Работа с терминальным Windows-сервером¶
Настройку Windows-сервера мы опустим. После настройки введите сервер в домен Calculate Directory Server — аналогично тому, как это делается для Windows Workstation.
Особого внимания заслуживает процесс запуска Windows-приложений в среде CLD.Для примера, создадим иконку запуска Photoshop
Важно, чтобы окно занимало весь экран и в то же время не заезжало под верхнюю панель.Управлять иконками можно на сервере: для этого создайте файл с иконкой в шаблоне пакета calculate-client в подмонтированном ресурсе
/var/calculate/remote/client-profile/always/.local/share/applications/photoshop.desktop
Файл должен быть следующего содержания:
Version=1.0 Name=Adobe Photoshop GenericName=графический редактор Comment= Exec=/usr/bin/keyexec rdesktop "-s 'C:\\Program Files\\Adobe\\Adobe Photoshop CS3\\photoshop.exe' -d calculate -a 16 -g #-hr_x11_width-#x#-sum(h,hr_x11_height-31)-# -T 'Adobe Photoshop' -S standard -zNDKE -p - winserver.localnet.org" Icon=photoshop Terminal=false StartupNotify=true Type=Application Categories=Graphics;
- Имя сервера winserver.localnet.org нужно заменить на имя вашего сервера.
- Иконка photoshop входит в состав Calculate Linux Desktop.
- Размер окна вычисляется в функции sum, где 32 — высота верхней панели.
- Утилита keyexec позволяет запускать приложения по хранимому в ключах ядра паролю.
- Если вы предпочитаете хранить пароль доступа к 1С в иконке запуска, воспользуйтесь функцией load для считывания и подстановки содержимого файла в шаблон.
Что дальше
Следующая статья этой серии Изучаем Linux, 302 (смешанные среды): интеграция с протоколом CIFS содержит материалы цели 314.1 темы 314. В ней рассматривается интеграция компьютеров Linux в сеть Server Message Block (SMB)/Common Internet File System (CIFS) в качестве клиентов общих файловых ресурсов. Вы узнаете об использовании инструментария автономных клиентов, а также о монтировании общих ресурсов SMB/CIFS в иерархии стандартной файловой системы Linux.
Похожие темы
Войдите или
зарегистрируйтесь для того чтобы оставлять комментарии или подписаться на них.
Подпишите меня на уведомления к комментариям
Настройка PAM
После того, как вы настроили параметры в файле smb.conf, необходимо разобраться с конфигурацией PAM. Мы уже рассказывали о PAM в статье Изучаем Linux, 302 (смешанные среды): проверка подлинности и авторизация, но для утилит, не связанных с Samba, есть смысл добавить в качестве инструмента проверки подлинности Winbind, а не проверять пользователей Samba с помощью PAM. Эта процедура имеет свои тонкости, поскольку в различных дистрибутивах PAM настраивается по-разному, поэтому изменения, прекрасно работающие в одном дистрибутиве могут совершенно не работать в другом.
Что представляет собой PAM
PAM – это набор библиотек, которые могут использоваться приложениями, требующими проверки подлинности, например, программами (управляет входом в систему в текстовом режиме), X Display Manager (управляет входом в систему в графическом режиме) или POP3-почтовым сервером. Для создания более гибкой системы PAM можно настраивать с помощью конфигурационных файлов, о чем будет рассказано ниже.
PAM – это сложная система, а поскольку в различных дистрибутивах она имеет разные конфигурации, и их невозможно полностью описать в этой статье (ссылки на дополнительную документацию PAM вы можете найти в разделе ). Конфигурация PAM настраивается в файлах директории /etc/pam.d, в большинстве из которых описывается, как работает PAM с определенными программами, например, с программой или сервером SSH. Тем не менее, большинство дистрибутивов содержит глобальные конфигурационные файлы PAM, такие как system-auth или common- имястека, где имястека – имя одного из четырех стеков PAM (каждый стек соответствует определенному типу действий, выполняемых PAM).
Изменение стека PAM
Если вы собираетесь изменять конфигурацию PAM, то необходимо определиться с тем, должны ли вносимые изменения влиять на все службы входа или только на некоторые из них (чтобы узнать, службы входа каких типов установлены в вашей системе, просмотрите файлы в директории /etc/pam.d, чтобы выяснить, все ли они должны использовать Winbind). Если необходимо изменить только одну или две службы (например, POP3-сервер) и не использовать Winbind для остальных служб (например, для FTP-сервера), то редактируйте только файл для той службы, которую нужно изменить. Если же необходимо применить изменения ко всем службам, то редактируйте общий файл, например, system-auth.
