none
Linux Systeme gegen Windows Active Directory und DNS Die Frage!

    General discussion

  • Hallo liebe Gemeinde der AD,

     

    aaalso hier die Brennende frage die ich gerne bentwortet haben möchte. :-)

    Wir haben eine Windows AD mit einer dementsprechenden AD DNS (192.168.168.250). Die AD DNS beinhaltet die AD Integrierte DNS Zone. Name der Zone lautet intranet.local.

    Hier sind alle AD spezifischen Objekte und Ressourcen eingetragen. Diese sind z.B alle Client Hostnamen, SRV einträge der Domain Controller, Ressourcen einträge des Primär Domain Controller, Global Catalog, quasi alles um die AD in seinem Grüst lauffähig zu halten.

     

    Alle Ressourcen die gegen die AD Authentifiziert werden wie Rechner, PrintServer, Member Server, Applikationen benötigen um mit Kerberos/LDAP zu arbeiten die DNS IP-Adresse der AD. Also 192.168.168.250.

     

     

    Nun gibt es eine Linux Umgebung die ebenfalls eine DNS Zone mit dem Namen intranet.dmz bzw. DNS Server IP 10.10.100.100 hat.

    Diese ist eine normale Standard DNS Zone. Hier werden alle Linux Systeme gepflegt und hinterlegt.

     

    Mit der zeit wurden es immer mehr und mehr Linux Server.... Auch bei Scripten für Admin zwecke sind die Hostnamen im FQDN Format (host01.intranet.dmz) hinterlegt.

     

    Nun sollen alle Linux Systeme in die Windows AD implemetiert werden. Hierzu weiss ich das, wenn ich ein Rechner gegen die AD binde, er den DNS Namen der AD wissen muss, die IP-Adresse des Domain Controllers, ggf. Realm Domain Name etc.....

    Nur dann kann ich ein Host in die AD hinzufügen um diese in der AD bekannt zu machen.

    Da ja Kerberos und UPN eine wichtige Rolle spielen.

     

    D.h ich trage an einem Linux System die IP: 192.168.168.250, Gebe den Domain Controller Namen der AD an: DC01, DNS Domain: intranet.local an.

    Nach dem der Rechner erfolgreich in der AD angebunden ist, kann man ihn über den Namen host01.intranet.local (FQDN) oder auch einfach mit host01 anpingen.

    Dieser Host wird automatisch in der AD DNS als Host eintrag hinzugefügt und gelistet.

     

    Nun die große Frage:

    Wenn aber gewollt wird das dass Linux System nicht als FQDN (host01.intranet.local) haben soll sondern weiterhin host01.intranet.dmz geführt werden soll würde das doch nicht gehen oder????

    Also damit könnte ich nicht gegen die AD anfragen/authentifizieren...

    Also man möchte nicht das sich der Host FQDN vom bisherigen ändert... aber denoch gegen die AD Authentifizert werden soll.

    Auch möchte man nicht als bevorzugten DNS Server den von der Active Directory eingetragen haben.(192.168.168.250) was aber wichtig ist.

    Hier soll weiterhin der DNS von der Standard DNS Zone intranet.dmz eingetragen sein. Also sprich 10.10.100.100.

     

    Geht dann hier überhaupt eine AD bzw. Kerberos Authentifizierung?? Ich denke mal nicht. Somit könnte sich kein User mit dem Linux Rechner am AD Anmelden....

    Ein Forward von denen ihren DNS zum AD DNS möchte ich nicht haben.. Da diese meiner meinung eher schlecht wäre..

     

    Aber ein Forwarder zu denen ihren DNS wäre eher besser, da diese ein Standard Zone ist.

     

    Hoffe euch nicht vollgetxtet zu haben... aber würde mich freuen wenn ihr mir helfen könntet.

     

    Besten dank.

     

    Tuesday, July 26, 2011 4:25 PM

All replies

  • * mighty82 (Tue, 26 Jul 2011 16:25:27 +0000)

    Nun die große Frage:

    Wenn aber gewollt wird das dass Linux System nicht als FQDN (host01.intranet.local) haben soll sondern weiterhin host01.intranet.dmz geführt werden soll würde das doch nicht gehen oder????

    Also damit könnte ich nicht gegen die AD anfragen/authentifizieren...

    Also man möchte nicht das sich der Host FQDN vom bisherigen ändert... aber denoch gegen die AD Authentifizert werden soll.

    Auch möchte man nicht als bevorzugten DNS Server den von der Active Directory eingetragen haben.(192.168.168.250) was aber wichtig ist.

