Zugriff auf Active-Directory-Shares von Linux

© unopix, 123RF

Frisch verheiratet

Linux-Rechner lassen sich mit Kerberos-Authentifizierung in Active-Directory-Domänen einbinden. Dieser Artikel führt die manuelle Konfiguration vor und zeigt den bequemen Weg über Likewise Open.
Beinahe enzyklopädisch behandelt unser Schwerpunkt-Artikel über IPSEC verschlüsselte Verbindungen zwischen Linux, Windows, BSD, Solaris, Cisco- sowie ... (mehr)

Auch wenn viele Administratoren Windows zum Teufel wünschen, müssen sie sich in der Praxis häufig damit abfinden, dass es in einer Firma nicht nur Windows-Desktop-Rechner, sondern auch -Server gibt. Wer es schafft, Linux-Desktop-Computer in so einer Umgebung einzuführen, muss dennoch auf die eine oder andere Art auch Daten mit den Windows-Anwendern austauschen. Linux-Admins müssen deshalb ihre Rechner so einrichten, dass ihre Systeme von freigegebenen Ordnern oder Druckern Gebrauch machen können. In größeren Windows-Netzwerken gibt es dafür meistens einen oder mehrere Active-Directory-Server, mit denen die Linux-Rechner verbunden werden wollen.

GUI-Tricks

Die Samba-Software [1] , die dafür nötig ist, Windows-Ressourcen zu nutzen, ist Bestandteil der meisten modernen Linux-Distributionen. Wer KDE oder Gnome verwendet, kann dafür meistens auch GUI-Programme verwenden, auch wenn eventuell einige fortgeschrittene Features fehlen.

In KDEs Dateimanager Dolphin befinden sich in der linken Seitenleiste einige Speicherorte wie das Home- und das Root-Verzeichnis oder Wechseldatenträger. Dort gibt es auch einen Eintrag »Netzwerk« . Ein Klick darauf zeigt die verbundenen Netzlaufwerke und lässt den Anwender neue Netzressourcen einbinden. Windows-Laufwerke binden Sie über das Icon »Samba-Freigaben« ein.

Abbildung 1: Der KDE-Dateimanager Dolphin lässt den Anwender Netzwerkfreigaben einbinden.

Samba-Server [1] oder Windows-Rechner mit Netzwerkfreigaben tauchen im Browser-Fenster zuerst unter ihrem Workgroup-Namen auf. Ein Klick auf die Workgroup fördert alle Rechner, Drucker und Freigaben in diesem Windows-Netzwerk zutage. Jede einzelne können Sie mit einem weiteren Klick verwenden oder einbinden.

Auf dem Gnome-Desktop läuft das ganz ähnlich: Starten Sie den Dateimanager Nautilus über das Gnome-Menü »Orte | Netzwerk« . Wenn Nautilus startet, sehen Sie einen Eintrag »Windows-Netzwerk« . Mit einem Doppelklick darauf finden Sie dann die Windows-Domänen und -Arbeitsgruppen. Auch in kleinen Windows-Netzwerken müssen Sie zur Nutzung von Freigaben häufig schon Benutzername und Passwort angeben.

Abbildung 2: Der Gnome-Dateimanager Nautilus erlaubt den Zugriff auf Windows-Netzwerke.

Single Sign-On

In größeren Windows-Netzwerken wird die Authentifizierung etwas komplizierter. Mit Hunderten von Rechnern und Tausenden von Benutzern verwenden die meisten ein zentralisiertes System, das beispielsweise auch Single Sign-on implementiert. Üblicherweise verwenden Windows-Netzwerke für diese Zwecke einen zentralen Windows-Server mit Active Directory Domain Services.

Active Directory bietet einen Verzeichnisdienst ähnlich wie LDAP, der Kerberos-Authentifizierung und -Verschlüsselung sowie Domänen-Namensdienste bietet und so weiter. Um in einer Active-Directory-Umgebung Ressourcen zu nutzen, muss ein Linux-Rechner Teil der Domäne werden. Der Rest dieses Artikels widmet sich der Frage, wie man das macht.

Wie so häufig in der Open-Source-Welt gibt es auch für die Active-Directory-Anbindung mehrere Lösungen. Zuerst will ich den komplizierten Weg beschreiben. Bevor Sie weiterblättern, lassen Sie sich gesagt sein, dass dieser Ansatz um einiges flexibler ist als der einfache. Er lässt sich im Detail kontrollieren und an die eigenen Bedürfnisse anpassen. Außerdem verhilft er dazu, genau zu verstehen, was im Einzelnen abläuft.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023