In einer Organisationsumgebung ist es oft wünschenswert eine einheitliche Userauthentifizierung zu haben. Mit Active Directory (AD) bietet Microsoft ja schon seit Jahrzehnten so etwas. Um auch Linux einfach ins AD zu integrieren, gibt es Likewise Open.Auf einem Debian System ist dazu einfach nur das entsprechende Paket zu installieren:

apt-get install likewise-open (!veraltet!)

Likewise ist übrigens in PowerBroker Identity Service (Open Edition) übergegangen. Daher sind die Sourcen nunmehr dort zu beziehen.
Entweder direkt auf das System mit wget (Link zum aktuellen Paket gibt es bei beyondtrust) oder per (Win)SCP (im Binär-Modus!!!) auf den Server kopieren.

Den Installer ausführbar machen:

chmod a+x pbis-open-7.5.3.1536.linux.x86_64.deb.sh

Und ausführen.

Mit dem folgenden Befehl erfolgt der Domain-Join:

domainjoin-cli join MYDOMAIN.COM MyJoinAccount

Und damit ist es auch schon getan.

Nach dem Reboot kann mittels der nachfolgenden Befehler der Status überprüft werden:

domainjoin-cli query
/opt/pbis/bin/get-dc-name DOMAIN.COM
/opt/pbis/bin/get-status

Die Anmeldung am System erfolgt über folgendes Schema:

DOMAIN\username
Bsp.:
ssh 'domain\user'@hostname

bzw. auf der CLI (mit einem Escape-Character):

DOMAIN\\username
Bsp.:
ssh domain\\user@hostname

Damit nicht jeder User des ADs auf das System zugreifen kann, sollte der Zugriff auf bestimmte Gruppen beschränkt werden:

sudo lwconfig RequireMembershipOf "DOMAIN\\domain^admins" "DOMAIN\\unix^admins"

Achtung: in der Konfiguration muss letztlich ein einfacher Backslash „\“ auftauchen. Sollte dies mit obrigen Code nicht der Fall sein, einfach aus dem doppelten einen einfachen Backslash machen. Damit wird die Konfiguration überschrieben.
Zu testen ist dies mittels:

sudo lwconfig --show RequireMembershipOf
bzw.
sudo /opt/pbis/bin/config --show RequireMembershipOf

Um bestimmten Gruppen SuDo-Rechte zu geben:

# Members of the admin group may gain root privileges
%admin ALL=(ALL) ALL
%DOMAIN\\my^linux-AD^admin_group ALL=(ALL)ALL

Um bestimmten Nutzern SuDo-Rechte zu geben (das Prozentzeichen entfällt):

# Some admins may gain root privileges
localadministrator ALL=(ALL) ALL
DOMAIN\\some^single^domain-admin ALL=(ALL)ALL

Soll weiterhin der Zugriff per SSH-PubKey möglich sein (lwconfig ändert beim setup die sshd_config dahingehend ab) ist die entsprechende Änderung rückgängig zu machen (den Wert wieder auf „no“ setzen):

ChallengeResponseAuthentication no

Ist auch noch eine bestimmte Login-Shell gewünscht, kann diese per Template definiert werden:

/opt/pbis/bin/config LoginShellTemplate /bin/bash

Weiterhin kann auch die Default-Domain vorselektiert werden, damit diese nicht immer mit angegeben werden muss:

/opt/pbis/bin/config AssumeDefaultDomain 1

Weitere Details/Dokumentation gibt es direkt bei beyondtrust.

Share