Типичный стек PAM выглядит примерно так, как показано в листинге 2 (это файл /etc/pam.d/common-auth из дистрибутива Ubuntu 10.10).
Листинг 2. Пример стека PAM
auth pam_unix.so nullok_secure auth requisite pam_deny.so auth required pam_permit.so
К сожалению, синтаксис этого примера не очень понятен. Модуль управляет аутентификацией, используя файлы локальной базы данных паролей, а параметр в этой же строке означает, что PAM пропускает одну строку, когда этот модуль возвращает сообщение об успешной аутентификации. Таким образом, модуль (который всегда возвращает код ошибки аутентификации) всегда пропускается в случае успешного выполнения модуля , и вход в систему выполняется успешно.
Чтобы изменить эту конфигурацию и внедрить использование Winbind, необходимо добавить ссылку на модуль и изменить количество пропускаемых строк в строке . Конечная конфигурация приведена в листинге 3 (изменения выделены жирным шрифтом).
Листинг 3. Стек PAM с поддержкой Winbind
auth pam_unix.so nullok_secure auth pam_winbind.so cached_login try_first_pass auth requisite pam_deny.so auth required pam_permit.so
В дистрибутивах, отличных от Ubuntu, необходимо внести в конфигурацию PAM другие изменения, но перед этим нужно полностью разобраться в исходной конфигурации. Учтите также, что нужно изменить все четыре стека – , , и . Все эти стеки могут находиться в одном файле либо быть разнесены по нескольким. Если вам необходимо изменить отдельные службы, то в конфигурационных файлах каждой из них необходимо изменить все четыре стека.
В некоторых дистрибутивах необходимые изменения в конфигурации PAM вносятся при установке пакета Winbind. Таким образом, вам вообще не нужно вносить никаких изменений вручную.
Настройка KERBEROS
Делаем симлинк конфига kerberos от samba4:
sudo ln -s varlibsambaprivatekrb5.conf etc
Получаем билет:
kinit [email protected]
При получении билета видим сообщение в котором сказано что аккаунт администратора действителен в течении 41 дня.
Warning: Your password will expire in 41 days ...
Сразу изменим длительность аккаунта:
sudo samba-tool domain passwordsettings set --max-pwd-age=999
и проверяем что аккаунт будет работать еще 999 дней
sudo samba-tool domain passwordsettings show ... Maximum password age (days): 999
Полученный билет можем посмотреть по команде:
klist
Конфигурирование samba4
Внимание, в процессе надо будет ввести желаемый пароль администратора. Пароль должен быть сложным, иметь цифры и заглавные буквы!
sudo samba-tool domain provision --use-rfc2307 --interactive
Отвечаем на вопросы, подставляя свое название домена:
- Realm : ADSAMBA.LOC ←- название домена
- Domain : ADSAMBA ←- короткое имя домена
- Server Role (dc, member, standalone) : dc ←- роль сервера(в данном случаем dc — контроллер домена)
- DNS backend (SAMBA_INTERNAL, BIND9_FLATFILE, BIND9_DLZ, NONE) : BIND9_DLZ ←- используемый днс-сервер
- Administrator password:
- Retype password:
Если в процессе конфигурирования возникли ошибки связанные с названием домена или паролем администратора, для того что заново запустить конфигурирование, проделайте следующее:
sudo apt-get purge samba sudo apt-get install samba sudo rm etcsambasmb.conf
Авторизация в Ubuntu через пользователей домена
Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.
Он-лайн авторизация
Для Ubuntu 10.04 и выше добавьте всего одну строку в файле , т.к. PAM и так неплохо справляется с авторизацией:
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
Для Ubuntu 9.10 и ниже придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 — он тоже работает):
Последовательность строк в файлах имеет значение!
auth required pam_env.so auth sufficient pam_unix.so likeauth nullok try_first_pass auth sufficient pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE auth required pam_deny.so
account sufficient pam_winbind.so account required pam_unix.so
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 session optional pam_ck_connector.so nox11 session required pam_limits.so session required pam_env.so session required pam_unix.so
password sufficient pam_unix.so try_first_pass use_authtok nullok sha512 shadow password sufficient pam_winbind.so password required pam_deny.so
И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:
sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"
Что эквивалентно запуску для каждого уровня (в примере — 4) команды:
mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
В некоторых случаях winbind может иметь иной уровень запуска (например, S02winbind). Поэтому сначала проверьте имена файлов, вполнив команду «ls /etc/rc{2,3,4,5}.d/ | grep winbind» (без кавычек).
Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.
Офф-лайн авторизация
Часто возникает ситуация, когда домен-контроллер недоступен по различным причинам — профилактика, отключение света или вы принесли ноутбук домой и хотите поработать. В этом случае для Winbind можно настроить кэширование учетных записей пользователей домена. Для этого необходимо сделать следующее. Добавьте в секцию файла следующие строки:
# Возможность оффлайн-авторизации при недоступности доменконтроллера winbind offline logon = yes # Период кэширования учетных записей, по умолчанию равен 300 секунд winbind cache time = 300 # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc, # можно указать и ip, но это является плохим тоном password server = dc
Обычно этого достаточно. Если же возникают ошибки, то необходимо создать файл со следующим содержанием:
Внимание! При использовании советов ниже может возникать совершенно случайная ошибка «Сбой аутентификации»! Поэтому все что Вы делаете, Вы делаете на свой страх и риск!
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # # turn on debugging debug = no # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes # authenticate using kerberos krb5_auth = yes # when using kerberos, request a "bbcode" krb5 credential cache type # (leave empty to just do krb5 authentication but not have a ticket # afterwards) krb5_ccache_type = FILE # make successful authentication dependend on membership of one SID # (can also take a name) ;require_membership_of = silent = yes
Файл в таком случае принимает вид:
auth sufficient pam_unix.so nullok_secure auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
А также изменяется файл :
auth optional pam_group.so auth sufficient pam_unix.so nullok_secure use_first_pass auth sufficient pam_winbind.so use_first_pass auth required pam_deny.so
Надеюсь он у вас есть.
Конечно, если ваша сеть не настроена так, что DNS сервер домена не совпадает с доменконтроллером. Кроме того, если у вас есть несколько DNS серверов, то стоит прописать их все.
Если пользователей домена очень много, то команды будут выполняться тоже очень долго.
Добавляем в домен компьютер linux (xubuntu+likewise)
Столкнулся с задачей уже давно, а вот оставить заметочку, решился только сейчас.
Как подключить компьютер с операционной системой linux (xubuntu 13.10) к домену на windows ?
Основная задача, чтобы пользователь проходил аутентификацию на контроллере домена с операционной системой windows server 2012 r2. Также хотелось бы иметь возможность удалённого доступа по SSH для группы «администраторы домена».
обновляем систему
sudo apt-get update && sudo apt-get upgrade
Меняем имя компьютера.
sudo nano /etc/hostname
Чтобы избавится от возможных ошибок, также исправляем имя компьютера в файле /etc/hosts
Правим конфигурационный файл nsswitch.conf, который говорит системе как мы будем «резолвить» (обрабатывать DNS запросы)
sudo nano /etc/nsswitch.conf
Вносим исправления согласно рисунка
Если у вас в сети настроен и работает DHCP-сервер, то скорее всего эта настройка вам не понадобится. Но на всякий случай укажу. В конфигурационном файле /etc/resolv.conf должна быть запись о сервере имён (DNS), который способен вернуть записи о контроллере домена. В нашем случае контроллер домена и DNS-сервер это один и тот же сервер. Открываем и редактируем
sudo nano /etc/resolve.conf
Содержимое файла. В моём случаем xaxa.local — это название домена, а 192.168.11.11 — IP-адрес DNS-сервера
search xaxa.local nameserver 192.168.11.11
После того как предварительная настройка системы завершена, переходим к установке LikeWise
sudo apt-get install likewise-open-gui
Открываем терминал (CTRL+ALT+T) и запускаем sudo domainjoin-gui
Если все правильно сделали, должно появиться сообщение об успешном входе в домен
Проверяем на контроллере домена появился ли новый компьютер
Для того, чтобы lightdm прочитал и применил настройки скрытия пользователей из users.conf, необходимо в /etc/lightdm/lightdm.conf добавить строчку greeter-hide-users=true
sudo sh -c ‘echo “greeter-show-manual-login=true” >> /etc/lightdm/lightdm.conf’
Теперь предоставим доменной группе «Администраторы домена» права для выполнения команд от суперпользователя
sudo nano /etc/sudoers
добавляем строчку
%Администраторы^домена ALL=(ALL) ALL
Перезагружаем компьютер и перезагружаем
Так же на фаерволе должны быть открыты следующие порты:
53 (UDP/ TCP) — DNS88 (UDP/TCP) — Kerberos 5123 (UDP) — NTP137 (UDP) — NetBIOS Name Service139 (TCP) — NetBIOS Session (SMB)389 (UDP/TCP) — LDAP445 (TCP) — SMB over TCP464 (UDP/TCP) — Machine password changes (typically after 30 days)3268 (TCP) — Global Catalog search
Но, по умолчанию в ubuntu порты открыты !
