Linux в домене Windows

Интеграция Linux серверов и рабочих станций в среду домена Active Directory.

Работа с терминальным Windows-сервером¶

Настройку Windows-сервера мы опустим. После настройки введите сервер в домен Calculate Directory Server — аналогично тому, как это делается для Windows Workstation.

Особого внимания заслуживает процесс запуска Windows-приложений в среде CLD.Для примера, создадим иконку запуска Photoshop

Важно, чтобы окно занимало весь экран и в то же время не заезжало под верхнюю панель.Управлять иконками можно на сервере: для этого создайте файл с иконкой в шаблоне пакета calculate-client в подмонтированном ресурсе

/var/calculate/remote/client-profile/always/.local/share/applications/photoshop.desktop

Файл должен быть следующего содержания:

Version=1.0
Name=Adobe Photoshop
GenericName=графический редактор
Comment=
Exec=/usr/bin/keyexec rdesktop "-s 'C:\\Program Files\\Adobe\\Adobe Photoshop CS3\\photoshop.exe' -d calculate -a 16 -g #-hr_x11_width-#x#-sum(h,hr_x11_height-31)-# -T 'Adobe Photoshop' -S standard -zNDKE -p - winserver.localnet.org" 
Icon=photoshop
Terminal=false
StartupNotify=true
Type=Application
Categories=Graphics;
  • Имя сервера winserver.localnet.org нужно заменить на имя вашего сервера.
  • Иконка photoshop входит в состав Calculate Linux Desktop.
  • Размер окна вычисляется в функции sum, где 32 — высота верхней панели.
  • Утилита keyexec позволяет запускать приложения по хранимому в ключах ядра паролю.
  • Если вы предпочитаете хранить пароль доступа к 1С в иконке запуска, воспользуйтесь функцией load для считывания и подстановки содержимого файла в шаблон.

Что дальше

Следующая статья этой серии Изучаем Linux, 302 (смешанные среды): интеграция с протоколом CIFS содержит материалы цели 314.1 темы 314. В ней рассматривается интеграция компьютеров Linux в сеть Server Message Block (SMB)/Common Internet File System (CIFS) в качестве клиентов общих файловых ресурсов. Вы узнаете об использовании инструментария автономных клиентов, а также о монтировании общих ресурсов SMB/CIFS в иерархии стандартной файловой системы Linux.

Похожие темы

Войдите или
зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.

Подпишите меня на уведомления к комментариям

Настройка PAM

После того, как вы настроили параметры в файле smb.conf, необходимо разобраться с конфигурацией PAM. Мы уже рассказывали о PAM в статье Изучаем Linux, 302 (смешанные среды): проверка подлинности и авторизация, но для утилит, не связанных с Samba, есть смысл добавить в качестве инструмента проверки подлинности Winbind, а не проверять пользователей Samba с помощью PAM. Эта процедура имеет свои тонкости, поскольку в различных дистрибутивах PAM настраивается по-разному, поэтому изменения, прекрасно работающие в одном дистрибутиве могут совершенно не работать в другом.

Что представляет собой PAM

PAM – это набор библиотек, которые могут использоваться приложениями, требующими проверки подлинности, например, программами (управляет входом в систему в текстовом режиме), X Display Manager (управляет входом в систему в графическом режиме) или POP3-почтовым сервером. Для создания более гибкой системы PAM можно настраивать с помощью конфигурационных файлов, о чем будет рассказано ниже.

PAM – это сложная система, а поскольку в различных дистрибутивах она имеет разные конфигурации, и их невозможно полностью описать в этой статье (ссылки на дополнительную документацию PAM вы можете найти в разделе ). Конфигурация PAM настраивается в файлах директории /etc/pam.d, в большинстве из которых описывается, как работает PAM с определенными программами, например, с программой или сервером SSH. Тем не менее, большинство дистрибутивов содержит глобальные конфигурационные файлы PAM, такие как system-auth или common- имястека, где имястека – имя одного из четырех стеков PAM (каждый стек соответствует определенному типу действий, выполняемых PAM).

