openSUSE-Dokumentation
Kapitel 27. Unterstützung für Active Directory / 27.3. Konfigurieren eines Linux-Client für Active Directory
Zurück27.2. Hintergrundinformationen zur AD-Unterstützung unter Linux27.4. Anmeldung bei einer AD-DomäneWeiter

27.3. Konfigurieren eines Linux-Client für Active Directory

Bevor Ihr Client einer AD-Domäne beitreten kann, sind einige Anpassungen an der Netzwerkkonfiguration erforderlich, um eine fehlerfreie Interaktion von Client und Server zu gewährleisten.

DNS

Konfigurieren Sie Ihren Client-Computer für die Verwendung eines DNS-Servers, der DNS-Anfragen an den AD-DNS-Server weiterleiten kann. Konfigurieren Sie Ihren Computer alternativ für die Verwendung des AD-DNS-Servers als Quelle für Namendienstdaten.

NTP

Für eine erfolgreiche Kerberos-Authentifizierung muss die Zeit auf dem Client präzise eingestellt sein. Es wird dringend geraten, zu diesem Zweck einen zentralen NTP-Zeitserver zu verwenden. (Dies kann auch der NTP-Server sein, der auf Ihrem Active Directory-Domänencontroller ausgeführt wird.) Wenn der Zeitversatz zwischen Ihrem Linux-Host und dem Domain Controller eine bestimmte Grenze überschreitet, schlägt die Kerberos-Authentifizierung fehl und der Client wird nur mit der schwächeren NTLM-(NT LAN Manager-)Authentifizierung angemeldet.

DHCP

Wenn Ihr Client eine dynamische Netzwerkkonfiguration über DHCP verwendet, müssen Sie DHCP so konfigurieren, dass der Client stets dieselbe IP und denselben Hostnamen erhält. Verwenden Sie zur Sicherheit möglichst statische IP-Adressen.

Firewall

Für das Browsen in Ihrer Netzwerkumgebung müssen Sie entweder die Firewall vollständig deaktivieren oder die verwendete Schnittstelle als Bestandteil der internen Zone kennzeichnen.

Zur Änderung der Firewall-Einstellungen auf Ihrem Client melden Sie sich als "root" an und starten Sie das YaST-Firewall-Modul. Wählen Sie Interfaces (Schnittstellen) aus. Wählen Sie Ihre Netzwerkschnittstelle aus der Liste der Schnittstellen aus, und klicken Sie auf Change (Ändern). Wählen Sie Internal Zone (interne Zone) aus und übernehmen Sie die Einstellungen mit OK. Schließen sie die Firewall-Einstellungen mit Next (Weiter)+Accept (Übernehmen). Zur Deaktivierung der Firewall legen Sie einfach Service Start (Service starten) auf manually (manuell) fest und schließen Sie das Firewall-Modul mit Next (Weiter)+Accept (Übernehmen)

AD-Konto

Sie können sich erst bei einer AD-Domäne anmelden, wenn Ihnen der AD-Administrator ein gültiges Benutzerkonto für die Domäne eingerichtet hat. Verwenden Sie den AD-Benutzernamen und das AD-Passwort, um sich auf Ihrem Linux-Client bei der AD-Domäne anzumelden.

Binden Sie eine vorhandene AD-Domäne während der Installation an oder indem Sie später die SMB-Benutzerauthentifizierung mit YaST im installierten System aktivieren.

[Note]Anmerkung

Zurzeit kann nur ein Domänenadministratorkonto wie Administrator openSUSE an Active Directory anbinden.

Zum Anbinden einer AD-Domäne in einem laufenden System gehen Sie wie folgt vor:

  1. Melden Sie sich als "root" an und starten Sie YaST.

  2. Starten Sie Netzwerkdienste+Windows-Domänenmitgliedschaft.

  3. Geben Sie unter Domain or Workgroup (Domain oder Arbeitsgruppe) im Bildschirm Windows Domain Membership (Windows-Domänenmitgliedschaft) die Domäne an, der Sie beitreten möchten (siehe Abbildung 27.2, „Festlegen der Windows-Domänenmitgliedschaft“). Wenn die DNS-Einstellungen auf Ihrem Host korrekt in den Windows DNS-Server integriert sind, geben Sie den AD-Domänennamen in seinem DNS-Format ein (domain.firma.com). Wenn Sie den Kurznamen Ihrer Domäne eingeben (auch als Domänenname vor Windows 2000 bekannt), muss sich YaST auf die NetBIOS-Namensauflösung anstelle von DNS verlassen, um den korrekten Domänen-Controller zu finden. Soll stattdessen aus einer Liste der verfügbaren Domänen ausgewählt werden, listen Sie mithilfe von Durchsuchen die NetBIOS-Domänen auf und wählen Sie dann die gewünschte Domäne aus.

    Abbildung 27.2. Festlegen der Windows-Domänenmitgliedschaft

    Festlegen der Windows-Domänenmitgliedschaft

  4. Aktivieren Sie Zusätzlich SMB-Informationen für Linux-Authentifikation verwenden, um die SMB-Quelle für die Linux-Authentifizierung zu verwenden.

  5. Aktivieren Sie die Option Create Home Directory on Login (Home-Verzeichnis bei Anmeldung erstellen), um automatisch ein Home-Verzeichnis für den AD-Benutzer auf dem Linux-Computer zu erstellen.

  6. Aktivieren Sie die Option Offline-Authentifizierung, damit sich Ihre Domänenbenutzer anmelden können, selbst wenn der AD-Server vorübergehend nicht verfügbar oder keine Netzwerkverbindung vorhanden ist.

  7. Wählen Sie Experteneinstellungen aus, wenn Sie die UID- und GID-Bereiche für die Samba-Benutzer und -Gruppen ändern möchten. Let DHCP retrieve the WINS server (WINS-Server von DHCP abrufen lassen) (Standardeinstellung).

  8. Konfigurieren Sie die NTP-Zeit-Synchronisierung für Ihre AD-Umgebung, indem Sie NTP-Konfiguration auswählen und einen entsprechenden Servernamen oder eine Ip-Adresse eingeben. Dieser Schritt entfällt, wenn Sie bereits die entsprechenden Einstellungen im eigenständigen YaST NTP-Konfigurationsmodul eingegeben haben.

  9. Klicken Sie auf Verlassen und bestätigen Sie nach Aufforderung die Domänenverbindung.

  10. Geben Sie das Passwort für den Windows-Administrator auf dem AD-Server ein und klicken Sie auf OK (siehe Abbildung 27.3, „Angeben von Administratorberechtigungen“).

    Abbildung 27.3. Angeben von Administratorberechtigungen

    Angeben von Administratorberechtigungen

Nachdem Sie der AD-Domäne beigetreten sind, können Sie sich auf Ihrer Arbeitsstation über den Anzeige-Manager der Arbeitsoberfläche oder über die Konsole bei der Domäne anmelden.

Zurück27.2. Hintergrundinformationen zur AD-Unterstützung unter LinuxZum Anfang27.4. Anmeldung bei einer AD-DomäneWeiter