Open Source-Software findet in immer mehr Unternehmen und Behörden ihren Einsatz. Im Juli widmet IT-Administrator daher seinen Heftschwerpunkt der quelloffenen ... (mehr)

Eigene DNS-Zonen Pflicht

Bevor es jedoch losgeht, sind einige Vorbereitungen zu treffen. Sowohl das AD als auch FreeIPA benötigen eigenständige DNS-Zonen. Dies ist notwendig, da beide Umgebungen Informationen über die eingesetzte Kerberos-Infrastruktur in SRV- und TXT-Records im DNS speichern. Ob Sie FreeIPA eine komplett unabhängige DNS-Zone spendieren oder ob Sie diese unterhalb der bestehenden DNS-Zone der AD-Domäne einrichten, spielt erstmal keine Rolle. In jedem Fall sollten Sie darauf achten, dass eine korrekte Delegierung für die Zone vorhanden ist. In Testumgebungen können Sie auch mit entsprechenden Forwardern arbeiten. Im folgenden Beispiel lautet die DNS-Zone der AD-Domäne "coe.muc.redhat.com", die FreeIPA-Umgebung bekommt eine Subzone mit dem Namen "linux.coe.muc.redhat.com". Diese wird über den in FreeIPA integrierten BIND DNS-Server verwaltet.

Des Weiteren gehen wir davon aus, dass Sie bereits eine bestehende FreeIPA-Installation besitzen. Sollte dies nicht der Fall sein, können Sie diese mittels »ipa-server-install« einrichten. Für weitere Details verweisen wir auf [5]. Um die neuesten Features einsetzen zu können, sollten Sie FreeIPA in der Version 4.1 und den Client-Dienst "sssd" in Version 1.12 installieren. Grundsätzlich funktioniert das hier vorgestellte Setup auch mit älteren Versionen, benötigt dann aber an der einen oder anderen Stelle noch etwas mehr Handarbeit. Auf der Windows-Seite wird dazu ein Server 2008 R2 oder neuer vorausgesetzt.

Samba4 zur SID-Auflösung installieren

Für die Einrichtung einer Vertrauensstellung zu einer Windows-Domäne muss das FreeIPA-System über eine zusätzliche Komponente verfügen: Samba4. Um diese zu installieren und zu konfigurieren, melden Sie sich als Admin auf einem Free-IPA-Master an, um dann mittels »ipa-adtrust-install« das Setup zu starten:

# kinit admin
# ipa-adtrust-install --netbios-name=linux -a password

Achten Sie hierbei darauf, den korrekten NetBIOS-Namen der FreeIPA-Umgebung anzugeben. Momentan ist es noch notwendig, dieses Setup auf jedem Free-IPA-Master zu wiederholen, allerdings ist für künftige Releases geplant, diesen Vorgang nur auf einem einzelnen Master durchführen zu müssen.

Haben Sie das Setup-Tool erfolgreich durchlaufen, befindet sich im Anschluss daran eine Samba4-Instanz auf Ihrem FreeIPA-System. Diese dient dazu, mehrere MS-RPC-Dienste zur Verfügung zu stellen, die unter anderem eine Namensauflösung für SIDs (Security-Identifiers) aus der Windows-Umgebung durchführen. Anders als auf Posix-Systemen bekommen Windows-Benutzer und -Gruppen eine solche SID zugewiesen, um diese eindeutig identifizieren zu können. Diese besteht aus der Domänen-SID und einem benutzerspezifischen Teil, der sogenannten Relative ID (RID).

Meldet sich später ein Windows-Benutzer an einem FreeIPA-System an, so enthält das Kerberos-Ticket des Benutzers eine ganze Reihe solcher SIDs. Diese sind in einer sogenannten MS-PAC (Privilege Account Certificate)-Struktur zusammengefasst und müssen entsprechend aufgelöst werden, um beispielsweise zu erkennen, in welchen Windows-Gruppen der Benutzer alles Mitglied ist. FreeIPA kennt diese Gruppen erst einmal nicht, da bei einem Trust keinerlei Daten zwischen den unterschiedlichen Domänen synchronisiert werden.

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023