Изменение стека PAM

Если вы собираетесь изменять конфигурацию PAM, то необходимо определиться с тем, должны ли вносимые изменения влиять на все службы входа или только на некоторые из них (чтобы узнать, службы входа каких типов установлены в вашей системе, просмотрите файлы в директории /etc/pam.d, чтобы выяснить, все ли они должны использовать Winbind). Если необходимо изменить только одну или две службы (например, POP3-сервер) и не использовать Winbind для остальных служб (например, для FTP-сервера), то редактируйте только файл для той службы, которую нужно изменить. Если же необходимо применить изменения ко всем службам, то редактируйте общий файл, например, system-auth.

Типичный стек PAM выглядит примерно так, как показано в листинге 2 (это файл /etc/pam.d/common-auth из дистрибутива Ubuntu 10.10).

Листинг 2. Пример стека PAM
auth    pam_unix.so nullok_secure
auth  requisite                   pam_deny.so
auth  required                    pam_permit.so

К сожалению, синтаксис этого примера не очень понятен. Модуль управляет аутентификацией, используя файлы локальной базы данных паролей, а параметр в этой же строке означает, что PAM пропускает одну строку, когда этот модуль возвращает сообщение об успешной аутентификации. Таким образом, модуль (который всегда возвращает код ошибки аутентификации) всегда пропускается в случае успешного выполнения модуля , и вход в систему выполняется успешно.

Чтобы изменить эту конфигурацию и внедрить использование Winbind, необходимо добавить ссылку на модуль и изменить количество пропускаемых строк в строке . Конечная конфигурация приведена в листинге 3 (изменения выделены жирным шрифтом).

Листинг 3. Стек PAM с поддержкой Winbind
auth    pam_unix.so nullok_secure
auth    pam_winbind.so cached_login try_first_pass
auth  requisite                   pam_deny.so
auth  required	                  pam_permit.so

В дистрибутивах, отличных от Ubuntu, необходимо внести в конфигурацию PAM другие изменения, но перед этим нужно полностью разобраться в исходной конфигурации. Учтите также, что нужно изменить все четыре стека – , , и . Все эти стеки могут находиться в одном файле либо быть разнесены по нескольким. Если вам необходимо изменить отдельные службы, то в конфигурационных файлах каждой из них необходимо изменить все четыре стека.

В некоторых дистрибутивах необходимые изменения в конфигурации PAM вносятся при установке пакета Winbind. Таким образом, вам вообще не нужно вносить никаких изменений вручную.

Настройка KERBEROS

Делаем симлинк конфига kerberos от samba4:

sudo ln -s varlibsambaprivatekrb5.conf etc

Получаем билет:

kinit [email protected]

При получении билета видим сообщение в котором сказано что аккаунт администратора действителен в течении 41 дня.

Warning: Your password will expire in 41 days ...

Сразу изменим длительность аккаунта:

sudo samba-tool domain passwordsettings set --max-pwd-age=999

и проверяем что аккаунт будет работать еще 999 дней

sudo samba-tool domain passwordsettings show
 
...
Maximum password age (days): 999

Полученный билет можем посмотреть по команде:

klist

Конфигурирование samba4

Внимание, в процессе надо будет ввести желаемый пароль администратора. Пароль должен быть сложным, иметь цифры и заглавные буквы!

sudo samba-tool domain provision --use-rfc2307 --interactive

Отвечаем на вопросы, подставляя свое название домена:

  • Realm : ADSAMBA.LOC ←- название домена
  • Domain : ADSAMBA ←- короткое имя домена
  • Server Role (dc, member, standalone) : dc ←- роль сервера(в данном случаем dc — контроллер домена)
  • DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) : BIND9_DLZ ←- используемый днс-сервер
  • Administrator password:
  • Retype password:

Если в процессе конфигурирования возникли ошибки связанные с названием домена или паролем администратора, для того что заново запустить конфигурирование, проделайте следующее:

sudo apt-get purge samba
sudo apt-get install samba
sudo rm etcsambasmb.conf

Авторизация в Ubuntu через пользователей домена

Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.

Он-лайн авторизация

Для Ubuntu 10.04 и выше добавьте всего одну строку в файле , т.к. PAM и так неплохо справляется с авторизацией:

session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077

Для Ubuntu 9.10 и ниже придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 — он тоже работает):

Последовательность строк в файлах имеет значение!

