3. Domänendienste / LDAP-Verzeichnisdienst
3.2. Domänenbeitritt
Ein UCS, Ubuntu- oder Windows-System muss nach der Installation der Domäne beitreten. Im Folgenden werden die verschiedenen Möglichkeiten hierzu vorgestellt.
Neben UCS, Ubuntu und macOS können auch weitere Unix-Systeme in die Domäne integriert werden; dies ist in [ext-doc-domain] beschrieben.
3.2.1. Domänenbeitritt von UCS-Systemen
Es gibt drei Möglichkeiten ein UCS-System einer bestehenden Domäne beitreten zu lassen; direkt am Ende der Installation im Univention Installer (siehe Abschnitt 2.9.3) oder nachträglich durch den Befehl univen-tion-join oder mit dem UMC-Module Domänenbeitritt.
Der Primary Directory Node sollte immer auf dem aktuellsten Release-Stand der Domäne installiert sein, da beim Join eines Systems in aktuellerer Version gegen einen älteren Primary Directory Node können.
Domänenbeitritt von UCS-Systemen
Beim Beitritt eines Rechners wird für diesen ein Rechnerkonto angelegt, die SSL-Zertifikate synchronisiert und ggf. eine LDAP-Replikation angestoßen. Außerdem werden am Ende des Join-Vorgangs Join-Skripte ausgeführt. Diese registrieren anhand der auf dem System installierten Software-Pakete z.B. weitere Objekte im Verzeichnisdienst (siehe Abschnitt 3.2.1.3).
Der Domänenbeitritt wird auf Client-Seite in der Logdatei /var/log/univention/join.log aufge-zeichnet, die zur Fehleranalyse herangezogen werden kann. Auf dem Primary Directory Node ausgeführte Aktionen werden in der Logdatei /home/Join-Account/.univention-server-join.log abge-legt.
Der Join-Vorgang kann jederzeit wiederholt werden. Nach bestimmten administrativen Schritten (etwa nach Änderungen wichtiger Systemeigenschaften auf dem Primary Directory Node) kann ein erneuter Beitritt der Systeme sogar zwingend erforderlich sein.
3.2.1.1. Nachträglicher Domänenbeitritt mit univention-join
univention-join fragt eine Reihe essentieller Parameter direkt ab, ist aber auch durch mehrere Parameter konfigurierbar:
◦ Der Primary Directory Node wird im Regelfall durch eine DNS-Abfrage ermittelt. Wenn das nicht möglich sein sollte (z.B. weil ein Standortserver mit einer abweichenden DNS-Domäne beitreten soll), lässt sich der Rechnername des Primary Directory Node den Parameter -dcname HOSTNAME direkt angegeben werden. Der Rechnername muss dabei als vollqualifizierter Name angeben werden, also beispielsweise primary.firma.de.
◦ Als Join-Account wird ein Benutzerkonto bezeichnet, das berechtigt ist, Systeme der UCS-Domäne hinzu-zufügen. Standardmäßig ist dies der Benutzer Administrator oder ein Mitglied der beiden Gruppen Domain Admins und DC Backup Hosts. Der Join-Account kann durch den Parameter -dcaccount ACCOUNTNAME übergeben werden.
◦ Das Passwort kann durch den Parameter -dcpwd DATEI übergeben werden. Das Passwort wird dabei aus der angegebenen Datei ausgelesen.
◦ Mit dem Parameter -verbose werden zusätzliche Debugausgaben in die Logdateien geschrieben, die die Analyse im Fehlerfall vereinfachen.
3.2.1.2. Domänenbeitritt über Univention Management Console Modul
Der Domänenbeitritt kann auch webbasiert über das UMC-Modul Domänenbeitritt erfolgen. Da auf einem noch nicht der Domäne beigetretenen System der Administrator-Benutzer noch nicht vorhanden ist, muss die Anmeldung am Modul als Benutzer root erfolgen.
Wie bei der Durchführung über die Kommandozeile sind für Domänenbeitritt Benutzername und Passwort eines Benutzers notwendig, der berechtigt ist, Rechner der Domäne hinzuzufügen. Ebenfalls wird der Primary Directory Node über eine DNS-Abfrage automatisch ermittelt, kann aber auch explizit im angezeigten Dia-logfeld eingetragen werden.
Mit der Option Erneut beitreten kann der Domänenbeitritt jederzeit erneut durchgeführt werden.