Тестируем с правами АДМИНИСТРАТОРА ДОМЕНА
доступ к выполнению команд от суперпользователя
Проверяем в каких группах нас видит система
Тестируем с правами ПОЛЬЗОВАТЕЛЯ ДОМЕНА
Документация и ссылки для вкуривания:
- http://help.ubuntu.ru/wiki/ввод_в_домен_windows
- https://www.youtube.com/watch?v=_F0pbnLrKAs
- https://www.youtube.com/watch?v=sVT-0t4d48I
- http://sidelnikov.wordpress.com/2010/09/17/ubuntu-в-домене-windows-2008-server/
- http://sysadminblogger.wordpress.com/2013/09/23/joining-ubuntu-13-04-to-windows-domain/
- http://manpages.ubuntu.com/manpages/lucid/ru/man5/nsswitch.conf.5.html
Остались или есть ещё вопросы? Задавайте!
(не забудьте указать ссылку на этот пост)
Популярные записи
- Прошиваем 3G-модем HUAWEI E171 (все операторы) — 70 107 просмотра(ов)
- Настраиваем сетевой сканер в Kyocera FS-1135MFP — 58 637 просмотра(ов)
- Установка Windows 8 без ключа продукта (EI.cfg и PID.txt) — 39 581 просмотра(ов)
- Устанавливаем контроллер домена Active Directory (AD DS) + DNS + DHCP на Windows server 2012 R2 — 36 784 просмотра(ов)
- Настройка сети в CentOS Linux — 35 427 просмотра(ов)
- Туннельный адаптер isatap — удаляем лишнее — 28 366 просмотра(ов)
- Chrome — Код ошибки: ERR_EMPTY_RESPONSE — 28 262 просмотра(ов)
- Программы для записи с веб-камеры — 26 755 просмотра(ов)
- Zalman ZM-VE300 (Обзор, прошивка, тест) — 26 548 просмотра(ов)
- FreeRDP примеры подключения — 25 171 просмотра(ов)
Интересные записи
- Не переключается раскладка в Windows 7 (Средний бал: 5,00)
- GRUB: error: unknown filesystem. grub rescue> (Средний бал: 5,00)
- Ошибка WORD: Mеждустрочный интервал (Средний бал: 5,00)
- Настройка сети в FreeBSD (unix) (Средний бал: 5,00)
- Устанавливаем прозрачный Squid на pfSense (Средний бал: 5,00)
- Настраиваем сетевой сканер в Kyocera FS-1135MFP (Средний бал: 5,00)
- Zalman ZM-VE300 (Обзор, прошивка, тест) (Средний бал: 5,00)
- Запускаем приложения / настройки windows из командной строки (cmd) (Средний бал: 5,00)
- FreeNAS (backup) — организация бэкапа (Средний бал: 5,00)
- Вышла Ubuntu 12.04 LTS (Precise Pangolin) Beta 1 (Средний бал: 5,00)
Стоит глянуть
Процесс настройки
Пример демо-зоны
- Сервер — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
- JaCarta IDProtect 6.37;
- libccid;
- pcscd;
- libpcsclite1;
- krb5-pkinit;
- libengine-pkcs11-openssl;
- opensc.
- Клиент — Astra Linux Smolensk SE 1.5 4.2.0-23-generic, x86_64, с установленными пакетами:
- JaCarta IDProtect 6.37;
- libccid;
- pcscd;
- libpcsclite1;
- krb5-pkinit.