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so
account     sufficient    pam_winbind.so
account     required      pam_unix.so
session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ck_connector.so nox11
session     required      pam_limits.so
session     required      pam_env.so
session     required      pam_unix.so
password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_winbind.so
password    required      pam_deny.so

И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:

sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"

Что эквивалентно запуску для каждого уровня (в примере — 4) команды:

mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

В некоторых случаях winbind может иметь иной уровень запуска (например, S02winbind). Поэтому сначала проверьте имена файлов, вполнив команду «ls /etc/rc{2,3,4,5}.d/ | grep winbind» (без кавычек).

Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.

Офф-лайн авторизация

Часто возникает ситуация, когда домен-контроллер недоступен по различным причинам — профилактика, отключение света или вы принесли ноутбук домой и хотите поработать. В этом случае для Winbind можно настроить кэширование учетных записей пользователей домена. Для этого необходимо сделать следующее. Добавьте в секцию файла следующие строки:

   # Возможность оффлайн-авторизации при недоступности доменконтроллера
   winbind offline logon = yes
   # Период кэширования учетных записей, по умолчанию равен 300 секунд
   winbind cache time = 300
   # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc, 
   # можно указать и ip, но это является плохим тоном
   password server = dc

Обычно этого достаточно. Если же возникают ошибки, то необходимо создать файл со следующим содержанием:

Внимание! При использовании советов ниже может возникать совершенно случайная ошибка «Сбой аутентификации»! Поэтому все что Вы делаете, Вы делаете на свой страх и риск!

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#

  # turn on debugging
  debug = no
  # request a cached login if possible
  # (needs "winbind offline logon = yes" in smb.conf)
  cached_login = yes
  # authenticate using kerberos
  krb5_auth = yes
  # when using kerberos, request a "bbcode" krb5 credential cache type
  # (leave empty to just do krb5 authentication but not have a ticket
  # afterwards)
  krb5_ccache_type = FILE
  # make successful authentication dependend on membership of one SID
  # (can also take a name)
  ;require_membership_of =
  silent = yes

Файл в таком случае принимает вид:

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

А также изменяется файл :

auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

Надеюсь он у вас есть.

Конечно, если ваша сеть не настроена так, что DNS сервер домена не совпадает с доменконтроллером. Кроме того, если у вас есть несколько DNS серверов, то стоит прописать их все.

Если пользователей домена очень много, то команды будут выполняться тоже очень долго.

Добавляем в домен компьютер linux (xubuntu+likewise)

Столкнулся с задачей уже давно, а вот оставить заметочку, решился только сейчас.

Как подключить компьютер с операционной системой linux (xubuntu 13.10) к домену на windows ?

Основная задача, чтобы пользователь проходил аутентификацию на контроллере домена с операционной системой windows server 2012 r2. Также хотелось бы иметь возможность удалённого доступа по SSH   для группы «администраторы домена».

обновляем систему

sudo apt-get update && sudo apt-get upgrade

Меняем имя компьютера.

sudo nano /etc/hostname

Чтобы избавится от возможных ошибок, также исправляем имя компьютера в файле /etc/hosts

Правим конфигурационный файл nsswitch.conf, который говорит системе как мы будем «резолвить» (обрабатывать DNS запросы)

sudo nano /etc/nsswitch.conf

Вносим исправления согласно рисунка

Если у вас в сети настроен и работает DHCP-сервер, то скорее всего эта настройка вам не понадобится. Но на всякий случай укажу. В конфигурационном файле /etc/resolv.conf должна быть запись о сервере имён (DNS), который способен вернуть записи о контроллере домена. В нашем случае контроллер домена и DNS-сервер это один и тот же сервер. Открываем и редактируем

sudo nano /etc/resolve.conf

Содержимое файла. В моём случаем xaxa.local — это название домена, а 192.168.11.11 — IP-адрес DNS-сервера

search xaxa.local
nameserver 192.168.11.11

После того как предварительная настройка системы завершена, переходим к установке LikeWise

sudo apt-get install likewise-open-gui

Открываем терминал (CTRL+ALT+T) и запускаем sudo domainjoin-gui

Если все правильно сделали, должно появиться сообщение об успешном входе в домен

Проверяем на контроллере домена появился ли новый компьютер

Для того, чтобы lightdm прочитал и применил настройки скрытия пользователей из users.conf, необходимо в /etc/lightdm/lightdm.conf добавить строчку greeter-hide-users=true

sudo sh -c ‘echo “greeter-show-manual-login=true” >> /etc/lightdm/lightdm.conf’

