Know How
Page tree

Versions Compared

Old Version 5

changes.mady.by.user Klaus Keipke

Saved on

compared with

New Version Current

changes.mady.by.user Klaus Keipke

Saved on

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.

...

 

Verwendete Konfiguration

VariableWertBeschreibung
meinserverlemaker.fritz.boxServer der Domaincontroller ist
IPADRESSE192.168.101.18IP-Adresse des Domaincontrollers
example.comlemaker.fritz.boxDomain
EXAMPLEMBalternative Workgroup
UBUNTUubuName des Linuxcomputers der in die Domain aufgenommen werden soll
und auf dem die hier beschriebene Konfiguration stattfindet

Vorbereitung der Installation

...

Die Namenauflösung wird getestet in dem man auf den Domaincontroller, einen internen Namen und auf einen beliebigen anderen Server außerhalb des Subnetzes einen ping absetzt.

Code Block
titlePrüfung auf den Namen des Domaincontrollers
root@ubu:~# ping -c 1 lemaker.fritz.box
PING lemaker.fritz.box (192.168.101.18) 56(84) bytes of data.
64 bytes from lemaker.fritz.box (192.168.101.18): icmp_seq=1 ttl=64 time=13.8 ms

--- lemaker.fritz.box ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 13.853/13.853/13.853/0.000 ms
Code Block
titlePrüfung auf einen internen Namen innerhalb der Domainstruktur
root@ubu:~# host -t SRV _kerberos._udp.lemaker.fritz.box
_kerberos._udp.lemaker.fritz.box has SRV record 0 100 88 lemaker.lemaker.fritz.box.
root@ubu:~#
Code Block
titlePrüfung auf einen Namen außerhalb des Subnetzes
root@ubu:~# ping -c 1 t-online.de
PING t-online.de (217.6.164.162) 56(84) bytes of data.
64 bytes from www.t-online.de (217.6.164.162): icmp_seq=1 ttl=249 time=22.9 ms

--- t-online.de ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 22.902/22.902/22.902/0.000 ms
root@ubu:~#

Lokale host-Datei anpassen

Die Sache ist offensichtlich sehr wichtig und birgt große Fehlerquellen.
Es ist daher sehr wichtig hier die korrekten Namen für die beteiligten Computer zu verwenden.
Siehe Abschnitt "Verwendete Konfiguration" 

...

title/etc/hosts

...

DNS-Konfiguration ggf. anpassen

Ist die o.g. Prüfung der Namensauflösung negativ verlaufen und werden insbesondere die internen Namen der Domainstruktur nicht aufgelöst, so muss die DNS-Konfiguration angepasst werden.

Soll-Konfiguration: Der DNS-Server ist gleich dem Domaincontroller.

Die beste Möglichkeit ist die Einstellung über das Tool /usr/bin/network-admin (als User "root" auf einer grafischen Oberfläche)

Gallery
includeLabelnetwork-admin
sortname

Lokale host-Datei anpassen

Die Sache ist offensichtlich sehr wichtig und birgt große Fehlerquellen.
Es ist daher sehr wichtig hier die korrekten Namen für die beteiligten Computer zu verwenden.
Siehe Abschnitt "Verwendete Konfiguration" 

Code Block
title/etc/hosts
127.0.0.1	ubu.lemaker.fritz.box localhost ubu
#127.0.1.1	ubu
192.168.101.18	lemaker.fritz.box lemaker

# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

ntp-Dienst prüfen

Für den ordnungsgemäßen Betrieb innerhalb einer Domain ist es wichtig, dass alle Computer an der Domain die gleiche Zeit verwenden.
Dies erreicht man am besten in dem man einen netzbasierten Zeitserver verwendet (ntp = Network Time Protocol")

Häufig ist dies bei einer Ubuntu-Installation bereits gegeben.

