Active Directory

Autor: ThomasF

Es mag vielleicht merkwürdig erscheinen das ich hier in einem Linux Wiki die Active Directory von Microsoft so direkt thematisiere

Bei näherer Betrachtung macht es jedoch Sinn sich mit diesem Thema zu beschäftigen. In einem heterogenen Netzwerk ist es z.B. durchaus üblich Linux Clients an einen Microsoft Domain Controller anzubinden.

Anderseits beruht der ADS von Microsoft auf LDAP das einen offenen Standard darstellt.

Das Thema LDAP wiederum hat viele Schnittstellen zu anderen Themen und Anwendungen die LDAP als zentrale Datenbank nutzen können.

Ich möchte nun hier versuchen eine Sammlung von Problemen und deren Lösungen zu sammeln die die Active Directory als LDAP Datenbank direkt oder indirekt betreffen. Dazu gehört auch das Thema Kerberos das in Bezug auf echtes SSO (Single-Sign-On) gerade in letzter Zeit an verschiedenen Stellen aufgegriffen wird ( siehe z.B. ix Artikel 03/07 - 05/07)

Geplante Themen :

Vergleich mit Openldap und Einsatzort der ADS

Möglichkeiten der Authentifizierung an der ADS

Passwortbasierte Methode

Kerberos

Samba und die ADS

Diverses

Probleme von Linux Clients bei der Anbindung an einem Microsoft Server

Eines der bekanntesten Probleme ist das Mounten der Homeverzeichnisse eines Linux Clients von einem Windows Servers oder auch eines Samba-Shares.

Zwar ist das Mounten an sich kein Problem mehr, da es mit pam_mount einen Mechanismus gibt der gleich bei der Authentifizierung das Verzeichnis einbindet, ohne darauf angewiesen zu sein das Passwort im Klartext aus einer Datei lesen zu müssen, dennoch unterstützt dieses Filesystem nicht alle Features die ein Linux Client benötigt.

Ein Beispiel hierfür stellen die Sockets dar. Im Homeverzeichnis eines Linux Users trifft man diese zwar selten an, aber zum Beispiel KDE und Gnome nutzen sie.

/home/user/.kde/socket-rechnername -> /tmp/ksocket-user

Ein Workaround für dieses Problem besteht darin KDE aufzufordern das .kde Verzeichnis nicht im Home des Users zu suchen sondern Beispielsweise direkt in /tmp Ein Script muss dann dafür sorgen dieses Verzeichnis mit dem im Home des Users syncron zu halten.

... to be continued

siehe auch

• SUSE in Win2000 Domain und Acitve Directory
• Linux und active directory

Quellen und weiterführende Links

• Active Directory in der Wikipedia
• Microsofts Active Directory Seite
• Microsoft
• SRV records
• WINS (Windows Internet Naming Service)
• Distributed Management Task Force
• Deutsches Debian-Samba-LDAP HowTo (samba-ldap.de)
• HowTo der Uni Rostock

• Hier Links zu dem Thema eintragen

zurück zu Samba
zurück zu LDAP