Теперь предоставим доменной группе «Администраторы домена» права для выполнения команд от суперпользователя

sudo nano /etc/sudoers

добавляем строчку

%Администраторы^домена ALL=(ALL) ALL

Перезагружаем компьютер и перезагружаем

Так же на фаерволе должны быть открыты следующие порты:

53  (UDP/ TCP) — DNS88 (UDP/TCP) — Kerberos 5123 (UDP) — NTP137 (UDP) — NetBIOS Name Service139  (TCP) — NetBIOS Session (SMB)389 (UDP/TCP) — LDAP445 (TCP) — SMB over TCP464 (UDP/TCP) — Machine password changes (typically after 30 days)3268 (TCP) — Global Catalog search

Но, по умолчанию в ubuntu порты открыты !

Тестируем с правами АДМИНИСТРАТОРА ДОМЕНА

доступ к выполнению команд от суперпользователя

Проверяем в каких группах нас видит система

Тестируем с правами ПОЛЬЗОВАТЕЛЯ ДОМЕНА

Документация и ссылки для вкуривания:

  1. http://help.ubuntu.ru/wiki/ввод_в_домен_windows
  2. https://www.youtube.com/watch?v=_F0pbnLrKAs
  3. https://www.youtube.com/watch?v=sVT-0t4d48I
  4. http://sidelnikov.wordpress.com/2010/09/17/ubuntu-в-домене-windows-2008-server/
  5. http://sysadminblogger.wordpress.com/2013/09/23/joining-ubuntu-13-04-to-windows-domain/
  6. http://manpages.ubuntu.com/manpages/lucid/ru/man5/nsswitch.conf.5.html

Остались или есть ещё вопросы? Задавайте!
(не забудьте указать ссылку на этот пост)

Популярные записи

  • Прошиваем 3G-модем HUAWEI E171 (все операторы) — 70 107 просмотра(ов)
  • Настраиваем сетевой сканер в Kyocera FS-1135MFP — 58 637 просмотра(ов)
  • Установка Windows 8 без ключа продукта (EI.cfg и PID.txt) — 39 581 просмотра(ов)
  • Устанавливаем контроллер домена Active Directory (AD DS) + DNS + DHCP на Windows server 2012 R2 — 36 784 просмотра(ов)
  • Настройка сети в CentOS Linux — 35 427 просмотра(ов)
  • Туннельный адаптер isatap — удаляем лишнее — 28 366 просмотра(ов)
  • Chrome — Код ошибки: ERR_EMPTY_RESPONSE — 28 262 просмотра(ов)
  • Программы для записи с веб-камеры — 26 755 просмотра(ов)
  • Zalman ZM-VE300 (Обзор, прошивка, тест) — 26 548 просмотра(ов)
  • FreeRDP примеры подключения — 25 171 просмотра(ов)

Интересные записи

  • Не переключается раскладка в Windows 7 (Средний бал: 5,00)
  • GRUB: error: unknown filesystem. grub rescue> (Средний бал: 5,00)
  • Ошибка WORD: Mеждустрочный интервал (Средний бал: 5,00)
  • Настройка сети в FreeBSD (unix) (Средний бал: 5,00)
  • Устанавливаем прозрачный Squid на pfSense (Средний бал: 5,00)
  • Настраиваем сетевой сканер в Kyocera FS-1135MFP (Средний бал: 5,00)
  • Zalman ZM-VE300 (Обзор, прошивка, тест) (Средний бал: 5,00)
  • Запускаем приложения / настройки windows из командной строки (cmd) (Средний бал: 5,00)
  • FreeNAS (backup) — организация бэкапа (Средний бал: 5,00)
  • Вышла Ubuntu 12.04 LTS (Precise Pangolin) Beta 1 (Средний бал: 5,00)

Стоит глянуть

Процесс настройки

Пример демо-зоны

  • Сервер — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit;
    • libengine-pkcs11-openssl;
    • opensc.
  • Клиент — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
    • JaCarta IDProtect 6.37;
    • libccid;
    • pcscd;
    • libpcsclite1;
    • krb5-pkinit.

