Entfernen von alten Kerneln auf einem Debian System

Die Debian-Installation ist schon älter und das /boot/ Verzeichnis müllt mit alten Kerneln zu…
In der Vergangenheit habe ich die alten Kernel einfach immer gelöscht, allerdings bleiben diese Pakete dann immer noch in der Obhut der Paketverwaltung, was nicht so ganz sauber ist.

Folgender Befehl deinstalliert alte Kernel sauber über die Paketverwaltung.

Was mache ich hier eigentlich? Zuerst erstelle ich mir eine Liste von allen in der Paketverwaltung aufgelisteten Paketen. Ich filtere dann den aktuell laufenden Kernel (der scheint ja immerhin zu funktionieren) heraus.
Das head am Ende lässt darüber hinaus die drei neusten Kernel übrig.
Wer möchte, kann die Zahl auch verringern.
Die fertige Liste gebe ich dann an apt-get weiter…

Join eines Ubuntu-Clients an eine Samba4 ActiveDirectory Domäne

Meine Motivation:

Ich bin seit einiger Zeit stolzer Besitzer einer ActiveDirectory-Domäne auf Samba4-Basis. Nicht, dass ich sie bräuchte, aber ich dachte mir, es ist cool eine zu haben. Da ich mittlerweile daran auch meinen Owncloud-Server und meinen ESXi angeschlossen habe und außerdem mein Zimbra-Server daran angebunden ist, ist zum Beispiel das Ändern von Passwörtern ein Kinderspiel.

Zurück zum Thema:

Ich habe hier noch einen etwas älteren Laptop rumliegen. Und da ich am Samstag in den Urlaub fahre, würde ich gerne einen Laptop mitnehmen. Dieser Laptop soll aber auch an die Domäne angebunden sein. Was ich also brauche, ist eine Domänenanbindung mit winbind offline logon – ähnlich wie auch bei Windows-Systemen. Dort ist es möglich, sich gegen die Domäne zu authentifizieren, selbst wenn die Dömäne gerade nicht erreichbar ist. Die entsprechenden Daten werden lokal auf dem Client dabei zwischengespeichert. Warum sollte das also nicht auch mit Ubuntu gehen?

Genug der schönen Worte! Legen wir endlich los

Erreichbarkeit der Domäne und Zeiteinstellungen

Da meine Domäne ja bereits besteht, teste ich zuerst, ob ich sie erreichen kann – damit ist sichergestellt, dass mit der DNS-Auflösung der Domäne alles soweit okay ist.

/etc/hosts vorbereiten

Die Datei /etc/hosts öffne ich einfach mit meinem Lieblingseditor „nano“ und ändere sie wie folgt:

Dann sollte allerdings sichergestellt sein, dass der Client auch immer die selbe IP-Adresse erhält.

Pakete installieren

Es werden diverse Pakete benötigt, die wir so auf das System schaufeln:

Einrichtung von Kerberos

Bei der Installation der Pakete wird eigentlich schon die Domäne in der /etc/krb5.conf richtig eingestellt. Ich benutze aber den Vorschlag aus dem Ubuntu-Wiki und ändere /etc/krb5.conf so ab:

Testen wir das Ganze mal

Wenn alles glatt läuft, haben wir ein Ticket erhalten

Ist ja der Hammer! Das hat schon mal geklappt – Also geht Kerberos jetzt.
ABER: Der Weg ist noch lang 😉

Installation und Einrichtung von Samba

Da habe ich eine eigene, funktionierende Config. Die sieht für mein Szenario so aus:

Versuchen wir nun, der Domäne beizutreten…

Cool. Wir sind drin – Aber wir sind leider immer noch nicht fertig! winbind muss noch neu gestartet werden.

Dann kann ich mir eine Liste der Domänenbenutzer ausgeben lassen.

Da sollten nun ein paar User und Gruppen aus der Domäne (nicht lokale Benutzer und Gruppen) angezeigt werden.

In der Datei /etc/nsswitch.conf müssen die Zeilen passwd: und group: so angepasst werden:

Der Rest bleibt, wie er ist.
Winbind neu starten

Dann muss noch folgende Zeile in die /etc/security/group.conf

Wenn sich der jeweilige Benutzer zum erstem Mal anmeldet, sollte auch automatisch sein Home angelegt werden. Mit

rufe ich die PAM-Konfiguration auf. „Create home directory on login“ muss dabei aktiviert werden.
Dann noch die Dienste neu starten

Wenn man sich jetzt mit einem Domänenuser einloggt, sollte es zumindest auf der Konsole und via SSH schon funktionieren.
Nach einem Reboot sollte nun auch der Login über den Display-Manager gehen.

Login eines Domänenusers, wenn das AD nicht erreichbar ist aka Cached Login

Wenn man mit dem Laptop unterwegs ist, was ja in der Regel öfter der Fall ist, sollte es möglich sein, sich auch dann anzumelden, wenn das AD gerade nicht erreichbar ist.
Das geht ziemlich einfach mit einem Eintrag in der /etc/samba/smb.conf zum Beispiel am Ende der Section [global]

Dann noch winbind neu starten und zum testen winbind offline setzen – checken, und am Schluss versuchen, ob der Login offline geht – Dann winbind wieder online setzen.

et voila haben wir nun ein an die Domäne angebundenes System mit der Möglichkeit sich auch offline anzumelden. Viel Spaß damit!

Jetzt wäre es noch schön, wenn das Home auf dem Server mit dem lokalen Home beim Login und Logout abgeglichen wird. Das beschreibe ich mal in einem späteren Beitrag.