IServ-Linux-Client per LTSP an festplattenlose Rechner ausliefern: Arbeit mit Active Directory

In meinem Blogpost mit dem Titel „IServ-Linux-Client per LTSP an festplattenlose Rechner ausliefern“ habe ich beschrieben, wie man einen solchen Linux Terminal Server installiert. Die Anleitung basiert noch auf der Arbeit mit einer Windows-NT-Domäne. Nun wurde unser IServ-Server auf Active Directory umgestellt. Aus diesem Grund sind zwei Anpassungen nötig geworden, damit die LTSP-Clients beim Hochfahren automatisch zur Domäne hinzugefügt werden. Zum Verständnis dieses Blogposts sollte zunächst die ursprüngliche Anleitung gelesen werden.

Zum einen muss sichergestellt werden, dass in der Samba-Konfiguration in /etc/samba/smb.conf als realm der korrekte Domänenname eingetragen wird (bei uns: realm=ad.gbg-seelze.eu) und zum anderen muss dann das Skript zum Domänenbeitritt entsprechend für Active Directory angepasst werden.

An dieser Stelle sei nochmals erwähnt, dass die von mir beschriebene Lösung eher ein Workaround ist, der langfristig besser gelöst werden muss, da in dem Skript join-domain.sh das Domänenadministratorpasswort im Klartext enthalten ist. Zwar sind die Zugriffsrechte mit 700 gesetzt, sodass die Datei von einem unterprivilegierten Benutzer nicht gelesen oder ausgeführt werden kann, aber dennoch bietet das Skript eine gewisse Angriffsfläche. Alternativ kann man den Befehl zum Domänenbeitritt auch in der ltsp.conf in dem Abschnitt zur Client-Konfiguration hinterlegen. Damit hätte man das Domänenadministratorpassword immerhin nicht mehr im Client-Image. Das Grundproblem bleibt aber bestehen.

Nach dieser Vorrede hier nun der veränderte Befehl zum Domänenbeitritt:

echo -n 'password' | net ads join -U domainadmin ad.gbg-seelze.eu --no-dns-updates

Bei diesem Befehl ist domainadmin entsprechend durch den Benutzernamen des verwendeten Domänenadministrators, password durch das Passwort sowie ad.gbg-seelze.eu durch den Namen der AD-Domäne zu ersetzen. Damit kann man dann den LTSP-Client automatisch zur AD-Domäne hinzufügen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.