Предполагается, что ALD уже развернут, существует минимум один доменный пользователь, который может аутентифицироваться по паролю, время клиента и сервера совпадают.

Установка драйверов на сервер и клиент

JaCarta PKIlibccid, pcscd, libpcsclite1пакет драйверов IDProtectClientald/kerberoskrb5-pkinitJaCarta PKIlibengine-pkcs11-opensslopensc

Установка и настройка центра сертификации на сервере

(CA) OpenSSLOpenSSL

  1. Создайте каталог CA командой mkdir /etc/ssl/CA и перейдите в него. В этом каталоге будут размещаться сгенерированные ключи и сертификаты.
  2. Создайте ключ и сертификат CA:
    $ openssl genrsa -out cakey.pem 2048
    $ openssl req -key cakey.pem -new -x509 –days 365 -out cacert.pem
    В диалоге заполните необходимую информацию о вашем центре сертификации. В Common name указать EXAMPLE.RU.
  3. Создайте ключ и сертификат KDC:
    $ openssl genrsa -out kdckey.pem 2048
    $ openssl req -new -out kdc.req -key kdckey.pem
    В диалоге заполните необходимую информацию о вашем сервере. В Common name указать kdc.
  4. Установите переменные среды. Переменные среды устанавливаются в рамках сессии и не устанавливаются для других сессий и не сохраняются после закрытия сессии.
    export REALM=EXAMPLE.RU — Ваш домен
    export CLIENT=kdc — Вашего сервер
  5. Загрузите файл pkinit_extensions — http://dms.aladdin-rd.ru/970c5538-afbf-4a26-a7ef-d76550cbc435

pkinit_extensions

  1. Выпустите сертификат KDC:
    $ openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert –CAcreateserial –days 365
  2. Файлы kdc.pem, kdckey.pem, cacert.pem перенесите в /var/lib/krb5kdc/
  3. Создайте резервную копию файла /etc/krb5kdc/kdc.conf. Отредактируйте /etc/krb5kdc/kdc.conf, дополнив секцию следующими записями:
    pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem
    pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem
    Первая запись задает ключи и сертификат сервера, а вторая указывает на корневой сертификат центра сертификации.
  4. Для принятия изменений выполните:
    /etc/init.d/krb5-admin-server restart
    /etc/init.d/krb5-kdc restart

Подготовка смарт-карты. Выпуск ключей и сертификата пользователя

libengine-pkcs11-opensslopenscpkcs11-tool—slot 0—init-token—so-pin 00000000—label ‘JaCarta PKI’—module /lib64/libASEP11.so—slot 0—init-pin—so-pin 00000000—login—pin 11111111—module /lib64/libASEP11.so—slot 0—login —pin 11111111—keypairgen —key-type rsa:2048—id 42—label “test1 key”—module /lib64/libASEP11.so

-new -key 0:4242—slot 0—login —pin 11111111—write-object ./client.cer—type ‘cert’‘cert’ —label ‘Certificate’id 42module /lib64/libASEP11.so

Настройка Samba и вход в домен

Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле . На данном этапе вас должны интересовать только некоторые опции из секции . Ниже — пример части файла конфигурации Samba с комментариями по поводу значения важных параметров:

   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
   # последней секции после точки, а realm - полное имя домена 
   workgroup = DOMAIN
   realm = DOMAIN.COM

   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   encrypt passwords = true
   # Просто важные 
   dns proxy = no 
   socket options = TCP_NODELAY

   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   # Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes

После того, как вы отредактируете выполните команду

testparm

Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём:

# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

Как видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду:

net ads join -U username -D DOMAIN

И в случае успеха вы увидите что-то похожее на:

# net ads join -U username -D DOMAIN
Enter username's password:
Using short domain name -- DOMAIN
Joined 'SMBSRV01' to realm 'domain.com'

Используемые параметры команды net

: Обязательный параметр, вместо необходимо подставить имя пользователя с правами администратора домена, и указать пароль.

