Um an einem Linuxserver eine Anmeldung per Windows-Domain zu ermöglichen, wird zum Beispiel der Dienst WinBind benötigt.
Eine Domänen anbindung macht am meisten Sinn, wenn mehrere User mit einem Server arbeiten sollen.

Der Domänen Namen lautet hier: lab
Der Domänen Server (Windows): 192.168.2.100
Der Linux Server: linuxsrv1

Vorrausetzung ist, dass der Hostname unter 15 Zeichen lang ist:
/etc/hostname = linuxsrv1
/etc/hosts = 127.0.0.1 linuxsrv1.lab.local linuxsrv1

Als DNS muss der Windows Domaincontroller benutzt werden:

nano /etc/resolv.conf
nameserver 192.168.2.100

Wir installieren auf dem Linuxserver die Dienste:

apt-get install winbind libpam-winbind libnss-winbind krb5-config resolvconf
Default Kerberos version 5 realm: lab.local

Um das Home Directory automatisch erstellen zu lassen, wenn sich ein User auf dem Linuxserver einwählt:

nano /etc/pam.d/common-session
session optional pam_mkhomedir.so skel=/etc/skel umask=077

Im Samba muss noch etwas geändert werden und die Domain Einstellungen eingetragen werden:

nano /etc/samba/smb.conf
# line 29: change workgroup name to the one for AD DS and add lines like follows
workgroup = lab
#password server =
realm = LAB.LOCAL
security = ads
idmap config * : range = 16777216-33554431
template homedir = /home/%U
template shell = /bin/bash
winbind use default domain = true
winbind offline logon = false

Nsswitch Config und Domain .local Auflösung ermöglichen:

nano /etc/nsswitch.conf
passwd:     compat winbind
group:     compat winbind
shadow:     compat winbind
hosts: files mdns4_minimal dns

nano /etc/avahi/avahi-daemon.conf
[server]
#host-name=foo
domain-name=.alocal

Jetzt noch die Dienste neustarten:

systemctl restart avahi-daemon.service

Und Testen, ob die DNS-Auflösung funktioniert:

ping lab.local

Wir tretten der Domäne bei mit einem Domain Join. Dazu wird ein Administrator Account der DOmäne benötigt, in dem Fall hier Administrator:

net ads join -U Administrator

Prüfen ob wir drin sind:

wbinfo -u

Kommt etwas vernünftiges zurück, hat es geklappt. Eine Anmeldung ist jetzt mit jedem Domain-User möglich.

Duplicity ist ein Backuptool, welches mit einem PGP-Key verschlüsseltes Backups, auf einem anderen Server anlegt. FÜr die Datensicherung also ideal. Als Speicherort können viele Variatnen, wie SSH, SCP, Amazon S3 oder auch OneDrive oder Dropbox verwendet werden.
Es können inkrementelle und volle Backups angelegt werden. Inkrementelle Backups sichern nur die Änderungen zum letzen Vollbackup.

weiterlesen

Da ich meinen Raspberry PI grundsätzlich nur als „NAS“ missbrauche, soll er so clean wie möglich bleiben. D.h. keine zusätzliche Software, die nicht nötig ist.
Um jetzt aber OpenVPN zu testen und ggf. dauerhaft laufen zu lassen (wenn es klappt) will ich nicht meinen produktiven RPI zerstören und später neuinstallieren.
weiterlesen

Die Lets Encrypt CA ist eine kostenlose Zertifizierungsstelle für vertrauenswürdige und kostenlose Zertifikate. Wunderbar also für einen eigenen nginx Server. Das Script was auf Python Basis aufbaut, aktualisiert automatisch alle 90 Tage bzw. früher die erstellten Zertifikate. Ebenso richtet es automatisch die vHosts bei Apache Webservern ein. So zumindest der Plan.

weiterlesen

Mail Verschlüsselung wird immer wichtiger und immer mehr Leute wollen sie nutzen. Wenn man sich 10 Minuten damit auseinander setzt, ist es gar nicht so kompliziert und schwer zu bewältigen.

Die E-Mail Verschlüsselung ist zusätzlich zum verschlüsselten Transport über TLS/SSL zu sehen, was die meisten Anbieter mittlerweile anbieten. Dabei wird aber wirklich nur die Verbindung vom Client zum Server und mit Glück noch von Server zu Server verschlüsselt. Die Mails selber liegen im Klartext auf den Servern und werden im Klartext übertragen. weiterlesen

Das SSH Protokoll liegt auf dem Port 22. Dadurch das ein vServer ständig am Netz hängt, wird er früher oder später ziemlich viele Logins von Scripten auf eben Port 22 bekommen. Die dann hoffentlich im Sand verlaufen, weil das Passwort ziemlich sicher ist oder nur ein Login per Schlüssel erlaubt ist. weiterlesen

Sind wir mal ehrlich, wofür brauche ich in meinem Blog die Log-Einträge mit kompletter IP und Uhrzeit ? Sicher, wenn ein Fehler auftritt, kann ich schnell feststellen wo und was passiert ist, aber effektiv wird das Logging auf Dauer nicht benötigt. weiterlesen