Как ввести astra linux в домен windows ad

Введение

Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:

  1. С использованием инструментария sssd:
    1. графический инструмент fly-admin-ad-sssd-client;
    2. инструмент командной строки astra-ad-sssd-client;

  2. С использованием инструментария winbind:

    Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. Рекомендованным инструментарием является sssd.

    1. графический инструмент fly-admin-ad-client;
    2. инструмент командной строки astra-winbind;

Далее рассматривается установка и использование этих инструментов. Рекомендованным способом ввода в домен является ввод с использованием sssd. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003.

Конфигурация стенда

Имя компьютера (hostname) Операционная система Роли компьютера IP-адрес
dc01.example.com Windows Server 2008R2 Контроллер домена; DNS сервер Статический (далее для примера используется IP-адрес 192.168.5.7)
astra01 Astra Linux Special Edition Рабочая станция, член домена Статический или динамически назначаемый IP-адрес

Инструменты SSSD

Для ввода с помощью SSSD  в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1)  необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.
Для установки пакета:

  1. Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);

  2. Установить пакет:

    sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd-client можно используя графический менеджер пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-sssd-client

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

После установки пакет доступен в графическом меню:

  • в Astra Linux Special Edition 1.8: «Пуск» → «Параметры» → «Клиент и сервер» → «Настройка клиента SSSD Fly»;
  • в более ранних обновлениях:  «Пуск» → «Панель управления» → «Сеть» → «Настройка клиента SSSD Fly».

Для ввода компьютера Astra Linux в домен Active Directory:

  1. Запустить инструмент:

    Картинка с сайта: wiki.astralinux.ru

  2. После запуска инструмента указать:
    1. имя домена, к которому требуется подключиться;
    2. имя и пароль администратора домена;
    3. опционально — IP-адрес, который должен быть назначен клиенту (для Astra Linux Special Edition 1.8, в более ранних обновлениях назначение IP-адреса не поддерживается);
    4. нажать кнопку «Подключиться»:

Установка пакетов

Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-ad-sssd-client

  1. При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.
  2. При вводе компьютера в домен с помощью astra-ad-sssd-client в файл /etc/hosts может быть добавлена запись, фиксирующая актуальный IP-адрес компьютера. Если для компьютера используется динамическое назначение адресов, то после завершения ввода компьютера в домен и перед перезагрузкой эту запись рекомендуется удалить.

Ввод компьютера в домен может быть выполнен командой:

sudo astra-ad-sssd-client -d example.com -u Администратор

где:

  • -d example.com — указание имени домена;
  • -u Администратор — указание имени администратора домена;

Примерный диалог при выполнении команды:

compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (y\N)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер!

Для завершения подключения требуется перезагрузить компьютер:

sudo reboot

Подсказка по команде astra-ad-sssd-client:

sudo astra-ad-sssd-client -h
Usage: astra-ad-sssd-client <ключи>
ключи:
-h,--help   этот текст
-d   домен. если отсутствует, берется из hostname.resolv.conf
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-n   сервер времени.
-px  получает пароль администратора домена от внешнего сценария
     через перенаправление стандартного ввода (stdin)
-p   пароль администратора домена
-U   удаление
--par <параметры>   указать дополнительные параметры вручную (для realm)
-fn,  --fullnames   использовать полные имена пользователей вида 'admin@domain.ru' (доступно при установке актуального оперативного обновления)
-sn,  --shortnames  использовать короткие имена пользователей вида 'admin' (по умолчанию) (доступно при установке актуального оперативного обновления)

После перезагрузки проверить статус подключения можно следующими способами:

  1. Получить билет Kerberos от имени администратора домена:

    kinit admin@dc01.example.com

  2. Проверить статус подключения:

    sudo astra-ad-sssd-client -i

Примеры

Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:

sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y

Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:

cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y

Подключение к домену domain.net без запроса подтверждения:

sudo astra-ad-sssd-client -d domain.net -y

Получение информации о текущем домене

sudo astra-ad-sssd-client -i

Удаление данных подключения:

sudo astra-ad-sssd-client -U

Удаление компьютера из домена Windows AD

Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:

sudo astra-ad-sssd-client -U

Автоматическое обновление пароля доменного компьютера в связке sssd+samba

Службы sssd и samba могут самостоятельно периодически обновлять пароль компьютера. На компьютерах, введенных в домен с помощью инструмента astra-ad-sssd-client, используется обновление пароля только службой sssd.  Обновление пароля службой samba по умолчанию отключено в конфигурации этой службы.  Обновление пароля службой samba недопустимо и ведет к невозможности работы компьютера в домене. При внесении изменений в конфигурацию службы samba для предотвращения включения обновления пароля необходимо соблюдать следующие требования:

