausgeschlossen wird.
Nach der Anmdelung mit AD-user kann man dann mit sudo -i zu root Rechten wechseln,
oder mit su - lokaluser zu einem der lokalen user.
Alle logins werden dabei mit AD-user gelogt.

~~UP~~

it/linux/redhat-ad-anbindung.txt · Zuletzt geändert: 2019/05/14 21:16 von 127.0.0.1