    Hier soll weiterhin der DNS von der Standard DNS Zone intranet.dmz eingetragen sein. Also sprich 10.10.100.100.

     
    Geht dann hier überhaupt eine AD bzw. Kerberos Authentifizierung?? Ich denke mal nicht. Somit könnte sich kein User mit dem Linux Rechner am AD Anmelden....

    Was du schreibst, ist leider alles ziemlich wirr und ich vermute, daß du selbst gar nicht genau weißt, was du mit Active Directory-Integration meinst. Wie authentifizieren sich die Rechner denn? Via PAM/LDAP oder PAM/Kerberos? Welche Art von Authentifizierung? Desktop-Login (KDM/GDM)? Normalerweise authentifizieren sich Rechner nicht sonder User... (.dmz würde darauf deuten, daß es sich um Server handelt, die selbst wiederum authentifizieren).

    Wie auch immer: der FQDN des Clients ist sowohl dem Active Directory    DC als auch dem Client völlig egal.

    Thorsten

    Friday, July 29, 2011 1:34 PM
  • Hallo Thorsten,

    Was ich will ist ganz klar! Die Linux Welt die als solche ohne jegliche Authentifizierung existiert (quasi etc/passwd),  in unserer Umgebung gegen die AD zu authentifizieren. (Ja ich meine die User und nicht die Rechner)

    Aktuell arbeiten die Linux Server als Stand-alone.

    Was gibt ist eine Standard Linux Bind DNS Zone. Hier wurde mit der zeit alle A Einträge der gesamten Linux Systeme eingetragen.

    Da dieser Linux Server als IP die 10.10.100.100 hat und als Zone intranet.dmz, würde hier die anfrage an den Windows AD DNS fehl schlagen. Somit würde bei versuch mittels Tools wie Quest, Likewise die Authentifizierung nicht klappen.

    Es muss eben als DNS Server auf den Linux Systemen der DNS Server der AD stehen.  Einen Forwarder in der named.conf möchte ich nicht.

    Die Anfragen von den Linux Systemen sollten direkt zum Windows DNS und nicht einfach vom Linux DNS an den Windows DNS weiter geleitet werden mittels Forwarder Eintrag.

     

    Ist ja wie bei den Windows Systemen, da muss ich auch den DNS Server angeben um mich gegen die AD zu authentifizieren.

    Und genau das ist ja das Problem. Es soll nicht sein das auf allen Systemen der Linux Umgebung als bevorzugter DNS oder generell als DNS Server der Windows AD DNS Server steht...

    Auch das hinterlegen der Domain in jegliche config Dateien um die Windows AD/DNS zu kontaktieren soll im Linux System vermieden werden.


    Also wie soll das denn gehen??!!

    Es gibt Möglichkeiten wie eine Standardzone im Windows DNS mit dem Namen des Bind DNS Zonennamen anzulegen. (sprich intranet.dmz) Dann wären die Hostnamen weiter mit hostname.intranet.dmz betrieben.

    Hilft mir aber wenig.

    Oder einen Forwarder im Linux DNS zum Windows DNS...

    Aber das will ich nicht, da es evtl. zu Problemen mit den eingesetzten Tools (Quest, Likewise, etc) die für die Authentifizierung zuständig sind auf die Nase fallen könnten oder würden.

     

    Sprich ein Linux Host was den Hostnamen linux01

    als Domainname im resolf.conf mit intranet.dmz sowie als Nameserver 10.10.100.100 hat, gegen die Windows AD zu binden, um hier mit User Authentifizierung zu arbeiten. Aber es soll im DNS und im Eintrag Domain im Yast unter Network Connection nichts geändert werden. Sprich kein Eintrag eines Windows DNS Servers. Aber gegen die AD anbinden..!

    Gruss

    Friday, July 29, 2011 10:45 PM
  • * mighty82 (Fri, 29 Jul 2011 22:45:45 +0000)

    Die Linux Welt die als solche ohne jegliche Authentifizierung
    existiert (quasi etc/passwd),  in unserer Umgebung gegen die AD zu
    authentifizieren. (Ja ich meine die User und nicht die Rechner)

    Selbstverständlich ist das eine Authentifizierung, genauso wie Windows-
    Rechner, die nicht in einer Domäne sind, auch eine (lokale) Authentifizierung haben. 

    Die Anfragen von den Linux Systemen sollten direkt zum Windows DNS und
    nicht einfach vom Linux DNS an den Windows DNS weiter geleitet werden
    mittels Forwarder Eintrag.