Prüfung:

Code Block
#Ist ntpdate installiert?
root@ubuntu:~# type ntpdate
ntpdate is /usr/sbin/ntpdate
 
#Versuch eines Zeitupdates
root@ubuntu:~# ntpdate -u de.pool.ntp.org
16 Jan 17:42:07 ntpdate[1784]: adjust time server 89.163.209.233 offset 0.299721 sec
root@lemaker:~#
  
#Ist die regelmäßige Zeitsynchronisation aktiv ?
root@ubuntu:~# service ntp status
 * NTP server is running
root@ubuntu:~#

 

Installation / Konfiguration

...

Danach muss noch die Kerberos-Konfigurationsdatei kontrolliert / angepasst werden.
Wie bereits erwähnt: Nur wenn man ADS verwenden möchte....

Code Block
title/etc/krb5.conf
collapsetrue
[logging]
    default = FILE:/var/log/krb5.log

[libdefaults]
	default_realm = LEMAKER.FRITZ.BOX

# The following krb5.conf variables are only for MIT Kerberos.
	krb4_config = /etc/krb.conf
	krb4_realms = /etc/krb.realms
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true
	ticket_lifetime = 24000
	clock_skew = 300

# The following libdefaults parameters are only for Heimdal Kerberos.
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	fcc-mit-ticketflags = true

[realms]
	LEMAKER.FRITZ.BOX = {
		kdc = lemaker.fritz.box:88
		admin_server = lemaker.fritz.box:464
		default_domain = LEMAKER.FRITZ.BOX
	}

[domain_realm]
	.lemaker.fritz.box = LEMAKER.FRITZ.BOX
	lemaker.fritz.box = LEMAKER.FRITZ.BOX

[login]
	krb4_convert = true
	krb4_get_tickets = false

...

Code Block
root@ubu:~# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: Administrator@LEMAKER.FRITZ.BOX

Valid starting       Expires              Service principal
29.01.2016 22:43:29  30.01.2016 05:23:23  krbtgt/LEMAKER.FRITZ.BOX@LEMAKER.FRITZ.BOX
root@ubu:~#

Samba konfigurieren

code
root@ubu:~#

Samba konfigurieren

Code Block
title/etc/samba/smb.conf
collapsetrue
[global]
   security = ads
   realm = LEMAKER.FRITZ.BOX
   #Der folgende Eintrag wird nicht benötigt
   #password server = IPADRESSE     #IP des Domain Controllers

   workgroup = MB
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   winbind cache time = 10
   winbind use default domain = yes
   template homedir = /home/%U
   template shell = /bin/bash
   client use spnego = yes
   client ntlmv2 auth = yes
   encrypt passwords = yes
   restrict anonymous = 2
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   server string = %h server (Samba, Ubuntu)
   dns proxy = no
   log file = /var/log/samba/log.%m
   max log size = 1000
   syslog = 0
   panic action = /usr/share/samba/panic-action %d
   server role = member server
   passdb backend = tdbsam
   obey pam restrictions = yes
   unix password sync = yes
   passwd program = /usr/bin/passwd %u
   passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
   pam password change = yes
   map to guest = bad user
   usershare allow guests = yes

[printers]
   comment = All Printers
   browseable = no
   path = /var/spool/samba
   printable = yes
   guest ok = no
   read only = yes
   create mask = 0700

[print$]
   comment = Printer Drivers
   path = /var/lib/samba/printers
   browseable = yes
   read only = yes
   guest ok = no

...

Code Block
root@ubu:~# net ads join -U Administrator 
Enter Administrator's password:
Using short short domain name -- MB
Joined 'UBU' to dns domain 'lemaker.fritz.box'
root@ubu:~#

Wenn beim Beitritt zur Domain der folgende Fehler auftritt ...

Code Block
No DNS domain nameconfigured -- MB
Joined 'UBU'for <COMPUTERNAME>. Unable to dnsperform domain 'lemaker.fritz.box'
root@ubu:~#DNS Update.
DNS update failed: NT_STATUS_INVALID_PARAMETER

... dann bitte nochmal den Abschnitt "Lokale host-Datei anpassen" lesen und hostdatei korrekt anpassen.

Danach winbind-Service starten

...