https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Rocky_Samba_ADS_Member
Rocky Samba ADS Member - Versionsgeschichte
2026-06-29T05:09:30Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Rocky_Samba_ADS_Member&diff=66884&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „= Samba ADS Client unter Rocky Linux 9 (Domain: sec-labs.de) = == Voraussetzungen == * DNS zeigt auf den Domain Controller von sec-labs.de * Uhrzeit ist synch…“
2026-02-14T16:06:11Z
<p>Die Seite wurde neu angelegt: „= Samba ADS Client unter Rocky Linux 9 (Domain: sec-labs.de) = == Voraussetzungen == * DNS zeigt auf den Domain Controller von sec-labs.de * Uhrzeit ist synch…“</p>
<p><b>Neue Seite</b></p><div>= Samba ADS Client unter Rocky Linux 9 (Domain: sec-labs.de) =<br />
<br />
== Voraussetzungen ==<br />
* DNS zeigt auf den Domain Controller von sec-labs.de<br />
* Uhrzeit ist synchron (Chrony aktiv)<br />
* FQDN ist korrekt gesetzt<br />
* Realm wird in GROSSBUCHSTABEN verwendet (SEC-LABS.DE)<br />
<br />
== Hostname setzen ==<br />
*hostnamectl set-hostname rocky-client.sec-labs.de<br />
*hostname -f<br />
<br />
== DNS prüfen ==<br />
*cat /etc/resolv.conf<br />
*dig sec-labs.de<br />
*dig _kerberos._tcp.sec-labs.de SRV<br />
<br />
== Pakete installieren ==<br />
*dnf install samba samba-winbind samba-winbind-clients krb5-workstation oddjob oddjob-mkhomedir sssd realmd<br />
<br />
== Zeitdienst prüfen ==<br />
*systemctl enable --now chronyd<br />
*chronyc sources<br />
<br />
== Kerberos testen ==<br />
*kinit Administrator@SEC-LABS.DE<br />
*klist<br />
<br />
== Domain Join ==<br />
*realm join SEC-LABS.DE -U Administrator<br />
<br />
Alternativ klassisch:<br />
*net ads join -U Administrator<br />
<br />
== Dienste aktivieren ==<br />
*systemctl enable --now smb<br />
*systemctl enable --now winbind<br />
<br />
== NSS konfigurieren ==<br />
*cat /etc/nsswitch.conf<br />
<br />
Folgende Zeilen müssen enthalten sein:<br />
<pre><br />
passwd: files winbind<br />
group: files winbind<br />
</pre><br />
<br />
== Home-Verzeichnisse automatisch erstellen ==<br />
*authselect select winbind with-mkhomedir --force<br />
<br />
== SELinux Anpassung ==<br />
*setsebool -P samba_enable_home_dirs on<br />
<br />
== Funktionstest ==<br />
*wbinfo -u<br />
*wbinfo -g<br />
*getent passwd "SEC-LABS\\administrator"<br />
*id "SEC-LABS\\administrator"<br />
<br />
== Login testen ==<br />
*su - "SEC-LABS\\administrator"<br />
<br />
== Wichtige Konfigurationsdatei ==<br />
*cat /etc/samba/smb.conf<br />
<br />
Minimale ADS Konfiguration:<br />
<pre><br />
[global]<br />
workgroup = SEC-LABS<br />
security = ADS<br />
realm = SEC-LABS.DE<br />
<br />
winbind use default domain = yes<br />
winbind offline logon = yes<br />
<br />
idmap config * : backend = tdb<br />
idmap config * : range = 10000-19999<br />
<br />
idmap config SEC-LABS : backend = rid<br />
idmap config SEC-LABS : range = 20000-999999<br />
<br />
template shell = /bin/bash<br />
</pre><br />
<br />
== Firewall öffnen ==<br />
*firewall-cmd --permanent --add-service=samba<br />
*firewall-cmd --reload<br />
<br />
== Fehleranalyse ==<br />
*journalctl -xe<br />
*journalctl -u winbind<br />
*testparm<br />
*net ads testjoin<br />
<br />
= Hinweise =<br />
* DNS und Zeit sind die häufigsten Fehlerquellen<br />
* Realm immer in Großbuchstaben (SEC-LABS.DE)<br />
* Bei Kerberos-Fehlern zuerst kinit testen</div>
Thomas.will