andreas222 12 Geschrieben 22. April 2015 Melden Teilen Geschrieben 22. April 2015 Hallo zusammen,unsere Kollegen aus der Informatik nehmen ihre Linux Clients mittels Pbis Openin unser Test Active Directory mit auf.Der FQDN in AD lautet dann bspw. "inf-Stern01.subd.domain.com"Nun haben die Kollegen den Linux-Hostnamen lokal auf "Stern01.subd.domain.com" geändert.Weil dieser Rechner im offiziellen DNS auch als "Stern01.subd.domain.com" eingetragen ist. Auf AD Seite wollten wir aus Orga-Gründen ein Fachbereichs-Kürzel voranstellen. Funktioniert dann das Aktualisieren des Computer-Kontos über Kerberos noch einwandfrei ?Anderst, wann wird das Ticket eines Computerkontos aktualisiert ?Kann man herauslesen wann ein Ticket für das Computerkonto aktualisiert wird ?(Evtl. gibt es Authentifizierungsfehler mit dem Computerkonto ?) Eigentlich wird doch jedes Objekt (User oder Computer) AD intern über die GUID verwaltet. Klar das mit dem DNS ist unsauber. Kommt natürlcih auch auf die Sichtweise an. VG & MerciAndreas Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 22. April 2015 Melden Teilen Geschrieben 22. April 2015 Die Frage ist unklar... Linux arbeitet mit einer keytab, da muß der lokale Hostname nichts mit dem AD-Namen zu tun haben. Pbis open kenne ich allerdings nicht :( Zitieren Link zu diesem Kommentar
andreas222 12 Geschrieben 23. April 2015 Autor Melden Teilen Geschrieben 23. April 2015 Die Frage ist unklar... Linux arbeitet mit einer keytab, da muß der lokale Hostname nichts mit dem AD-Namen zu tun haben. Pbis open kenne ich allerdings nicht :( Ok, im Prinzip hast Du die Antwort geliefert. Danke. Der lokale Hostname des Linux Clients kann sich (unschön) vom Hostnamen innerhalb AD unterscheiden, richtig ? Es hat keinerlei Auswirkung auf die Funktion. Wenn ich richtig informiert bin wird das Passwort des Computerkonto nach 30 Tagen geändert. Dann werden wir sehen ob es irgendwelche Probleme damit gibt. VG & Merci Andreas Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 23. April 2015 Melden Teilen Geschrieben 23. April 2015 Eigentlich wird der REALM (hier ist dann auch der DNS-Hostname interessant) an ein normales User-Konto gebunden. ich wüsste nicht, dass man im AD ein Computer-Konto braucht. Wenn man nach Samba tanzt, mag das anders sein. Wenn man irgendeine schräge NTLM-Lösung benutzt, braucht man jedoch ein Computer-Konto. Zitieren Link zu diesem Kommentar
daabm 1.185 Geschrieben 23. April 2015 Melden Teilen Geschrieben 23. April 2015 Ob User oder Computer ist bei Kerberos egal - "Account" ist das Stichwort, denn im Account steckt das Kennwort. Der Account muß den zugehörigen SPN registriert haben, der auch im Keytab steht :) Über NTLM wollen wir hoffentlich nicht mehr nachdenken :D Und wenn Du einen Computeraccount verwendest: Deshalb empfehlen die einschlägigen Tutorials einen Cron-Job, der msktutil regelmäßig ausführt. Bei einem Useraccount kannst Du das Kennwort auf "läuft nie ab" setzen, das vereinfacht die Sache. Zitieren Link zu diesem Kommentar
zahni 521 Geschrieben 24. April 2015 Melden Teilen Geschrieben 24. April 2015 Leider nicht so einfach: Die Lösung ist mir im Zusammenhang mit Java und Tomcat schon 2x "untergeschoben" worden: https://www.ioplex.com/ Kerberos ist halt zu Umständlich ;) Zitieren Link zu diesem Kommentar
frr 11 Geschrieben 5. Mai 2015 Melden Teilen Geschrieben 5. Mai 2015 Hi, ich hatte hier letztens eine ähnliche Diskussion mit Nils hier. Allerdings ging es da rein um Windows und keinen Linuxkasten: 1.) Ich habe mit PBIS noch nicht gespielt. Allerdings hatte ich schon ähnliche freie Lösungen wie z.B. Centrify in der Hand. Vergiss das einfach alles und schaue Dir mal SSSD an. Das ist wesentlich flexibler und dort kannst Du dann auch noch gleich solche Sachen wie Sudo oder auch autofs und services mit abfackeln. Das macht die Sache etwas flexibler....... 2.) Füge den zusätzlichen DNS Suffix als erlaubten DNS Suffix im AD hinzu (msds-Allowed-DNS-Suffixes) 3.) Natürlich ist es möglich einen Rechner mit dem DNS Namen server1.linuxdns.internal in einer Ad-Domäne mit dem Namen ad-domaene.internal (linuxserver.ad-domaene.internal) zu betreiben. Das von daabm empfohlene tool zur Erstellung der keytab (msktutil) erlaubt es Dir hier entsprechende DNS Namen etc. anzugeben. Um die Erstellung eines Computeraccounts kümmert sich das Tool auch gleich. Wie dbaam schrieb ist es hier eine gute Idee für msktutil einen täglichen cronjob einzurichten der gegebenenfalls das Computerkennwort aktualisiert (msktutil --auto-update). That´s it. Dann rennt das. Denke bitte daran, das mit Kerberos die Kisten auch über reverse DNS auflösbar sein müssen. Wenn nicht, musst Du das in der krb5.conf deaktivieren. Bye, Frank Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.