Active Directory

Aus Linupedia.org
Version vom 27. Juni 2007, 10:29 Uhr von ThomasF (Diskussion | Beiträge) (Probleme von Linux Clients bei der Anbindung an einem Microsoft Server)
Wechseln zu: Navigation, Suche

Autor: ThomasF

Es mag vielleicht merkwürdig erscheinen das ich hier in einem Linux Wiki die Active Directory von Microsoft so direkt thematisiere

Bei näherer Betrachtung macht es jedoch Sinn sich mit diesem Thema zu beschäftigen. In einem heterogenen Netzwerk ist es z.B. durchaus üblich Linux Clients an einen Microsoft Domain Controller anzubinden.

Anderseits beruht der ADS von Microsoft auf LDAP das einen offenen Standard darstellt.

Das Thema LDAP wiederum hat viele Schnittstellen zu anderen Themen und Anwendungen die LDAP als zentrale Datenbank nutzen können.

Ich möchte nun hier versuchen eine Sammlung von Problemen und deren Lösungen zu sammeln die die Active Directory als LDAP Datenbank direkt oder indirekt betreffen. Dazu gehört auch das Thema Kerberos das in Bezug auf echtes SSO (Single-Sign-On) gerade in letzter Zeit an verschiedenen Stellen aufgegriffen wird ( siehe z.B. ix Artikel 03/07 - 05/07)

Geplante Themen :

Vergleich mit Openldap und Einsatzort der ADS

Möglichkeiten der Authentifizierung an der ADS

Passwortbasierte Methode

Kerberos

Samba und die ADS

Diverses

Probleme von Linux Clients bei der Anbindung an einem Microsoft Server

Eines der bekanntesten Probleme ist das Mounten der Homeverzeichnisse eines Linux Clients von einem Windows Servers oder auch eines Samba-Shares.

Zwar ist das Mounten an sich kein Problem mehr, da es mit pam_mount einen Mechanismus gibt der gleich bei der Authentifizierung das Verzeichnis einbindet, ohne darauf angewiesen zu sein das Passwort im Klartext aus einer Datei lesen zu müssen, dennoch unterstützt dieses Filesystem nicht alle Features die ein Linux Client benötigt.

Ein Beispiel hierfür stellen die Sockets dar. Im Homeverzeichnis eines Linux Users trifft man diese zwar selten an, aber zum Beispiel KDE und Gnome nutzen sie.

/home/user/.kde/socket-rechnername -> /tmp/ksocket-user

Dies ist auch der Fall wenn auf dem Windows-Server die Homes per NFS exportiert werden.

Ein Workaround für dieses Problem besteht darin KDE aufzufordern das .kde Verzeichnis nicht im Home des Users zu suchen sondern Beispielsweise direkt in /tmp Ein Script muss dann dafür sorgen dieses Verzeichnis mit dem im Home des Users syncron zu halten.

Siehe auch -> HowTo der Uni Rostock

Dieser Workaround ist jedoch nur Suboptimal. Bei einem Absturz von KDE wird Beispielsweise der Sync nicht durchgeführt und alle in dieser Sitzung durchgeführten Änderungen sind verloren, es sei denn der Sync wird dann per Hand nachgeholt.

Eine andere Lösung wäre in diesem Fall einen eigenen NFS Server unter Linux für die Linux Clients bereit zu stellen, und die reinen Daten der User an anderer Stelle einzubinden.

... to be continued

siehe auch

Quellen und weiterführende Links

  • Hier Links zu dem Thema eintragen

zurück zu Samba
zurück zu LDAP