bytearchitect
Goto Top

User Management Linux

Hallo zusammen,

wir betreiben mehrere Linux-Server, auf denen wir uns aktuell mit statischen Nutzern anmelden und arbeiten. Ich würde gerne unsere Active Directory (AD) integrieren. Vielleicht kennt ihr eine Software, mit der sich das gut umsetzen lässt, sodass ich mich mit meinem AD-Konto anmelden und entsprechend Rechte für Gruppen vergeben kann. Gibt es dafür eine gute Lösung ggf.?

Content-ID: 671851

Url: https://administrator.de/forum/user-management-linux-671851.html

Ausgedruckt am: 10.04.2025 um 11:04 Uhr

Olsen1
Olsen1 10.03.2025 um 15:59:20 Uhr
Goto Top
Hallo,

LDAP?

VG
ByteArchitect
ByteArchitect 10.03.2025 um 16:10:50 Uhr
Goto Top
Ja, das ist mir bewusst. Theoretisch könnte man das Paket deinstallieren, wodurch ab diesem Zeitpunkt kein Login mehr möglich wäre. Ich hatte jedoch erwartet, dass es dafür eine elegantere Lösung gibt. Außerdem habe ich auf YouTube ein Video gesehen, in dem erklärt wird, wie Gruppen in eine SSH-Datei geschrieben werden, um den Login zu steuern. Auch hier könnten Änderungen oder das Entfernen von Einträgen relativ einfach vorgenommen werden.
maretz
maretz 10.03.2025 um 16:21:48 Uhr
Goto Top
samba - falls es zB. fileshare-berechtigungen geben soll. Ansonsten openldap...

du kannst natürlich auch mittels ansible die user lokal machen, hängt davon ab wieviele server du hast.
aqui
aqui 10.03.2025 aktualisiert um 16:41:19 Uhr
Goto Top
Normal ist die AD Integration doch mit einfachen Linux Bordmitteln möglich:
Raspberry in AD integrieren
Ist schon etwas älter deshalb sollte die aktuelle Intergration vermutlich deutlich einfacher sein.
mbehrens
mbehrens 10.03.2025 um 16:56:52 Uhr
Goto Top
Zitat von @ByteArchitect:

wir betreiben mehrere Linux-Server, auf denen wir uns aktuell mit statischen Nutzern anmelden und arbeiten. Ich würde gerne unsere Active Directory (AD) integrieren. Vielleicht kennt ihr eine Software, mit der sich das gut umsetzen lässt, sodass ich mich mit meinem AD-Konto anmelden und entsprechend Rechte für Gruppen vergeben kann. Gibt es dafür eine gute Lösung ggf.?

Ich würde in Richtung GSSAPI/Kerberos schauen.
Lochkartenstanzer
Lochkartenstanzer 10.03.2025 um 18:37:41 Uhr
Goto Top
Moin,

z.B. so:

https://blog.netwrix.com/2022/11/01/join-linux-hosts-to-active-directory ...

Das ist eine der vielen Möglichkeiten.

Im wesentlichen brauchst Du LDAP und Kerberos,und Dein Linux ans AD dranzuflanschen. Es ist auch unter Unix/Linux schon seit Jahrzehnten üblich mit zentraler Userverwaltung zu arbeiten.Sei es mit NIS/YP, NDS oder LDAP/Kerberos/AD. Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben.

lks
HDA2023
HDA2023 10.03.2025 aktualisiert um 18:56:10 Uhr
Goto Top
Theoretisch könnte man das Paket deinstallieren,

Benötigt denn jeder Nutzer, der sich anmeldet auch root-Rechte oder muss sudo benutzen?
ByteArchitect
ByteArchitect 10.03.2025 um 19:35:45 Uhr
Goto Top
Zitat von @HDA2023:

Theoretisch könnte man das Paket deinstallieren,

Benötigt denn jeder Nutzer, der sich anmeldet auch root-Rechte oder muss sudo benutzen?