Предполагается, что ALD уже развернут, существует минимум один доменный пользователь, который может аутентифицироваться по паролю, время клиента и сервера совпадают.
Установка драйверов на сервер и клиент
JaCarta PKIlibccid, pcscd, libpcsclite1пакет драйверов IDProtectClientald/kerberoskrb5-pkinitJaCarta PKIlibengine-pkcs11-opensslopensc
Установка и настройка центра сертификации на сервере
(CA) OpenSSLOpenSSL
- Создайте каталог CA командой mkdir /etc/ssl/CA и перейдите в него. В этом каталоге будут размещаться сгенерированные ключи и сертификаты.
- Создайте ключ и сертификат CA:
$ openssl genrsa -out cakey.pem 2048
$ openssl req -key cakey.pem -new -x509 –days 365 -out cacert.pem
В диалоге заполните необходимую информацию о вашем центре сертификации. В Common name указать EXAMPLE.RU. - Создайте ключ и сертификат KDC:
$ openssl genrsa -out kdckey.pem 2048
$ openssl req -new -out kdc.req -key kdckey.pem
В диалоге заполните необходимую информацию о вашем сервере. В Common name указать kdc. - Установите переменные среды. Переменные среды устанавливаются в рамках сессии и не устанавливаются для других сессий и не сохраняются после закрытия сессии.
export REALM=EXAMPLE.RU — Ваш домен
export CLIENT=kdc — Вашего сервер - Загрузите файл pkinit_extensions — http://dms.aladdin-rd.ru/970c5538-afbf-4a26-a7ef-d76550cbc435
pkinit_extensions
- Выпустите сертификат KDC:
$ openssl x509 -req -in kdc.req -CAkey cakey.pem -CA cacert.pem -out kdc.pem -extfile pkinit_extensions -extensions kdc_cert –CAcreateserial –days 365 - Файлы kdc.pem, kdckey.pem, cacert.pem перенесите в /var/lib/krb5kdc/
- Создайте резервную копию файла /etc/krb5kdc/kdc.conf. Отредактируйте /etc/krb5kdc/kdc.conf, дополнив секцию следующими записями:
pkinit_identity = FILE:/var/lib/krb5kdc/kdc.pem,/var/lib/krb5kdc/kdckey.pem
pkinit_anchors = FILE:/var/lib/krb5kdc/cacert.pem
Первая запись задает ключи и сертификат сервера, а вторая указывает на корневой сертификат центра сертификации. - Для принятия изменений выполните:
/etc/init.d/krb5-admin-server restart
/etc/init.d/krb5-kdc restart
Подготовка смарт-карты. Выпуск ключей и сертификата пользователя
libengine-pkcs11-opensslopenscpkcs11-tool—slot 0—init-token—so-pin 00000000—label ‘JaCarta PKI’—module /lib64/libASEP11.so—slot 0—init-pin—so-pin 00000000—login—pin 11111111—module /lib64/libASEP11.so—slot 0—login —pin 11111111—keypairgen —key-type rsa:2048—id 42—label “test1 key”—module /lib64/libASEP11.so
-new -key 0:4242—slot 0—login —pin 11111111—write-object ./client.cer—type ‘cert’‘cert’ —label ‘Certificate’id 42module /lib64/libASEP11.so
Настройка Samba и вход в домен
Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле . На данном этапе вас должны интересовать только некоторые опции из секции . Ниже — пример части файла конфигурации Samba с комментариями по поводу значения важных параметров:
# Эти две опции нужно писать именно в заглавном регистре, причём workgroup без # последней секции после точки, а realm - полное имя домена workgroup = DOMAIN realm = DOMAIN.COM # Эти две опции отвечают как раз за авторизацию через AD security = ADS encrypt passwords = true # Просто важные dns proxy = no socket options = TCP_NODELAY # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе, # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде domain master = no local master = no preferred master = no os level = 0 domain logons = no # Отключить поддержку принтеров load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes
После того, как вы отредактируете выполните команду
testparm
Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём:
# testparm Load smb config files from /etc/samba/smb.conf Loaded services file OK. Server role: ROLE_DOMAIN_MEMBER Press enter to see a dump of your service definitions
Как видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду:
net ads join -U username -D DOMAIN
И в случае успеха вы увидите что-то похожее на:
# net ads join -U username -D DOMAIN Enter username's password: Using short domain name -- DOMAIN Joined 'SMBSRV01' to realm 'domain.com'
Используемые параметры команды net
: Обязательный параметр, вместо необходимо подставить имя пользователя с правами администратора домена, и указать пароль.
