Domänenbeitritt mit openSuSE

Dieser Artikel erklärt wie ein Client mit openSuSE einer Windows-Domäne beitreten kann. Dadurch wird die Authentifizierung und Benutzerverwaltung über die Domäne abgewickelt.

Damit der Client der Domäne beitreten kann müssen einige Netzwerkeinstellungen angepasst werden. Betroffen davon ist die Namensauflösung. Es muss der DNS auf die IP-Adresse des primären Domänencontrollers (PDC) eingestellt werden.

Weiters muss der Domänenname auf den am Server eingestellten Namen gesetzt werden. Dabei handelt es sich nicht um den Namen der Windowsdomäne sonder um den vollständigen Domänennamen.

Diese Einstellungen erfolgen mittels YasT unter Netzwerkeinstellungen im Reiter Hostname/DNS wie im Bild unten zu sehen ist.

Nach einem Neustart des Netzwerks mit

$ rcnetwork restart

werden die Einstellungen übernommen.

Wenn die Netzwerkeinstellungen korrekt durchgeführt wurden, wird der DNS zur Namensauflösung verwendet. Das kann mit dem Befehl nslookup überprüft werden. In der Ausgabe des Befehls muss dann bei Server die IP-Adresse des oben eingestellten DNS erscheinen.

$ nslookup www.some-domain.net
  Server:         192.168.0.254
  Address:        192.168.0.254#53
  
  Non-authoritative answer:
  Name:   www.some-domain.net
  Address: 1.2.3.4

Als nächster Schritt muss der Authentifizierungsdienst Kerberos eingestellt werden. Diese Konfiguration kann wieder über den Assistenten in YaST durchgeführt werden.

Die Konfiguration kann in YaST über Netzwerkdienste und Kerberos-Client gestartet werden. Dabei muss die Option Kerberos verwenden aktiviert werden damit der Authentifizierungs-Dienst verwendet werden kann.

Wenn die obigen Netzwerkkonfigurationen korrekt durchgeführt wurden, können alle weiteren Einstellungen Über den DNS bezogen werden.

Ein neues Ticket für einen Benutzer am Server kann mit dem Befehl

$ kinit <username>

angelegt werden. Nach der Passwortangabe kann mit

$ klist

die Eigenschaften des Tickets angezeigt werden.

In YaST unter Netzwerkdienste und Mitgliedschaft in Windows-Domäne kann der eigentliche Domänenbeitritt durchgeführt werden.

Im Dialogfenster muss der korrekte Name für die Domäne eingegeben werden und die Optionen Zusätzliche SMB-Informationen …, Home-Verzeichnisse bei Anmeldung erstellen und Offline-Authentifizierung aktiviert werden.

Wichtig sind dann noch unter den Erweiterten Einstellungen die korrekten Bereiche für die UID und GID entsprechend den Vorgaben am Server einzustellen.

Darüber hinaus können in den Erweiterten Einstellungen auch Samba-Freigaben eingebunden werden, die beim anmelden automatisch eingebunden werden.

Die dazu notwendigen Parameter sind:

• Servername: Hostname oder IP-Nummer des Servers
• Entfernter Pfad: Name der Freigabe (ohne führenden /)
• Einhängepunkt: Lokaler Pfad (wird automatisch erstellt)
• Optionen: zum Beispiel der Benutzername in der folgenden Form user=%(DOMAIN_USER)
• benutzer: Name des Benutzers, für den das Laufwerk eingebunden werden soll (freilassen für alle Benutzer)

Nach dem Beenden des obigen Assistenten kann eine Liste der Domänen-Benutzer und Gruppen angezeigt werden:

$ wbinfo -u
$ wbinfo -g

Nach einer Neuanmeldung kann man im kdm die Domäne auswählen um sich mit einem neun Domänen-Benutzer anzumelden.

• Domaincontroller unter Linux http://www.univention.de
• Anleitung zum beitreten einer Windows-Domäne mit WindowsXP
• Automatisches einbinden von Windowsfreigaben