Domänenbeitritt mit Debian 8 Jessie

Beim Aufbau einer VMware vSphere Umgebung sollte der Debian 8 Server ein Mitgliedsserver der Domäne justit.eu werden. Seit mehreren Jahren ist der Beitritt von GNU/Linux Maschinen zu einer Domäne möglich. Seit Debian 8 und freundlicher Unterstützung der Leute von RedHat (realmd), ist es jetzt auch keine Wissenschaft mehr.

Mit Debian 8 gibt es eine neue Option für den Beitritt zu einer Domäne. Realmd gestaltet den Domänenbeitritt sehr einfach. Was bringt das für Vorteile? Ein sehr praktischer Vorteil ist, dass ein Administrator der Domäne justit.eu, seine Aufgaben auch auf dem Debian 8 Server (Linux-Servern) ausführen kann.

Realmd wird uns auf dem Weg zur Domänenmitgliedschaft begleiten, ein paar Konfigurationen müssen trotzdem noch vorgenommen werden.

Diese Voraussetzungen sollten gegeben sein:

Debian 8 (prüfen kann man das z.B. mit „lsb_release -da“)
die Netzwerkkonfiguration ist richtig (richtiger DNS-Server konfiguriert)
ein Domänen-Account, der den Computer zur Domäne hinzufügen kann (z.B. Domänen-Administrator), ist vorhanden

Im ersten Schritt wird realmd installiert. Bei dieser Debian Installation war das Paket schon installiert, so dass es nicht mehr manuell nachinstalliert werden musste.

sudo apt-get -y install realmd

Im Idealfall werden mit realmd, auch alle benötigten Pakete installiert die zum Domänenbeitritt benötigt werden. Soweit in der Theorie, deshalb habe ich auch noch die Pakete adcli und sssd manuell installiert. Außerdem, da beim Active Direcotry die Zeit ein wichtiger Faktor ist, noch geprüft ob das ntp Paket installiert ist. Sollte das Paket sudo noch nicht auf der betreffenden Maschine vorhanden sein, muss dieses installiert werden. Als root setzt man die Befehle auch ohne sudo ab, es wird aber im weiteren Verlauf des Setups noch benötigt.

Um Benutzer zu den sudoern hinzuzufügen, kann man danach folgenden Befehl Absetzen „sudo usermod -aG sudo Benutzername„. In unserer Domänenumgebung können wir das später aber auch mit Gruppen machen und nicht auf einzelne Benutzer!

sudo apt-get -y install ntp adcli sssd sudo

Damit der Domänenbeitritt nachher gelingt, muss ein Unterverzeichnis im Samba Verzeichnis erstellt werden.

sudo mkdir -p /var/lib/samba/private

Als nächstes wird der sssd Dienst gestartet.

sudo systemctl enable sssd

Ab hier sollte es auch möglich sein eine Anfrage an die Domäne abzusetzen. Die Domäne justit.eu muss hier auf die jeweiligen Bedürfnisse angepasst werden.

sudo realm discover justit.eu

Das Ergebnis könnte dann so aussehen.

justit.eu
type: kerberos
realm-name: JUSTIT.EU
domain-name: justit.eu
configured: no
server-software: active-directory
client-software: sssd
required-package: sssd-tools
required-package: sssd
required-package: libnss-sss
required-package: libpam-sss
required-package: adcli
required-package: samba-common-bin

Die Abfrage funktionierte problemlos ohne Fehler, daher können wir einen Domänenbeitritt machen. Dies geschieht mit realm join. Auch jetzt muss die Domäne justit.eu auf die Bedürfnisse angepasste werden. Sollte für den Beitritt nicht der Benutzer Administrator verwendet werden, muss hier auch ein anderer Benutzer eingetragen werden.

sudo realm join --user=administrator justit.eu

Jetzt sollte nach einem Kennwort für den Benutzer gefragt werden. Außerdem werden noch benötigte Pakete nachinstalliert.

Password for administrator: ************
* Installing necessary packages: samba-common-bin, sssd-tools

Von jetzt an sollte der Debian 8 Server, Benutzer gegenüber des Active Directory authentifizieren können. Jetzt wird der Dienst sssd gestartet.

sudo systemctl start sssd

Um zu prüfen ob der Beitritt geklappt hat, wird jetzt geprüft ob es einen Passworteintrag für den Benutzer gibt.

sudo getent passwd administrator@justit.eu

Wenn hier etwas wiedergegeben wird dass wie eine Zeile aus der /etc/passwd für den Benutzer administrator aussieht, hat alles geklappt.

Jetzt fehlt noch das Homeverzeichnis für den Domänen Benutzer und die lokalen Administratorprivilegien für Administratoren aus der Domäne.

echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | sudo tee -a /etc/pam.d/common-session

Mit dieser Befehl wird PAM gesagt das es ein Homeverzeichnis für alle Authentifizierten Benutzer erstellen soll. Als Default-Profil wird hierfür der Inhalt aus /etc/skel genommen. An dieser Stelle können auch wieder Änderungen an die eigenen Bedürfnisse gemacht werden.

Typisch für eine Domäne ist, dass Domänen-Administratoren auch lokale Administratorberechtigungen auf Domänencomputer haben. Damit das auch in diesem Debian-Setup klappt, wird ein weiteres Paket, für die Kommunikation von sssd und sudo benötigt.

sudo apt-get install libsss-sudo

echo "%Domänen-Admins@justit.eu ALL=(ALL) ALL" | sudo tee -a /etc/sudoers.d/DomainAdmins

Der zweite Befehl legt eine Datei mit dem Namen DomainAdmins im Verzeichnis für sudoers an. Dieses Verzeichnis wird standardmäßig überwacht.

#
# As of Debian version 1.7.2p1-1, the default /etc/sudoers file created on
# installation of the package now includes the directive:
#
#       #includedir /etc/sudoers.d
#

In die Datei wird die Gruppe ( % ) der Domänen-Administratoren eingetragen. Hierbei ist darauf zu achten das die Schreibweise des Gruppennamen case-sensitiv ist!

Anstatt der Gruppe der Domänen-Administratoren kann man natürlich auch andere Gruppen hier eintragen. Als Beispiel kann man eine neue Gruppe nur für Linux-Administratoren erstellen.

Mit dem letzten Befehl sollte der Active Directory Domänenbenutzer (mit der richtigen Gruppenzugehörigkeit) automatisch in die Gruppe der sudoers aufgenommen sein. Heißt, solch ein Benutzer kann mit Hilfe des Befehls sudo Administrative Aufgaben ausführen. Als Beispiel könnte er nach Updates suchen „sudo apt-get updates“. Das kann ein unprivilegierte Benutzer normalerweise nicht.

Alle Anweisungen wurden in einem Bash-Skript zusammengefasst, es steht als Download bereit. Zum ausführen des Bash-Skripts wird das Paket sudo benötigt. Das Bash-Skript muss mit „chmod +x Dateiname“ noch ausführbar gemacht werden.