Kategorie: 
Translate EN
Nutzt man keine Enterprise-Linux-Systeme wie SUSE Enterprise Linux oder Redhat Enterprise Linux, stellt sich die Integration in einen LDAP-Verzeichnisdienst wie das Active Directory manchmal als kleine Herausforderung dar. Ein Weg dies, auf Debian-Derivaten zu realisieren, ohne auf Samba zurückzugreifen, ist Powerbroker Identity Services Open (PBIS Open) von BeyondTrust, ehemals bekannt als Likewise Open.
In dem geschilderten Szenario wird der der NETBIOS Name „CONTOSO“ und der FQDN „contoso.com“ verwendet. Die Installation an sich gestaltet sich auch relativ simpel. Zuerst wird die neuste Version des entsprechenden Paketes von „https://github.com/BeyondTrust/pbis-open/releases/latest“ heruntergeladen. Als dieser Blogartikel entstanden ist, war dies die Version 8.5.7.385.
Hat man also die Datei heruntergeladen, so setzt man die entsprechenden Rechte mit „chmod +x pbis-open-*.sh“ und führt anschließend mit „./pbis-open-*.sh“ das Installationsscript aus. Nach wenigen Sekunden sollte das Script hoffentlich ungefähr das folgende Ergebnis bringen:
[..] New libraries and configurations have been installed for PAM and NSS. Please reboot so that all processes pick up the new versions. [..]
Sollte dem so sein, folgt man den Anweisungen und startet den Host einmal neu. Nach dem Neustart tritt man mit dem Kommando „/opt/pbis/bin/domainjoin-cli join contoso.com Administrator“ der Domäne bei.
Falls man die PAM-Config verändert hat, wird PBIS Open einen entsprechenden Hinweis geben. Führt man danach „pam-auth-update –force“ aus, wird die Standard PAM Config mit den entsprechenden PBIS Open Erweiterungen wiederhergestellt. Im Nachgang tätigt man noch ein wenig Finetuning wie folgt:
/opt/pbis/bin/config UserDomainPrefix CONTOSO #Setzt Standard NETBIOS Mask /opt/pbis/bin/config AssumeDefaultDomain true #Schaltet die Default Netbios Mask aktiv /opt/pbis/bin/config LoginShellTemplate /bin/bash #Setzt /bin/bash als Standardshell (vorher /bin/sh /opt/pbis/bin/config HomeDirTemplate %H/%U #Setzt Homedirectory Pfad auf /home/sAMAccountName /opt/pbis/bin/config RequireMembershipOf CONTOSO\\domain-users #Erlaubt allen Domain Users den Login auf dem Server (der doppelte Backslash ist hier notwendig, da sonst ein Escape Sign intepretiert wird)
Nachdem diese Kommandos ausgeführt worden und keine Fehler während der Installation und Konfiguration aufgetreten sind, kann man sich mit einem Domain-User einloggen. Um zu testen, ob der Gruppenabruf und das GID-Mapping problemlos funktioniert, kann man mit „/opt/pbis/bin/find-group-by-name domain-admins“ alle Mitglieder und Eigenschaften einer Gruppe anzeigen lassen.
Um eine Active Directory Gruppe auf dem Linux System zu privilegieren, kann man nun diese Gruppen auch in der sudoers Datei autorisieren. Hierfür fügt man z.B. eine Zeile wie folgt an die Datei „/etc/sudoers“:
%domain-admins ALL=(ALL:ALL) ALL #Wichtig: Gruppennamen kleinschreiben
Ein kurzer Test (z.B. „sudo -i“) mit einem User in der entsprechenden Gruppe gibt Auskunft darüber, ob dies funktioniert hat.
Natürlich kann man diese Gruppen auch verwenden, um beispielsweise Samba Shares damit zu berechtigen. Hierfür installiert man wie gewohnt das samba Paket und führt im Nachgang das Kommando „/opt/pbis/bin/samba-interop-install –install“ aus, um die Samba entsprechend zu konfigurieren. Eine entsprechende smb.conf kann danach z.B. wie folgt aussehen:
[global] security = ADS workgroup = CONTOSO realm = contoso.com machine password timeout = 0 [ExampleFileshareName] path = /mnt/examplefilestore read only = no valid users = @"CONTOSO\domain-users"
Hat man hierbei Schwierigkeiten, so findet man recht gute Diagnose Hilfe in den BeyondTrust Docs (http://bit.ly/2jGwq3r) dazu.
http://faq-o-matic.net/?p=8063