3.2.1.3. Join-Skripte / Unjoin-Skripte
Join-Skripte werden während des Domänenbeitritts aufgerufen. Beispiele für von Join-Skripten vorgenom-mene Änderungen sind die Registrierung eines Druckservers in der Domäne oder die Anpassung von DNS-Einträgen. Die Skripte sind Bestandteil der einzelnen Softwarepakete. Analog dazu gibt es Unjoin-Skripte, die nach der Deinstallation einer Softwarekomponente diese Änderungen wieder rückgängig machen.
Windows-Domänenbeitritt
Join-Skripte werden im Verzeichnis /usr/lib/univention-install/ und Unjoin-Skripte in /usr/
lib/univention-uninstall/ gespeichert. Jedes Join/Unjoin-Skript verfügt über eine Version. Ein Beispiel: Ein Paket ist bereits installiert und das Join-Skript schon aufgerufen. In der neuen Version des Pakets sind nun zusätzliche Änderungen nötig und die Versionsnummer des Join-Skripts wird erhöht.
Mit dem Befehl univention-check-join-status kann geprüft werden, ob Join- oder Unjoin-Skripte aufgerufen werden müssen (entweder weil sie noch nie oder in einer älteren Version aufgerufen wurde).
3.2.1.3.1. Nachträgliches Ausführen von Join-/Unjoin-Skripten
Gibt es auf einem System Join- oder Unjoin-Skripte, die noch nicht ausgeführt wurden oder die nur für eine ältere Version ausgeführt wurden, wird beim Öffnen eines UMC-Moduls eine Warnmeldung ausgegeben.
Nicht ausgeführte Join-Skripte können über das UMC-Modul Domänenbeitritt aufgerufen werden, in dem der Menüpunkt Alle Skripte ausführen aufgerufen wird.
Mit dem Befehl univention-run-join-scripts lassen sich alle auf einem System installierten Join-/
Unjoin-Skripte ausführen. Ob sie bereits gestartet wurden, prüfen die Skripte selbständig.
Der Name des Join/Unjoin-Skripts und die Skriptausgabe werden auch in /var/log/univenti-on/join.log festgehalten.
Wird univention-run-join-scripts auf einer anderen Systemrolle als Primary Directory Node aus-geführt, so wird der Benutzer nach einem Benutzernamen und einem Passwort gefragt. Auf dem Primary Directory Node kann dies durch die Option --ask-pass erreicht werden.
3.2.2. Windows-Domänenbeitritt
Der Domänenbeitritt von Microsoft Windows-Systemen zu einer durch Samba bereitgestellten UCS-Domäne wird nachfolgend für Windows 10 und Windows 2012 / 2016 / 2019 beispielhaft beschrieben. Bei anderen Windows-Versionen funktioniert der Beitritt ähnlich. Neben den Client-Versionen können auch Windows Server-Systeme der Domäne beitreten. Windows-Server treten der Domäne als Memberserver bei, ein Bei-tritt eines Windows-Systems als Domänencontroller wird nicht unterstützt. Weitere Hinweise finden sich in Abschnitt 9.1.
Nur domänenfähige Windows-Versionen können der UCS-Domäne beitreten, d.h. ein Domänenbeitritt mit den Home-Versionen von Windows ist nicht möglich.
Beim Domänenbeitritt wird automatisch ein Rechnerkonto für den Windows-Client erstellt (siehe Abschnitt 8.1). Angaben zu MAC- und IP-Adresse, Netzwerk, DHCP oder DNS können vor oder nach dem Domänenbeitritt durch UMC-Module ergänzt werden.
Der Domänenbeitritt wird in der Regel mit dem lokalen Administrator-Konto des Windows-Systems durch-geführt.
Der Domänenbeitritt dauert einige Zeit und sollte nicht vorzeitig abgebrochen werden. Nach einem erfolgrei-chen Beitritt erscheint ein kleines Fenster mit der Nachricht Willkommen in der Domäne Domänenname, die mit [OK] bestätigt werden muss. Abschließend muss der Rechner neu gestartet werden, um die Änderun-gen in Kraft zu setzen.
Domänennamen sollten auf 13 Zeichen beschränkt werden, da diese auf Seite der Windows-Clients ansonsten verkürzt dargestellt werden, was zu Anmeldefehlern führen kann.
Bei einem Domänenbeitritt gegen einen Domänencontroller auf Basis von Samba/AD muss die DNS-Konfi-guration des Clients so eingerichtet sein, dass DNS-Einträge aus der DNS-Zone der UCS-Domäne aufgelöst
Ubuntu-Domänenbeitritt
werden können. Außerdem muss die Zeit auf dem Client-System mit der Zeit auf dem Domänencontroller synchronisiert sein.
3.2.2.1. Windows 10
Der Domänenbeitritt ist nur mit der Pro und Enterprise-Edition von Windows 10 möglich.
