15
User Management Linux
Hallo zusammen,
wir betreiben mehrere Linux-Server, auf denen wir uns aktuell mit statischen Nutzern anmelden und arbeiten. Ich würde gerne unsere Active Directory (AD) integrieren. Vielleicht kennt ihr eine Software, mit der sich das gut umsetzen lässt, sodass ich mich mit meinem AD-Konto anmelden und entsprechend Rechte für Gruppen vergeben kann. Gibt es dafür eine gute Lösung ggf.?
wir betreiben mehrere Linux-Server, auf denen wir uns aktuell mit statischen Nutzern anmelden und arbeiten. Ich würde gerne unsere Active Directory (AD) integrieren. Vielleicht kennt ihr eine Software, mit der sich das gut umsetzen lässt, sodass ich mich mit meinem AD-Konto anmelden und entsprechend Rechte für Gruppen vergeben kann. Gibt es dafür eine gute Lösung ggf.?
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 671851
Url: https://administrator.de/forum/user-management-linux-671851.html
Ausgedruckt am: 17.03.2025 um 21:03 Uhr
15 Kommentare
Neuester Kommentar
Hallo,
LDAP?
VG
LDAP?
VG
Ja, das ist mir bewusst. Theoretisch könnte man das Paket deinstallieren, wodurch ab diesem Zeitpunkt kein Login mehr möglich wäre. Ich hatte jedoch erwartet, dass es dafür eine elegantere Lösung gibt. Außerdem habe ich auf YouTube ein Video gesehen, in dem erklärt wird, wie Gruppen in eine SSH-Datei geschrieben werden, um den Login zu steuern. Auch hier könnten Änderungen oder das Entfernen von Einträgen relativ einfach vorgenommen werden.
samba - falls es zB. fileshare-berechtigungen geben soll. Ansonsten openldap...
du kannst natürlich auch mittels ansible die user lokal machen, hängt davon ab wieviele server du hast.
du kannst natürlich auch mittels ansible die user lokal machen, hängt davon ab wieviele server du hast.
1
Normal ist die AD Integration doch mit einfachen Linux Bordmitteln möglich:
Raspberry in AD integrieren
Ist schon etwas älter deshalb sollte die aktuelle Intergration vermutlich deutlich einfacher sein.
Raspberry in AD integrieren
Ist schon etwas älter deshalb sollte die aktuelle Intergration vermutlich deutlich einfacher sein.
Zitat von @ByteArchitect:
wir betreiben mehrere Linux-Server, auf denen wir uns aktuell mit statischen Nutzern anmelden und arbeiten. Ich würde gerne unsere Active Directory (AD) integrieren. Vielleicht kennt ihr eine Software, mit der sich das gut umsetzen lässt, sodass ich mich mit meinem AD-Konto anmelden und entsprechend Rechte für Gruppen vergeben kann. Gibt es dafür eine gute Lösung ggf.?
Ich würde in Richtung GSSAPI/Kerberos schauen.
Moin,
z.B. so:
https://blog.netwrix.com/2022/11/01/join-linux-hosts-to-active-directory ...
Das ist eine der vielen Möglichkeiten.
Im wesentlichen brauchst Du LDAP und Kerberos,und Dein Linux ans AD dranzuflanschen. Es ist auch unter Unix/Linux schon seit Jahrzehnten üblich mit zentraler Userverwaltung zu arbeiten.Sei es mit NIS/YP, NDS oder LDAP/Kerberos/AD. Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben.
lks
z.B. so:
https://blog.netwrix.com/2022/11/01/join-linux-hosts-to-active-directory ...
Das ist eine der vielen Möglichkeiten.
Im wesentlichen brauchst Du LDAP und Kerberos,und Dein Linux ans AD dranzuflanschen. Es ist auch unter Unix/Linux schon seit Jahrzehnten üblich mit zentraler Userverwaltung zu arbeiten.Sei es mit NIS/YP, NDS oder LDAP/Kerberos/AD. Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben.
lks
1
Theoretisch könnte man das Paket deinstallieren,
Benötigt denn jeder Nutzer, der sich anmeldet auch root-Rechte oder muss sudo benutzen?
Zitat von @HDA2023:
Benötigt denn jeder Nutzer, der sich anmeldet auch root-Rechte oder muss sudo benutzen?
Theoretisch könnte man das Paket deinstallieren,
Benötigt denn jeder Nutzer, der sich anmeldet auch root-Rechte oder muss sudo benutzen?
Nein, sudo würde denke ich ebenfalls ausreichen, lässt sich es ggf. einschränken, was mit sudo alles gemacht werden kann?