  • параметр kerberos method должно иметь значение secrets and keytab (это значение присваивается по умолчанию при вводе в домен):

    kerberos method = secrets and keytab

  • если параметру kerberos method присвоено иное значение, то должен быть задан параметр machine password timeout со значением 0:

    machine password timeout = 0

Особенности ввода в домены Windows AD 2008

При вводе компьютеров Astra Linux в домены Windows AD тип домена определяется автоматически. В соответствии с типом домена выбирается ПО для подключения. При работе со старыми версиями Windows AD (в частности, при работе с Windows AD 2008) автоматически выбираемое ПО может работать некорректно. В таких случаях для устранения ошибок ввода может потребоваться принудительно задать тип домена adcli (опция —par «-membership-software=adcli»). Пример команды:

sudo astra-ad-sssd-client -d <имя_домена> -u <имя_администратора_домена> —par «—membership-software=adcli»

Инструменты Winbind

Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию.

Графический инструмент fly-admin-ad-client

Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory с использованием winbind. Установить ее можно с помощью графического менеджера пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-client

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

  1. Открыть «Панель управления»:
  2. Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:

    Картинка с сайта: wiki.astralinux.ru

  3. Заполнить все поля и нажать кнопку «Подключиться»:

    Картинка с сайта: wiki.astralinux.ru

Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя «username@example.com» или «EXAMPLE\username».

Инструмент командной строки astra-winbind

Установка пакетов

Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-winbind

Ввод в домен с помощью astra-winbind

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см.: Особенности ввода в домен Windows AD 2003.

Ввод компьютера в домен может быть выполнен командой:

где:

  • -dc dc01.example.com — указание контроллера домена;
  • -u Администратор — указание имени администратора домена;

Подсказка по команде:

sudo astra-winbind -h
Usage: astra-winbind <ключи>
ключи:
-h   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из файла /etc/resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-px  получает пароль администратора домена из stdin
-p   пароль администратора домена (небезопасно)
-s   разрешить и запустить службу подключения к домену
-S   запретить и остановить службу подключения к домену
-l   вывести компьютер из домена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
    astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-winbind -i

Особенности ввода в домены Windows AD 2003

При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:

  1. Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:

    cp /etc/samba/smb.conf /tmp/smb.conf

  2. Добавить в секцию [global] сохраненной копии параметр client min protocol = NT1:

    sed -i -e ‘/^\[global\]/a client min protocol = NT1’ «/tmp/smb.conf»;

  3. Выполнить ввод в домен используя модифицированный файл конфигурации:

    sudo astra-winbind -dc dc01.example.com -u Администратор -y —par «—configfile=/tmp/smb.conf»

  4. Заменить созданный при второй попытке ввода конфигурационный файл  /etc/samba/smb.conf сохраненной модифицированной копией:

    sudo mv /tmp/smb.conf /etc/samba/smb.conf

  5. Перезагрузить компьютер:

    sudo systemctl restart

Источник

Для ввода сервера Astra Linux в домен Astra Linux Directory:

  1. Установите инструмент fly-admin-ald-client с помощью
    команды:

sudo apt-get
install fly-admin-ald-client

Инструмент позволяет выполнять настройки
Astra Linux Directory с помощью пользовательского интерфейса.

  1. Откройте панель управления и перейдите в раздел «Сеть». Запустите приложение
    «Настройка ALD клиента Fly»:

Картинка с сайта: help.fsight.ru

Откроется окно «Настройка
ALD клиента Fly»:

Картинка с сайта: help.fsight.ru

  1. Задайте настройки в окне:

    • Сервер.
      Адрес вашего сервера контроллера домена;

    • Имя пользователя/Пароль.
      Учётные данные для соединения с сервером;

    • Изменить сетевые
      настройки сервера      . Установите флажок и задайте
      IP-адрес вашего сервера контроллера домена в соответствующее
      поле;

    • Изменить сетевые
      настройки клиента      . Установите флажок и задайте
      IP-адрес клиентского компьютера и произвольное имя хоста,
      например flybi, в соответствующие поля.

  1. Перезагрузите компьютер.