Die Systemsteuerung kann über das Suchfeld Web und Windows durchsuchen, welches in der Startleiste zu finden ist gesucht und geöffnet werden. Unter System und Sicherheit -> System muss auf Einstellungen ändern -> Ändern geklickt werden.
Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Domäne in das Einga-befeld eingetragen werden. Es sollte dabei der vollständige Domänenname verwendet werden, bspw. mydo-main.intranet. Nach einem Klick auf die Schaltfläche [OK] muss in das Eingabefeld Benutzername der Benutzername eines Domänen Administrator, standardmäßig ist dies Administrator und in das Eingabe-feld Kennwort das Passwort des Domänen Administrator eingetragen werden. Abschließend kann der Domä-nenbeitritt mit einem Klick auf [OK] gestartet werden.
3.2.2.2. Windows Server 2012 / 2016 / 2019
Die Systemsteuerung kann erreicht werden, indem der Mauszeiger in die rechte untere Bildschirmecke bewegt wird. Anschließend kann unter Suchen -> Apps nach der Systemsteuerung gesucht werden. Unter System und Sicherheit -> System muss auf Einstellungen ändern -> Netzwerk ID geklickt werden.
Für den Domänenbeitritt muss das Optionsfeld Domäne markiert und der Name der Samba-Domäne in das Eingabefeld eingetragen werden. Nach einem Klick auf die Schaltfläche [OK] muss in das Eingabefeld Name der Name Administrator und in das Eingabefeld Kennwort das Passwort von uid=Administra-tor,cn=users,Basis-DN eingetragen werden. Abschließend kann der Domänenbeitritt mit einem Klick auf [OK] gestartet werden.
3.2.3. Ubuntu-Domänenbeitritt
Univention stellt den Univention Domain Join Assistant für die Integration von Ubuntu-Clients in eine UCS-Domäne bereit. Die Dokumentation und Installationshinweise sind auf Github1 zu finden.
3.2.4. macOS-Domänenbeitritt
UCS unterstützt den Domänenbeitritt von macOS-Clients in eine UCS-Umgebung mit Samba 4. Diese Anlei-tung bezieht sich auf macOS 10.8.2.
Der Domänenbeitritt kann über das Systemeinstellungsmenü oder den Kommandozeilenbefehl dsconfigad erfolgen.
Nach erfolgtem Domänenbeitritt besteht die Möglichkeit CIFS-Freigaben zu definieren, die bei der Anmel-dung eines Benutzers unterhalb von /Volumes automatisch eingehängt werden. Um dies zu erreichen, muss die folgende Zeile in die Datei /etc/auto_master eingefügt werden:
/Volumes auto_custom
Außerdem muss die Datei /etc/auto_custom angelegt werden und die einzubindenden Freigaben dort in der folgenden Form aufgeführt werden:
subfolder name-fstype=smbfs ://fqdn/sharename
1 https://github.com/univention/univention-domain-join
UCS-Systemrollen
Die eingebundenen Freigaben werden nicht in der Seitenleiste des Finders angezeigt.
3.2.4.1. Domänenbeitritt über das Systemeinstellungen-Menü
In den Systemeinstellungen kann über Benutzer das Menü Anmeldeoptionen ausgewählt werden. Die Anmeldung erfolgt durch einen Klick auf das Schloss in der linken unteren Ecke, dort muss das lokale Admi-nistrator-Konto und dessen Passwort angegeben und Netzwerk-Account-Server: Verbinden angeklickt wer-den.
Abbildung 3.1. Domänenbeitritt eines macOS-Systems
In den erweiterten Einstellungen sollte die Option Mobilen Account bei Anmeldung erstellen aktiviert wer-den. Sie bietet den Vorteil, das auch ohne Verbindung zur Domäne eine Anmeldung mit der Domänenbenut-zerkennung erfolgen kann
Der Domänenname muss nun im Feld Active Directory Domain und der Rechnername des macOS-Clients in das Feld Computer-ID eingetragen werden. Der Domänenbeitritt erfolgt nach einem Klick auf OK. Für den Domänenbeitritt muss ein Konto aus der Gruppen Domain Admins verwendet werden, z.B. Admi-nistrator.
3.2.4.2. Domänenbeitritt auf den Kommandozeile
Der Domänenbeitritt kann auch auf der Kommandozeile mit dem Befehl dsconfigad erfolgen:
dsconfigad -amac hostname-domainfqdn-ou "CN=Computers,ldap_base" \ -uDomain Administrator-mobile enable
Weitere Optionen werden mit dsconfigad -help angezeigt.