: — собственно сам домен, домен можно и не указывать, но лучше всё же это всегда делать — хуже не будет.
: , можно не указывать, но бывают случаи когда автоматически сервер не находит контроллер домена.
: В AD часто используется OU (Organizational Unit), есть в корне домена OU = Office, в нем OU = Cabinet, чтобы сразу добавить в нужный можно указать так: sudo net ads join -U username createcomputer=«Office/Cabinet».
Если больше никаких сообщений нет — значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо.
Так же можно набрать команду:
net ads testjoin
Если все хорошо, можно увидеть:
#net ads testjoin Join is OK
Но иногда после сообщения о присоединении к домену выдаётся ошибка наподобие:
DNS update failed!
Это не очень хорошо, и в этом случае рекомендуется ещё раз прочитать раздел про настройку DNS чуть выше и понять, что же вы сделали не так. После этого нужно удалить компьютер из домена и попытаться ввести его заново. Если вы твердо уверены, что всё настроили верно, а DNS всё равно не обновляется, то можно внести вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать. Конечно, если нет никаких других ошибок, и вы успешно вошли в домен. Однако лучше всё же разберитесь, почему DNS не обновляется автоматически. Это может быть связано не только с вашим компьютером, но и с некорректной настройкой AD.
Прежде чем выяснять, почему же не обновляется DNS, не забудьте перезагрузить компьютер после введения в домен! Вполне возможно, что это решит проблему.
Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Для этого установите :
sudo aptitude install smbclient
Теперь можно просматривать ресурсы компьютеров домена. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером :
smbclient -k -L workstation
Вы должны увидеть список общих ресурсов на этом компьютере.
Синхронизация времени[править]
С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.
Для более ранних версий:
править
На сервере включается через xinetd daytime-tcp :
# chkconfig --list | grep daytime-tcp
daytime-tcp: вкл
А на клиенте — служба settime-rfc867:
chkconfig settime-rfc867 on service settime-rfc867 start
Способ 3: Через Центр управления системой → Дата и времяправить
Включите флажок «Получать точное время с NTP-сервера» и укажите в поле справа pool.ntp.org. После этого нажмите кнопку «Применить».
Способ 4: Через ntpdateправить
ntpdate pool.ntp.org
Ввод в домен в Центре управления системойправить
Предварительная настройка — PreliminaryActions
В Центре управления системой перейдите в раздел Пользователи → Аутентификация
Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости.
Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».
Ввод в домен в командной строкеправить
# system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word' Joined 'HOST-15' to dns domain 'school.alt'
Проверка работыправить
# getent passwd ivan ivan:*:10005:10002:ivan:/home/SCHOOL/ivan:/bin/bash # net ads info LDAP server: 192.168.1.1 LDAP server name: c228.school.alt Realm: SCHOOL.ALT Bind Path: dc=SCHOOL,dc=ALT LDAP port: 389 Server time: Ср, 22 апр 2015 16:22:47 MSK KDC server: 192.168.1.1 Server time offset: -1 # net ads testjoin Join is OK
Примечание:
Вы не увидите пользователей из AD с помощью команды на клиентской машине. Этот функционал отключен по-умолчанию для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя . Список пользователей можно посмотреть на сервере командой
Примечанияправить
- Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен
- При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon — (доменная зона «local.» используется в технологии zeroconf).
- Следите за синхронизацией времени на клиенте и сервере.
- Для предотвращения кэширования имён пользователя отключите службу nscd.
- В новых версиях Samba до запуска службы winbind должна запускаться служба smb.
- Если возникает проблема просмотра билетов Kerberos под доменным пользователем, скопируйте правильный krb5.conf из samba:
rm -f /etc/krb5.conf cp /var/lib/samba/smb_krb5/krb5.conf* /etc/krb5.conf
- Если у вас домен Windows 2003 (не R2), то в директивы default_tgs_enctypes, default_tkt_enctypes и preferred_enctypes файла /etc/krb5.conf добавьте ещё DES3-CBC-SHA1.