  2. Создайте службу Astra Linux Directory с помощью пакета
    ald-admin. Для этого выполните команды:

ald-admin service-add
postgres/<имя хоста клиента>

ald-admin sgroup-svc-add
postgres/<имя хоста клиента>
—sgroup=mac

ald-admin service-add
HTTP/<имя хоста клиента>

ald-admin sgroup-svc-add
HTTP/<имя хоста клиента>
—sgroup=mac

  1. Создайте keytab-файлы:

    • файл flybidb.keytab для PostgreSQL с помощью команд:

keytab=»/etc/postgresql/13/main/flybidb.keytab»

ald-client update-svc-keytab
postgres/<имя хоста клиента>
—ktfile=»$keytab»

chown postgres
«$keytab»

chmod 644 «$keytab»

    • файл flybihttp.keytab для Apache2 с помощью команд:

keytab=»/etc/apache2-FlyBI/flybihttp.keytab»

ald-client update-svc-keytab
HTTP/<имя хоста клиента>.domain
—ktfile=»$keytab»

chown www-data
«$keytab»

chmod 644 «$keytab»

В результате сервер Astra Linux будет присоединён к домену Astra
Linux Directory.

Для ввода сервера Astra Linux в домен Windows Active Directory:

  1. Установите инструмент fly-admin-ad-client с помощью
    команды:

sudo apt install
fly-admin-ad-client

Инструмент позволяет выполнять настройки
Windows Active Directory с помощью пользовательского интерфейса.

  1. Откройте панель управления и перейдите в раздел «Сеть». Запустите приложение
    «Настройка клиента Active
    Directory Fly    »:

Картинка с сайта: help.fsight.ru

Откроется окно «Настройка
Active Directory»:

Картинка с сайта: help.fsight.ru

  1. Задайте настройки в окне:

    • Контроллер домена.
      Адрес вашего сервера контроллера домена;

    • Администратор домена/Пароль.
      Учётные данные для соединения с сервером.

После заполнения полей нажмите кнопку
«Подключиться».

  1. Перезагрузите компьютер.

  2. Создайте keytab-файлы:

    • файл flybidb.keytab для PostgreSQL;

    • файл flybihttp.keytab для Apache2.

  1. Создайте службы HTTP и postgres с помощью утилиты ktpass.
    Для этого выполните команду:

ktpass -princ
SPN -mapuser [<имя узла>|<имя сервера>] -pass <пароль> -ptype KRB5_NT_PRINCIPAL
-out <имя keytab-файла>

Примеры команды:

ktpass -princ
HTTP/<имя хоста клиента>
-mapuser flybihttp -pass 123 -ptype KRB5_NT_PRINCIPAL -out C:\tmp\flybihttp.keytab

ktpass -princ
postgres/<имя хоста клиента>
 -mapuser flybidb -pass 123 -ptype KRB5_NT_PRINCIPAL -out
C:\tmp\flybidb.keytab

  1. Выдайте сервисным пользователям ваших служб права на
    keytab-файлы с помощью команд:

chown postgres
«/etc/postgresql/13/main/flybidb.keytab»

chmod 644 «/etc/postgresql/13/main/flybidb.keytab»

chown www-data
«/etc/apache2-FlyBI/flybihttp.keytab»

chmod 644 «/etc/apache2-FlyBI/flybihttp.keytab»

Для проверки связи keytab-файлов
с сервером Kerberos используйте команды:

kinit -V -kt
/etc/apache2-FlyBI/flybihttp.keytab -p HTTP/<имя
хоста клиента>.domain.lacal @ DOMAIN.LOCAL

kinit -V -kt
/etc/postgresql/13/main/flybidb.keytab -p postgres/<имя
хоста клиента>.domain.lacal@DOMAIN.LOCAL

В результате сервер Astra Linux будет присоединён к домену Windows
Active Directory.

Источник

Модератор: UncleFather

UncleFather

Site Admin
Сообщения: 1569
Зарегистрирован: 17 авг 2004 16:20, Вт
Контактная информация:

Astra Linux (Orel) 2.12. Подключение к домену AD

Задача:

Подключить Astra Linux (Orel) 2.12 к домену Microsoft Windows Active Directory.

Решение:

  1. Устанавливаем пакет astra-ad-sssd-client:

  2. Если домен Active Directory под управлением Windows Server 2003, то для подключения нужно указать использование ослабленного шифрования. Для этого в /etc/krb5.conf в конце раздела [libdefaults] (прямо перед началом раздела [realms]) прописываем:

    Код: Выделить всё

    [libdefaults]
...
...
...
default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5    

[realms]

  3. Добавляем наш компьютер в домен с учетными данными администратора домена:

    Код: Выделить всё

    sudo astra-ad-sssd-client -d domain.local -u DomainAdmin -p Password -y

  4. Перезагружаемся;

  5. После перезагрузки в окне входа появится возможность загружаться под именем доменных пользователей.
    Но первый раз загружаемся под локальным администратором для того, чтобы назначить права для пользователя домена, под которым будем работать на этом компьютере:

    Код: Выделить всё

    usermod -a -G astra-admin,astra-console,root,user,sudo domainuser

    Важно! Имя доменного пользователя в этой команде необходимо писать строчными (маленькими) буквами.

