Vertrauensstellungen

9.4. Vertrauensstellungen#

Vertrauensstellungen zwischen Domänen ermöglichen es den Benutzern einer Domäne, sich an Rechnern einer anderen Domäne anzumelden.

Vertrauensstellungen können unidirektional oder bidirektional eingerichtet werden. Technisch entspricht eine bidirektionale Vertrauensstellung zwei unidirektional konfigurierten Vertrauensstellungen in beide Richtungen.

Die Terminologie von Vertrauensstellungen hängt von der Perspektive der vertrauenden oder der vertrauten Domäne ab: Aus Sicht der vertrauenden Domäne ist die Vertrauensstellung ausgehend und aus Sicht der vertrauten Domäne eingehend.

Ausgehende Vertrauensstellungen (UCS vertraut Windows) werden in Samba/AD-Domänen nicht unterstützt. Entsprechend werden auch keine bidirektionalen Vertrauensstellungen unterstützt.

Während der Einrichtung und Nutzung von Vertrauensstellungen müssen sich die Domänencontroller der beiden Domänen über das Netzwerk erreichen und gegenseitig per DNS identifizieren können. Zumindest die voll qualifizierten DNS Namen der Domänencontroller der jeweils anderen Domäne müssen auflösbar sein, damit die Kommunikation zwischen den Domänen funktioniert. In beiden Domänen richtet man zu diesem Zweck eine bedingte DNS Weiterleitung ein.

Für das folgende Beispiel sei angenommen, dass der UCS Samba/AD DC Primary Directory Node primary.ucsdom.example die IP-Adresse 192.0.2.10 hat und dass der Active Directory Domänencontroller dc1.addom.example der entfernten Domäne die IP-Adresse 192.0.2.20 hat.

Auf der UCS-Seite lässt sich die bedingte Weiterleitung von DNS-Anfragen mit folgenden Schritten als root einrichten:

$ cat >>/etc/bind/local.conf.samba4 <<__EOT__
zone "addom.example" {
  type forward;
  forwarders { 192.0.2.20; };
};
__EOT__
$ systemctl restart bind9

Der Erfolg kann mit folgendem Befehl überprüft werden:

$ host dc1.addom.example

Zusätzlich kann es sinnvoll sein, für den Domänencontroller der entfernten Active Directory Domäne einen statischen Eintrag in der Datei /etc/hosts anzulegen:

$ ucr set hosts/static/192.0.2.20=dc1.addom.example

Auf dem Windows AD DC kann über die DNS-Server Konsole eine sogenannte Bedingte Weiterleitung (Conditional Forwarding) für die UCS-Domäne eingerichtet werden.

Vertrauensstellungen können nur auf Domänencontrollern eingerichtet werden, gelten dann aber für die gesamte Domäne.

Nach dieser Vorarbeit kann die Vertrauensstellung direkt von der Kommandozeile des UCS Samba/AD DCs eingerichtet werden. In Samba/AD Domänen ist diese Konstellation sehr einfach an der Kommandozeile über das Werkzeug samba-tool einzurichten:

$ samba-tool domain trust create addom.example \
 -k no -UADDOM\\Administrator%ADAdminPassword \
 --type=external --direction=incoming

Mit folgenden Kommandos kann die Vertrauensstellung überprüft werden:

$ samba-tool domain trust list
$ wbinfo --ping-dc –domain=addom.example
$ wbinfo --check-secret –domain=addom.example

Nach der Einrichtung sollte sich ein Benutzer an Systemen der Windows Active Directory Domäne anmelden können. Als Login-Name muss dabei entweder das Format UCSDOM\username oder der Kerberos Prinzipal in der Notation username@ucsdom.example angegeben werden.