Nein, sudo würde denke ich ebenfalls ausreichen, lässt sich es ggf. einschränken, was mit sudo alles gemacht werden kann?
ByteArchitect
ByteArchitect 10.03.2025 um 19:36:04 Uhr
Goto Top
Zitat von @Lochkartenstanzer:

Moin,

z.B. so:

https://blog.netwrix.com/2022/11/01/join-linux-hosts-to-active-directory ...

Das ist eine der vielen Möglichkeiten.

Im wesentlichen brauchst Du LDAP und Kerberos,und Dein Linux ans AD dranzuflanschen. Es ist auch unter Unix/Linux schon seit Jahrzehnten üblich mit zentraler Userverwaltung zu arbeiten.Sei es mit NIS/YP, NDS oder LDAP/Kerberos/AD. Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben.

lks

Danke, ich schaue mir morgen mal den Beitrag genauer an!
HDA2023
HDA2023 10.03.2025 um 19:58:50 Uhr
Goto Top
Nein, sudo würde denke ich ebenfalls ausreichen, lässt sich es ggf. einschränken, was mit sudo alles gemacht werden kann?

Das kannst Du über die Datei /etc/sudoers regeln.

https://linux.die.net/man/8/sudo
NordicMike
NordicMike 11.03.2025 um 08:06:38 Uhr
Goto Top
Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben
Unserer Nicht-Klickibuntiadmins kopieren noch eine passwd Datei auf jeden Linux Server und haben sich das ins make eingebaut. Bei denen hat es sich auch noch nicht herum gesprochen, dass es ein AD gibt.
Lochkartenstanzer
Lochkartenstanzer 11.03.2025 um 08:57:54 Uhr
Goto Top
Zitat von @NordicMike:

Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben
Unserer Nicht-Klickibuntiadmins kopieren noch eine passwd Datei auf jeden Linux Server und haben sich das ins make eingebaut. Bei denen hat es sich auch noch nicht herum gesprochen, dass es ein AD gibt.

Ja, die gibt leider auch noch. Allerdings sind Server wieder ein Sonderfall. Je nachdem, was die machen sollten, reicht eine passende passwd-Datei, wenn sich dort eh nur Admins per ssh tummeln. Eine minimale passwd/shafow braucht man trotz LDAP-Anbindung trotzdem immer, um im Notfall noch auf die Kiste zu kommen, wenn es Probleme im AD gibt. U d man muß zwischen AD-Anbuindung der Dienste wie z.B. SMB und der des OS unterscheiden. Es ist jedenfalls ein weites Feld, auf dem Admins jeder Erfahrungsstufe immer noch etwas lernen können.

lks
willoderaix
willoderaix 11.03.2025 um 12:03:35 Uhr
Goto Top
Moin,

da gibts sogar hervorragende Lösungen für.

sssd und realmd

beides installieren und dann nen join mit realmd.


damit kannste ganz einfach nen Domain Join machen und dann den Login auf der Büchse z.B. auf AD Benutzer / Gruppen beschränken.


Grüße
ByteArchitect
ByteArchitect 11.03.2025 um 13:38:23 Uhr
Goto Top
Zitat von @willoderaix:

Moin,

da gibts sogar hervorragende Lösungen für.

sssd und realmd

beides installieren und dann nen join mit realmd.


damit kannste ganz einfach nen Domain Join machen und dann den Login auf der Büchse z.B. auf AD Benutzer / Gruppen beschränken.


Grüße

Super, ich hatte bereits einmal ein Ansible Script mir dafür gemacht, anscheinend nur irgendwann einmal gelöscht, was mir das alles automatisch gesetzt hat. Werde ich nun wohl nochmal neu erstellen müssen. Das Offline-Speichern der Anmeldedaten kannte ich so bisher noch nicht, werde ich mal probieren und testen, wie gut das funktioniert.
willoderaix
willoderaix 11.03.2025 um 13:40:21 Uhr
Goto Top
moin,

das offline speichern klappt so gut, dass ich ab und an mal nen script laufen lasse damit die net "bis in alle ewigkeit" gespeichert werden :D


grüße