Zitat von @Lochkartenstanzer:
Moin,
z.B. so:
https://blog.netwrix.com/2022/11/01/join-linux-hosts-to-active-directory ...
Das ist eine der vielen Möglichkeiten.
Im wesentlichen brauchst Du LDAP und Kerberos,und Dein Linux ans AD dranzuflanschen. Es ist auch unter Unix/Linux schon seit Jahrzehnten üblich mit zentraler Userverwaltung zu arbeiten.Sei es mit NIS/YP, NDS oder LDAP/Kerberos/AD. Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben.
lks
Moin,
z.B. so:
https://blog.netwrix.com/2022/11/01/join-linux-hosts-to-active-directory ...
Das ist eine der vielen Möglichkeiten.
Im wesentlichen brauchst Du LDAP und Kerberos,und Dein Linux ans AD dranzuflanschen. Es ist auch unter Unix/Linux schon seit Jahrzehnten üblich mit zentraler Userverwaltung zu arbeiten.Sei es mit NIS/YP, NDS oder LDAP/Kerberos/AD. Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben.
lks
Danke, ich schaue mir morgen mal den Beitrag genauer an!
Nein, sudo würde denke ich ebenfalls ausreichen, lässt sich es ggf. einschränken, was mit sudo alles gemacht werden kann?
Das kannst Du über die Datei /etc/sudoers regeln.
https://linux.die.net/man/8/sudo
Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben
Unserer Nicht-Klickibuntiadmins kopieren noch eine passwd Datei auf jeden Linux Server und haben sich das ins make eingebaut. Bei denen hat es sich auch noch nicht herum gesprochen, dass es ein AD gibt.Zitat von @NordicMike:
Nur scheint sich das zu den vielen Klickibuntiadmins noch nicht herumgesprochen zu haben
Unserer Nicht-Klickibuntiadmins kopieren noch eine passwd Datei auf jeden Linux Server und haben sich das ins make eingebaut. Bei denen hat es sich auch noch nicht herum gesprochen, dass es ein AD gibt.Ja, die gibt leider auch noch. Allerdings sind Server wieder ein Sonderfall. Je nachdem, was die machen sollten, reicht eine passende passwd-Datei, wenn sich dort eh nur Admins per ssh tummeln. Eine minimale passwd/shafow braucht man trotz LDAP-Anbindung trotzdem immer, um im Notfall noch auf die Kiste zu kommen, wenn es Probleme im AD gibt. U d man muß zwischen AD-Anbuindung der Dienste wie z.B. SMB und der des OS unterscheiden. Es ist jedenfalls ein weites Feld, auf dem Admins jeder Erfahrungsstufe immer noch etwas lernen können.
lks
1
Moin,
da gibts sogar hervorragende Lösungen für.
sssd und realmd
beides installieren und dann nen join mit realmd.
damit kannste ganz einfach nen Domain Join machen und dann den Login auf der Büchse z.B. auf AD Benutzer / Gruppen beschränken.
Grüße
da gibts sogar hervorragende Lösungen für.
sssd und realmd
beides installieren und dann nen join mit realmd.
damit kannste ganz einfach nen Domain Join machen und dann den Login auf der Büchse z.B. auf AD Benutzer / Gruppen beschränken.
Grüße
Zitat von @willoderaix:
Moin,
da gibts sogar hervorragende Lösungen für.
sssd und realmd
beides installieren und dann nen join mit realmd.
damit kannste ganz einfach nen Domain Join machen und dann den Login auf der Büchse z.B. auf AD Benutzer / Gruppen beschränken.
Grüße
Moin,
da gibts sogar hervorragende Lösungen für.
sssd und realmd
beides installieren und dann nen join mit realmd.
damit kannste ganz einfach nen Domain Join machen und dann den Login auf der Büchse z.B. auf AD Benutzer / Gruppen beschränken.
Grüße
Super, ich hatte bereits einmal ein Ansible Script mir dafür gemacht, anscheinend nur irgendwann einmal gelöscht, was mir das alles automatisch gesetzt hat. Werde ich nun wohl nochmal neu erstellen müssen. Das Offline-Speichern der Anmeldedaten kannte ich so bisher noch nicht, werde ich mal probieren und testen, wie gut das funktioniert.
moin,
das offline speichern klappt so gut, dass ich ab und an mal nen script laufen lasse damit die net "bis in alle ewigkeit" gespeichert werden :D
grüße
das offline speichern klappt so gut, dass ich ab und an mal nen script laufen lasse damit die net "bis in alle ewigkeit" gespeichert werden :D
grüße
