Active Directory
Achtung dieser Artikel ist noch in Arbeit und dient vorläufig nur als Vorlage. Dieser Beitrag zu Linux oder der Abschnitt ist in Bearbeitung. Weitere Informationen findest du hier. Der Ersteller arbeitet an dem Beitrag oder Abschnitt und entsorgt den Wartungsbaustein spätestens 3 Tage nach der letzten Bearbeitung. Änderungen außer Rechtschreibkorrekturen ohne Absprache mit dem Urspungsautor sind möglichst zu vermeiden, solange dieser Baustein noch innerhalb der genannten Frist aktiviert ist. |
--ThomasF 07:51, 29. Jun 2007 (CEST)
Active Directory | |
---|---|
Basisdaten | |
Entwickler: | Microsoft |
Aktuelle Version: | |
letzte Veröffentlichung: | |
Betriebssystem: | Windows |
Kategorie: | Samba LDAP |
Lizenz: | |
Deutschsprachig: | |
Webseite: |
Autor: ThomasF
Es mag vielleicht merkwürdig erscheinen das ich hier in einem Linux Wiki die Active Directory von Microsoft so direkt thematisiere
Bei näherer Betrachtung macht es jedoch Sinn sich mit diesem Thema zu beschäftigen. In einem heterogenen Netzwerk ist es z.B. durchaus üblich Linux Clients an einen Microsoft Domain Controller anzubinden.
Anderseits beruht der ADS von Microsoft auf LDAP das einen offenen Standard darstellt.
Das Thema LDAP wiederum hat viele Schnittstellen zu anderen Themen und Anwendungen die LDAP als zentrale Datenbank nutzen können.
Ich möchte nun hier versuchen eine Sammlung von Problemen und deren Lösungen zu sammeln die die Active Directory als LDAP Datenbank direkt oder indirekt betreffen. Dazu gehört auch das Thema Kerberos das in Bezug auf echtes SSO (Single-Sign-On) gerade in letzter Zeit an verschiedenen Stellen aufgegriffen wird ( siehe z.B. ix Artikel 03/07 - 05/07)
Geplante Themen :
Inhaltsverzeichnis
Installation eines Active Directory / Aufbau einer Testumgebung
Hier an dieser Stelle soll nun keine detaillierte Installationsanleitung entstehen. Wer sich mit der Installation und Konfiguration eines Windows Servers beschäftigt wird im Internet eine Reihe guter Anleitungen finden können. Vielmehr sollen hier die Rahmenbedingungen für eine Testumgebung definiert werden sodass im weiteren Verlauf darauf Bezug genommen werden kann.
Durch die weitreichende Integration der DNS Auflösung in der Active Directory legen wir nun als erstes die "Domain", den Servernamen und die IP Adressen unserer Umgebung fest :
Domain : meinefirma.de
Servername : PDC
IP Adressbereich : 192.168.1.0/24
Bei der Installation des Windows 2003 Server wird nun zunächst das Grundsystem installiert wobei jedoch noch keine "Aufgabe" des Server festgelegt werden muss. Es folgt die Installation der Support-Tools, am besten gleich auch die Services für Unix (SFU) und der Updates.
Der nächste Schritt ist nun die Installation und Konfiguration des DNS Servers. An dieser Stelle soll nochmals auf den Zusammenhang zwischen DNS und dem späteren Aufbau der Active Directory hingewiesen werden. Man sollte also keinesfalls leichtfertig oder vorschnell irgendwelche Entscheidungen in Bezug auf die Namensgebung treffen die sich später nicht mehr so einfach ändern lassen.
... to be continued ...
Möglichkeiten der Authentifizierung an der ADS
Passwortbasierte Methode
Kerberos
Samba und die ADS
Diverses
Probleme von Linux Clients bei der Anbindung an einem Microsoft Server
Eines der bekanntesten Probleme ist das Mounten der Homeverzeichnisse eines Linux Clients von einem Windows Servers oder auch eines Samba-Shares.
Zwar ist das Mounten an sich kein Problem mehr, da es mit pam_mount einen Mechanismus gibt der gleich bei der Authentifizierung das Verzeichnis einbindet, ohne darauf angewiesen zu sein das Passwort im Klartext aus einer Datei lesen zu müssen, dennoch unterstützt dieses Filesystem nicht alle Features die ein Linux Client benötigt.
Ein Beispiel hierfür stellen die Sockets dar. Im Homeverzeichnis eines Linux Users trifft man diese zwar selten an, aber zum Beispiel KDE und Gnome nutzen sie.
/home/user/.kde/socket-rechnername -> /tmp/ksocket-user
Dies ist auch der Fall wenn auf dem Windows-Server die Homes per NFS exportiert werden.
Ein Workaround für dieses Problem besteht darin KDE aufzufordern das .kde Verzeichnis nicht im Home des Users zu suchen sondern Beispielsweise direkt in /tmp Ein Script muss dann dafür sorgen dieses Verzeichnis mit dem im Home des Users syncron zu halten.
Siehe auch -> HowTo der Uni Rostock
Dieser Workaround ist jedoch nur Suboptimal. Bei einem Absturz von KDE wird Beispielsweise der Sync nicht durchgeführt und alle in dieser Sitzung durchgeführten Änderungen sind verloren, es sei denn der Sync wird dann per Hand nachgeholt.
Eine andere Lösung wäre in diesem Fall einen eigenen NFS Server unter Linux für die Linux Clients bereit zu stellen, und die reinen Daten der User an anderer Stelle einzubinden.
... to be continued
siehe auch
Quellen und weiterführende Links
- Active Directory in der Wikipedia
- Microsofts Active Directory Seite
- Microsoft
- SRV records
- WINS (Windows Internet Naming Service)
- Distributed Management Task Force
- Deutsches Debian-Samba-LDAP HowTo (samba-ldap.de)
- HowTo der Uni Rostock
- Hier Links zu dem Thema eintragen