    Ist ja wie bei den Windows Systemen, da muss ich auch den DNS Server
    angeben um mich gegen die AD zu authentifizieren.

    Windows-Systeme brauchen kein DNS zur Authentifizierung. Das ist nur, um überhaupt einen DC/KDC zu finden. Wenn du also Quest oder Likewise direkt den Namen oder die Adresse eines DCs mitgeben kannst, brauchst du keine Weiterleitung.

    Und genau das ist ja das Problem. Es soll nicht sein das auf allen Systemen der Linux Umgebung als bevorzugter DNS oder generell als DNS Server der Windows AD DNS Server steht...

    Auch das hinterlegen der Domain in jegliche config Dateien um die Windows AD/DNS zu kontaktieren soll im Linux System vermieden werden.

    Also wie soll das denn gehen??!!

    Oder einen Forwarder im Linux DNS zum Windows DNS...

    Aber das will ich nicht, da es evtl. zu Problemen mit den eingesetzten
    Tools (Quest, Likewise, etc) die für die Authentifizierung zuständig
    sind auf die Nase fallen könnten oder würden.

    Deine Furcht vor Weiterleitung ist wohl nicht mehr rational zu begründen.

    Aber es soll im DNS und im Eintrag Domain im Yast unter Network
    Connection nichts geändert werden. Sprich kein Eintrag eines Windows
    DNS Servers. Aber gegen die AD anbinden..!

    Um dich gegen einen LDAP-Server zu authentifizieren, brauchst du weder Quest noch Likewise ("In the tab LDAPSettings (in YaST), you can determine the LDAP server to use for authentication."). Und noch einmal: sowohl dem Server als auch dem Client sind der Domaenenname des Rechners herzlich gleichgültig.

    Thorsten

    Saturday, July 30, 2011 12:24 AM
  • Hallo,

    bist Du hier inzwischen weitergekommen?

    Gruss,
    Raul

    Monday, August 01, 2011 11:31 AM
    Owner
  • Hallo,

     

    also folgender Stand.

    Die Linux Systeme werden weiter ihren eigenen Linux DNS sowie DNS Suffix mit der Linux DNS Zone beibehalten.

    Im Linux DNS ist eine weiterleitung zum AD DNS Server.

     

    Das binden der Linux Systeme gegen die AD mittel Quest Authentication Service funktioniert.

    Nur hab ich Persönlich für mich eine Frage! Sobald ich ein Linux System was als IP den Linux DNS Server sowie als Hostname Linux01.intranet.dmz und als search Domain nur die Linux DNS Zone eingetragen hat gegen die AD anbinde, steht im Computerobjekt unter DNS Name der FQDN Name mit der Linux DNS Zone.

    Bsp: Linux.intranet.dmz obwohl die AD/DNS intranet.local lautet.

    Da ja von Thorsten beschrieben wurde das es für KDC egal ist was als DNS Server steht müsste es ja kein Problem sein richtig??

    Danke

     

    Thursday, August 18, 2011 9:11 PM
  • Nur hab ich Persönlich für mich eine Frage! Sobald ich ein Linux System was als IP den Linux DNS Server sowie als Hostname Linux01.intranet.dmz und als search Domain nur die Linux DNS Zone eingetragen hat gegen die AD anbinde, steht im Computerobjekt unter DNS Name der FQDN Name mit der Linux DNS Zone.

    Bsp: Linux.intranet.dmz obwohl die AD/DNS intranet.local lautet.

    Da ja von Thorsten beschrieben wurde das es für KDC egal ist was als DNS Server steht müsste es ja kein Problem sein richtig??

    Richtig. Dem Linux-Client ist es ziemlich egal, wichtig ist eventuell, dass die DNS-Auflösung des Clients funktioniert, wenn dort irgendwelche Freigaben etc. liegen. ein nslookup linux.intranet.dmz sollte also sowohl von Clients aus funktionieren, die den Windows-DNS eingetragen haben, als auch von Clients, die den Linux-DNS eingetragen haben. Nicht unbedingt erforderlich, wenn kein Dienst drauf läuft, aber wenn auf dem Linux-System zum Beispiel ein Apache Webserver läuft, dann sollen ja vielleicht Windows- und Linux-Clients den Apache finden. Falls das nicht gewünscht ist oder nicht vorkommt: forget it. Falls doch, wäre vielleicht eine Weiterleitung der intranet.dmz-Zone vom Windows DNS zum Linux DNS hilfreich...

    ciao, ralf


    Ralf Wigand, MVP Windows Server:Directory Services
    Tuesday, September 06, 2011 8:28 AM