Подключение Astra Linux к домену Microsoft Windows с помощью astra-ad-sssd-client

Alexander A. Manaeff©

Понравилась статья? Будем крайне признательны за репосты в соцсетях! Материально поддержать проект можно здесь

Источник

sudo apt install resolvconf -y
sudo tee -a /etc/network/interfaces << EOF
auto eth0
iface eth0 inet static
  address x.x.x.x/y
  gateway x.x.x.x
  dns-namserves x.x.x.x
  dns-domain {{ defaults.domainadmin }}
EOF
sudo systemctl restart networking
sudo tee /etc/security/limits.d/90-fsize.conf 2&>/dev/null << EOF
* hard fsize unlimited
* soft fsize unlimited
EOF
sudo apt install astra-ad-sssd-client -y
sudo astra-ad-sssd-client -y -d {{ server.domain }} -u {{ defaults.domainadmin }}

Rutoken 2fa

sudo apt install libccid pcscd libpcsclite1 pcsc-tools opensc libengine-pkcs11-openssl1.1 -y
sudo apt install libnss3-tools krb5-pkinit libpam-krb5 -y
sudo cp rutoken_pub.key /etc/digsig/keys/ -v
sudo update-initramfs -u -k all
sudo reboot
sudo apt install -f ./librtpkcs11ecp_2.17.1.0-1_amd64.deb
sudo apt install -f ./ifd-rutokens_1.0.4_amd64.deb
sudo mkdir /etc/pki/nssdb -p
sudo chmod 777 /etc/pki/nssdb
sudo certutil -N -d /etc/pki/nssdb --empty-password
sudo certutil -d /etc/pki/nssdb -A -n 'CA-ROOT-CERT' -t CT,CT,CT -a -i cacert.pem
sudo modutil -dbdir /etc/pki/nssdb -add "Rutoken PKCS11" -libfile librtpkcs11ecp.so
#проверка:
sudo certutil -L -d /etc/pki/nssdb -h all
sudo mkdir /etc/krb5/
sudo cp cacert.pem /etc/krb5/ -v
| /etc/krb5.conf
[libdefaults]
...
 pkinit_anchors = FILE:/etc/krb5/cacert.pem
 pkinit_kdc_hostname = ipa.virt.int
 pkinit_eku_checking = kpServerAuth
 pkinit_identities = PKCS11:librtpkcs11ecp.so
| /etc/sssd/sssd.conf
[pam]
pam_cert_auth = True
| /etc/pam.d/common-auth
auth    [success=6 default=ignore]      pam_krb5.so minimum_uid=2500 try_pkinit
| /usr/share/pam-configs/krb5
Auth-Initial:
        [success=end default=ignore]    pam_krb5.so minimum_uid=2500 try_pkinit

Источник

Введение в домен Active Directory (AD) на операционной системе Astra Linux — это одна из важных задач для администраторов, желающих интегрировать эту отечественную ОС в корпоративные сети, работающие на базе Windows Server. Active Directory предоставляет централизованное управление пользователями, компьютерами и ресурсами сети. В данной статье рассмотрим пошаговую инструкцию по вводу Astra Linux в домен AD.

Содержание статьи

  • 1 Подготовка к вводу Astra Linux в домен Active Directory
  • 2 Установка необходимых пакетов
  • 3 Настройка Kerberos
  • 4 Настройка Samba
  • 5 Присоединение к домену
  • 6 Запуск и проверка службы Winbind
  • 7 Настройка авторизации доменных пользователей
  • 8 Заключение

Перед началом процесса ввода Astra Linux в домен необходимо выполнить несколько подготовительных шагов. Эти шаги включают в себя проверку актуальности настроек сети, синхронизацию времени и установку необходимых пакетов. Первым делом нужно убедиться, что ваш компьютер с Astra Linux находится в одной сети с контроллером домена. Это можно сделать с помощью команды ip a для просмотра текущих сетевых настроек. Также убедитесь, что настроен DNS-сервер, который указывает на контроллер домена. Для этого добавьте запись в файл /etc/resolv.conf:

nameserver <IP-адрес контроллера домена>

Очень важный момент — это корректная настройка времени на машине с Astra Linux. Несовпадение времени между клиентом и сервером AD может привести к ошибкам при попытке присоединения к домену. Чтобы настроить синхронизацию времени, выполните следующие команды:

sudo apt install ntp
sudo systemctl enable ntp
sudo ntpdate <IP-адрес сервера времени>

Установка необходимых пакетов

Для того чтобы Astra Linux смогла работать в составе домена Active Directory, необходимо установить несколько обязательных пакетов. Основными из них являются winbind, krb5-user и samba. Эти пакеты обеспечивают поддержку Kerberos и взаимодействие с доменными контроллерами. Установить их можно с помощью следующей команды:

sudo apt install winbind samba krb5-user smbclient

Во время установки пакетов система запросит указать домен Kerberos. Введите доменное имя вашей сети (например, mydomain.local).

