denisismagilov - stock.adobe.com

Ratgeber

So binden Sie Ubuntu-Geräte direkt an Active Directory an

Das Anbinden von Ubuntu-Geräten an Active Directory hat viele Vorteile. Neben den bisherigen Workarounds funktioniert das ab Ubuntu 21.04 mit nativen Werkzeugen.

Thomas Joos
von
Zuletzt aktualisiert:23 März 2022

Die meisten Unternehmen verwalten ihre Desktops über ein Microsoft-Netzwerk. Einzelne Mitarbeiter und Geräte sind aber auf Linux angewiesen. Es ist zwar schon länger Mittel und Wege, Ubuntu-Computer in Active Directory mit aufzunehmen, aber erst ab Ubuntu 21.04 haben die Entwickler diese Möglichkeiten nativ in das Betriebssystem eingebaut. Das heißt, dass Admins Linux-Computer genauso in Active Directory aufnehmen können, wie Windows PCs.

Die Integration in Active Directory lässt sich jederzeit nachträglich vornehmen, ist aber auch schon während der Installation umsetzbar. Dazu haben die Entwickler verschiedene Optionen integriert.

Die Vorteile liegen auf der Hand. Sie können auf Linux-Computern die Anmeldedaten aus Active Directory nutzen und zusätzlich profitieren die Computer von den zugehörigen Sicherheitseinstellungen. Dazu kommen einfachere und schnellere Zugriff auf Ressourcen in Active Directory. Außerdem erlaubt Ihnen die Anbindung, Gruppenrichtlinien auf Ubuntu-Rechner anzuwenden, natürlich eingeschränkt im Vergleich zu Computern mit Windows 10 und 11.

Abbildung 1: Ubuntu 21.04/21.10 und 22.04 können Sie schon während der Installation ans Active Directory anbinden.
Abbildung 1: Ubuntu 21.04/21.10 und 22.04 können Sie schon während der Installation ans Active Directory anbinden.

Daraus ergeben sich zahlreiche Möglichkeiten – unter anderem können Sie Microsoft SQL Server auf Ubuntu-Computern installieren und sie direkt mit AD verknüpfen.

Installieren von Paketen für die Aufnahme in Active Directory

Als erstes müssen Sie zwei Pakete auf Ihrem Ubuntu-Gerät installieren. Das liegt daran, dass Sie für die Anbindung an Active Directory den System Security Services Daemon (SSSD) verwenden müssen. Dabei handelt es sich um Erweiterungen für Linux, die sich mit Remote-Verzeichnisdiensten verbinden. Die notwendigen Pakete lassen sich in Ubuntu mit dem folgenden Befehl installieren:

sudo apt -y install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin packagekit

DNS-Einstellungen überprüfen

Generell gilt, dass Sie vor dem Anbinden an Active Directory die DNS-Auflösung testen sollten. Active Directory ist ein sehr DNS-lastiger Dienst, der ohne korrekte Namensauflösung nicht richtig funktioniert.

Mit nslookup finden Sie auf Ubuntu im Terminal heraus, ob eine Namensauflösung der Domäne und der Domänencontroller von den Ubuntu-Rechnern aus möglich ist. Das funktioniert auch ohne eine Mitgliedschaft in Active Directory. Tests vor der Aufnahme vermeiden unnötige Fehler.

Auf Ubuntu-Rechnern mit grafischer Oberfläche lassen sich die Einstellungen über die Netzwerkoptionen in der Menüleiste vornehmen. Sie können auch einen DNS-Server einstellen.

Abbildung 2: Die DNS-Einstellungen auf Ubuntu-Rechnern können Sie in der grafischen Oberfläche konfigurieren.
Abbildung 2: Die DNS-Einstellungen auf Ubuntu-Rechnern können Sie in der grafischen Oberfläche konfigurieren.

In den meisten Fällen konfigurieren Admins die DNS-Einstellungen im Terminal oder den Konfigurationsdateien für das Netzwerk. Auf Ubuntu kommt dazu die aktuelle Version von Netplan zum Einsatz. Die Konfigurationsdateien dazu sind im Verzeichnis /etc/netplan zu finden. Die Anpassung der Konfigurationsdateien in diesem Verzeichnis kann beispielsweise so aussehen:

sudo nano /etc/netplan/01-network-manager-all.yaml

In dieser Datei können Sie alle IP-Einstellungen für den Ubuntu-Computer hinterlegen; das gilt auch für die DNS-Konfigurationen. Im Folgenden sehen Sie ein Beispiel für solche Einstellungen.

version: 2

renderer: NetworkManager

ethernets:

enp0s3:

dhcp4: false

addresses: [10.0.2.15/24]

gateway4: 192.168.1.1

nameservers:

addresses: [8.8.8.8, 8.8.4.4]

Nach Änderungen übernimmt Linux mit dem Befehl sudo netplan apply die integrierten Änderungen.

Abbildung 3: So sieht es aus, wenn die Namensauflösung erfolgreich ist.
Abbildung 3: So sieht es aus, wenn die Namensauflösung erfolgreich ist.

Aufnahme in die Domäne testen und durchführen

Wenn die Namensauflösung funktioniert und auch die notwendigen Pakete installiert sind, sollten Sie als nächstes prüfen, ob der Ubuntu-Computer die Active-Directory-Umgebung findet. Geben Sie den Befehl realm disover ein, gefolgt vom FQDN der Active-Directory-Domäne, zum Beispiel:

realm discover joos.int

Wenn das klappt, können Sie den Computer an Active Directory anbinden. Nutzen Sie den Parameter join mit dem FQDN der Domäne, zum Beispiel: realm join joos.int. Nach der erfolgreichen Verbindung erfolgt die Authentifizierung.

Abbildung 4: Testen Sie, ob der Ubuntu-Computer in der Domäne angemeldet ist.
Abbildung 4: Testen Sie, ob der Ubuntu-Computer in der Domäne angemeldet ist.

Ob die Aufnahme erfolgreich war, lässt sich in Active Directory überprüfen, in dem Sie nachsehen, ob Ihr Linux-Rechner in den Verwaltungs-Tools von Actice Directory zu sehen ist. Oder Sie sehen auf dem Linux-Gerät selbst nach, ob Sie Benutzer aus der Umgebung auslesen können, zum Beispiel der Domänenadministrator. Das führen Sie mit

id [email protected]

durch.

Jetzt sollten Sie Informationen zu den verschiedenen SIDs und UIDs des Benutzers angezeigt bekommen.

Abbildung 5: Auch in den Active Directory-Tools erscheint der Ubuntu-Computer als Mitglied.
Abbildung 5: Auch in den Active Directory-Tools erscheint der Ubuntu-Computer als Mitglied.

In der Datei sssd.conf im Verzeichnis etc/sssd nehmen Sie Anpassungen für die Anbindung an Active Directory vor. An dieser Stelle können Sie zum Beispiel feste Einstellungen für die Domäne konfigurieren.

Abbildung 6: Auch in den Active Directory Tools erscheint der Ubuntu-Computer als Mitglied.
Abbildung 6: Auch in den Active Directory Tools erscheint der Ubuntu-Computer als Mitglied.

Erfahren Sie mehr über Desktop-Management