Linux-Integration in ADS Domains

Ein paar Notizen und Informationen zum Thema ADS-Integration mit Linux

1. ADS-Integration über den Kerberos-Client

/etc/krb5.conf


default_realm = DC.EXAMPLE.COM
[realms]
DC.EXAMPLE.COM = {
kdc = DC.AD.example.com
default_domain = ad.example.com
}
[domain_realm]
.ad.example.com = AD.EXAMPLE.COM
.ipa.example.com = AD.EXAMPLE.COM

2. ADS-Integration via Windbind:

Der Samba Server muss hierfür gar nicht vollständiginstalliert sein! Es genügen die windbind Komponenten und die passenden Einträge in der smb.conf

/etc/samba/smb.conf

...
[global]
workgroup = ADXY
# sign outgoing packages
client signing = yes
# Enables Kerberos auth
client use spnego = yes
kerberos method = secrets and keytab
log file = /var/log/samba/%m.log
password server = DCxy.ADxy.EXAMPLE.COM
realm = ADxy.EXAMPLE.COM
14
security = ads
...

Machine hinzufuegen
net ads join -k
klist -k
Bestehendes KRB Ticket killen
kdestroy

Login ueber Maschinen Account
kinit -k HOSTNAME$
klist

3. SSSD direkt gegen AD authentisieren:

/etc/sssd/sssd.conf:

[domain/adxy.example.com]
cache_credentials = True
krb5_store_password_if_offline = True
id_provider = ad
ad_domain = ADxy.EXAMPLE.COM
ad_server = dcxy.adxy.example.com


[sssd]
services = nss, pam, ssh
config_file_version = 2
domains = adxy.example.com
[nss]
[pam]
[sudo]
[autofs]
[ssh]
[pac]

und dann natürlich die vollständige Integration über den IPA-Client.