Настройка Kerberos

После установки пакетов необходимо настроить Kerberos для работы с доменом Active Directory. Откройте файл конфигурации Kerberos /etc/krb5.conf и отредактируйте его следующим образом:

[libdefaults]
default_realm = MYDOMAIN.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = true

[realms]
MYDOMAIN.LOCAL = {
kdc = <IP-адрес контроллера домена>
admin_server = <IP-адрес контроллера домена>
}

[domain_realm]
.mydomain.local = MYDOMAIN.LOCAL
mydomain.local = MYDOMAIN.LOCAL

Замените MYDOMAIN.LOCAL на имя вашего домена, а IP-адрес — на реальный адрес вашего контроллера домена. Сохраните изменения.

Настройка Samba

Для того чтобы Astra Linux могла взаимодействовать с Active Directory, необходимо настроить конфигурационный файл Samba. Откройте файл /etc/samba/smb.conf и добавьте или измените следующие строки:

[global]
workgroup = MYDOMAIN
security = ads
realm = MYDOMAIN.LOCAL
kerberos method = system keytab
log file = /var/log/samba/log.%m
max log size = 1000
winbind use default domain = true
winbind offline logon = false
idmap config * : backend = tdb
idmap config * : range = 10000-20000
template shell = /bin/bash
template homedir = /home/%D/%U

Будьте внимательны, все строки должны быть правильно отредактированы, иначе возможны ошибки при подключении к домену. Например, realm должен точно соответствовать доменному имени в Kerberos, а параметр idmap config должен быть настроен для корректного сопоставления идентификаторов пользователей.

Присоединение к домену

Теперь, когда все конфигурационные файлы настроены, можно приступить к процессу присоединения Astra Linux к домену Active Directory. Для этого выполните следующую команду:

sudo net ads join -U Administrator

Система запросит пароль пользователя Administrator. Введите его, и, если все настройки выполнены правильно, вы увидите сообщение о том, что компьютер успешно присоединился к домену.

Здесь важно обратить внимание на корректность введенных данных — имя пользователя и пароль должны совпадать с учетными записями в Active Directory.

Если будут ошибки в синтаксисе или неправильно настроен Kerberos, присоединение может завершиться неудачно.

Запуск и проверка службы Winbind

После успешного присоединения к домену, необходимо убедиться, что служба Winbind работает корректно. Winbind обеспечивает получение данных о пользователях и группах из домена. Выполните команду для запуска и активации Winbind:

sudo systemctl start winbind
sudo systemctl enable winbind

Проверить корректность работы Winbind можно с помощью следующей команды:

wbinfo -u

Эта команда должна вывести список пользователей домена. Если все прошло успешно, вы увидите всех пользователей домена Active Directory.

Настройка авторизации доменных пользователей

Чтобы пользователи домена могли входить в систему на Astra Linux, необходимо настроить файл /etc/nsswitch.conf. Найдите строку passwd и добавьте в нее winbind:

passwd: files winbind
group: files winbind
shadow: files

После этого доменные пользователи смогут авторизоваться на компьютере с Astra Linux, используя свои учетные записи из Active Directory.

Тут важно помнить, что для корректной работы авторизации доменных пользователей система должна поддерживать доступ к доменному контроллеру и DNS-серверам.

Без этих компонентов авторизация может не сработать.

Заключение

Процесс ввода Astra Linux в домен Active Directory состоит из нескольких шагов: подготовка системы, установка и настройка необходимых пакетов, конфигурация Kerberos и Samba, а также проверка работы Winbind. Важно следовать всем этапам инструкции и быть внимательным при настройке конфигурационных файлов.

Интеграция Astra Linux с Active Directory позволяет значительно упростить управление пользователями в гетерогенной сети и обеспечить централизованный контроль за доступом к ресурсам.

Источник

Понравилась статья? Поделить с друзьями:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
  • Как понять какая версия windows на флешке
  • Удаление из контекстного меню windows 10
  • Как узнать память видеокарты на windows 10 на ноутбуке
  • Самоподписанный сертификат ssl windows server 2019
  • Mot de passe windows