Zum Inhalt springenZur Seitennavigation springen: vorherige Seite [Zugriffstaste p]/nächste Seite [Zugriffstaste n]
documentation.suse.com / Zugreifen auf Active Directory über SUSE Linux Micro

Zugreifen auf Active Directory über SUSE Linux Micro

Veröffentlicht: 18.06.2025
WAS?

Mit SUSE Linux Micro können Sie mit Daten arbeiten, die in Active Directory gespeichert sind.

WARUM?

Das Thema enthält eine Anleitung zum Beitreten einer Active Directory-Domäne.

AUFWAND

Es dauert etwa 5 Minuten, den Artikel zu lesen.

ZIEL

Sie können auf Daten zugreifen, die in einer Active Directory-Domäne gespeichert sind.

ANFORDERUNGEN

Berechtigungsnachweis für eine bestimmte Active Directory-Domäne

1 Was ist Active Directory?

 

Active Directory* (AD) ist ein Verzeichnisdienst, der auf LDAP, Kerberos und anderen Diensten basiert. Es wird von Microsoft* Windows* verwendet, um Ressourcen, Dienste und Personen zu verwalten. In einem Microsoft Windows-Netzwerk stellt Active Directory Informationen zu diesen Objekten bereit, schränkt den Zugriff auf diese Objekte ein und erzwingt Richtlinien. Mit SUSE Linux Micro können Sie vorhandenen Active Directory-Domänen beitreten und Ihren Linux-Rechner in eine Windows-Umgebung integrieren.

SUSE Linux Micro bietet Ihnen die folgenden Vorteile, wenn es in Active Directory integriert ist:

Offline-Authentifizierung

Benutzer können sich anmelden und auf ihre lokalen Daten auf dem Linux-Rechner zugreifen, auch wenn sie offline sind oder der Active Directory-Server aus anderen Gründen nicht verfügbar ist.

Windows-Passwortänderung

Dieser Teil der Active Directory-Unterstützung unter Linux erzwingt die Anwendung firmeninterner Passwortrichtlinien, die in Active Directory gespeichert sind. Die Konsole unterstützt Passwortänderungsnachrichten und akzeptiert Ihre Eingabe. Sie können sogar das Linux-Kommando passwd verwenden, um Windows-Passwörter festzulegen.

Single Sign-on über Kerberos

adcli kann die Authentifizierung für den Benutzer transparent handhaben, ohne dass das Passwort auf Webservern, Proxys, Groupware-Anwendungen oder anderen Standorten erneut eingegeben werden muss.

Damit der Client mit dem Verzeichnisdienst kommunizieren kann, muss er mindestens zwei Protokolle mit dem Server gemeinsam verwenden:

LDAP

LDAP ist ein Protokoll, das für die Verwaltung von Verzeichnisinformationen optimiert ist. Ein Windows-Domain Controller mit Verzeichnis kann das LDAP-Protokoll für den Austausch von Verzeichnisinformationen mit den Clients verwenden.

Kerberos

Kerberos ist ein verbürgter Authentifizierungsdienst eines Drittanbieters. Alle Kunden vertrauen auf die Kerberos-Autorisierung der Identität eines anderen Kunden, wodurch Kerberos-SSO-Lösungen (Single-Sign-On) ermöglicht werden. Windows unterstützt eine Kerberos-Implementierung und ermöglicht somit den Kerberos-SSO auch für Linux-Clients.

2 Voraussetzungen für den Beitritt zu Active Directory

 

Bevor Sie versuchen, einer Active Directory-Domäne beizutreten, stellen Sie sicher, dass die folgenden Anforderungen erfüllt sind:

DNS

DNS ist so konfiguriert, dass DNS-Anforderungen an den Active Directory-DNS-Server weitergeleitet werden. Alternativ können Sie Ihren Client für die Verwendung des Active Directory-DNS konfigurieren.

NTP

Stellen Sie sicher, dass die Uhrzeit bei der Verwendung von Kerberos ordnungsgemäß synchronisiert ist. Es wird dringend empfohlen, zu diesem Zweck einen zentralen NTP-Zeitserver zu verwenden. (Dies kann auch der NTP-Server sein, der auf Ihrem Active Directory-Domänencontroller ausgeführt wird.) Detaillierte Informationen finden Sie in NTP time synchronization.

Firewall

Deaktivieren Sie entweder die Firewall vollständig oder kennzeichnen Sie die verwendete Schnittstelle als Bestandteil der internen Zone. Sie können die interne Firewall-Zone mit Cockpit konfigurieren.

Active Directory-Konto

Stellen Sie sicher, dass Sie über den richtigen Berechtigungsnachweis für den Zugriff auf die Active Directory-Domäne verfügen.

3 Beitreten zu einer Active Directory-Domäne

 

Unter SUSE Linux Micro müssen Sie zuerst einer Active Directory-Domäne beitreten. Verwenden Sie dazu das Kommando adcli, mit dem ein Konto für den Rechner erstellt wird, der der Domäne beitritt. Bei Verwendung von Kerberos wird eine Chiffrierschlüsseltabelle für den Computer erstellt.

Um einer Domäne beizutreten, gehen Sie wie folgt vor:

  1. (Optional) Für die Offline-Authentifizierung mit SSSD müssen Sie es zunächst installieren:

    1. Führen Sie folgendes Kommando aus: 

      > sudo  transactional-update pkg install sssd

    2. Booten Sie das System neu.

    3. Überprüfen Sie in /etc/sssd/sssd.conf, ob eine Anpassung erforderlich ist.

    4. Damit SSSD Kerberos verwenden kann, schalten Sie den booleschen Wert kerberos_enabled ein, indem Sie Folgendes ausführen: 

      > sudo setsebool -P kerberos_enabled 1

  2. Führen Sie das Kommando adcli wie folgt aus: 

    > sudo adcli join -d DOMAIN_NAME

  3. Geben Sie den Berechtigungsnachweis für die Domäne an.

Nachdem Sie einer Domäne beigetreten sind, können Sie sich bei Active Directory anmelden und die Offline-Authentifizierung verwenden.

4 Anmelden bei der Active Directory-Domäne

 

Sie können sich beim Client-Rechner mit Active Directory entweder über die textbasierte Konsole oder sogar remote über SSH anmelden.

Um sich über die Konsole anzumelden, geben Sie an der login:-Eingabeaufforderung Folgendes ein: 

      DOMAIN_NAME\USER_NAME

Geben Sie dann das Passwort ein.

Verwenden Sie für die Remote-Anmeldung SSH wie folgt: 

> sudo ssh DOMAIN_NAME\\USER_NAME@HOST_NAME

Das Trennzeichen \ für die Domäne und das Login wird durch ein anderes \-Zeichen ersetzt.

Geben Sie dann Ihr Passwort ein, um sich anzumelden.