: — собственно сам домен, домен можно и не указывать, но лучше всё же это всегда делать — хуже не будет.

: , можно не указывать, но бывают случаи когда автоматически сервер не находит контроллер домена.

: В AD часто используется OU (Organizational Unit), есть в корне домена OU = Office, в нем OU = Cabinet, чтобы сразу добавить в нужный можно указать так: sudo net ads join -U username createcomputer=«Office/Cabinet».

Если больше никаких сообщений нет — значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо.

Так же можно набрать команду:

net ads testjoin

Если все хорошо, можно увидеть:

#net ads testjoin
Join is OK

Но иногда после сообщения о присоединении к домену выдаётся ошибка наподобие:

DNS update failed!

Это не очень хорошо, и в этом случае рекомендуется ещё раз прочитать раздел про настройку DNS чуть выше и понять, что же вы сделали не так. После этого нужно удалить компьютер из домена и попытаться ввести его заново. Если вы твердо уверены, что всё настроили верно, а DNS всё равно не обновляется, то можно внести вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать. Конечно, если нет никаких других ошибок, и вы успешно вошли в домен. Однако лучше всё же разберитесь, почему DNS не обновляется автоматически. Это может быть связано не только с вашим компьютером, но и с некорректной настройкой AD.

Прежде чем выяснять, почему же не обновляется DNS, не забудьте перезагрузить компьютер после введения в домен! Вполне возможно, что это решит проблему.

Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Для этого установите :

sudo aptitude install smbclient

Теперь можно просматривать ресурсы компьютеров домена. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером :

smbclient -k -L workstation

Вы должны увидеть список общих ресурсов на этом компьютере.

Синхронизация времени[править]

С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.

Для более ранних версий:

править

На сервере включается через xinetd daytime-tcp :

# chkconfig --list | grep daytime-tcp
        daytime-tcp:    вкл

А на клиенте — служба settime-rfc867:

chkconfig settime-rfc867 on
service settime-rfc867 start
Способ 3: Через Центр управления системой → Дата и времяправить

Включите флажок «Получать точное время с NTP-сервера» и укажите в поле справа pool.ntp.org. После этого нажмите кнопку «Применить».

Способ 4: Через ntpdateправить
ntpdate pool.ntp.org

Ввод в домен в Центре управления системойправить

Предварительная настройка — PreliminaryActions

В Центре управления системой перейдите в раздел Пользователи → Аутентификация

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости.

Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».

Ввод в домен в командной строкеправить

# system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word'
Joined 'HOST-15' to dns domain 'school.alt'

Проверка работыправить

# getent passwd ivan
ivan:*:10005:10002:ivan:/home/SCHOOL/ivan:/bin/bash

# net ads info
LDAP server: 192.168.1.1
LDAP server name: c228.school.alt
Realm: SCHOOL.ALT
Bind Path: dc=SCHOOL,dc=ALT
LDAP port: 389
Server time: Ср, 22 апр 2015 16:22:47 MSK
KDC server: 192.168.1.1
Server time offset: -1

# net ads testjoin
Join is OK

Примечание:
Вы не увидите пользователей из AD с помощью команды на клиентской машине. Этот функционал отключен по-умолчанию для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя . Список пользователей можно посмотреть на сервере командой

Примечанияправить

  1. Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен
  2. При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon — (доменная зона «local.» используется в технологии zeroconf).
  3. Следите за синхронизацией времени на клиенте и сервере.
  4. Для предотвращения кэширования имён пользователя отключите службу nscd.
  5. В новых версиях Samba до запуска службы winbind должна запускаться служба smb.
  6. Если возникает проблема просмотра билетов Kerberos под доменным пользователем, скопируйте правильный krb5.conf из samba:
    rm -f /etc/krb5.conf
    cp /var/lib/samba/smb_krb5/krb5.conf* /etc/krb5.conf
    
  7. Если у вас домен Windows 2003 (не R2), то в директивы default_tgs_enctypes, default_tkt_enctypes и preferred_enctypes файла /etc/krb5.conf добавьте ещё DES3-CBC-SHA1.
Рейтинг
( Пока оценок нет )
Понравилась статья? Поделиться с друзьями:
HOSTBOARD.RU
Добавить комментарий