Alt linux подключение к домену windows

Участник:AlenkaGlukhovskaya/ActiveDirectory/Login

Внимание! Если Ваш домен имеет суффикс .local — необходимо отключить avahi-daemon (подробнее ниже, пункт 2 примечаний).

• 1 Предусловия
  • 1.1 Параметры домена
  • 1.2 Установка пакетов
  • 1.3 Синхронизация времени
    • 1.3.1 Способ 1: Через net time
    • 1.3.2 Способ 2: По протоколу RFC 867
    • 1.3.3 Способ 3: Через Центр управления системой → Дата и время
    • 1.3.4 Способ 4: Через ntpdate
    • 2.1 Ввод в домен в Центре управления системой
    • 2.2 Ввод в домен в командной строке
    • 2.3 Настройка SSSD
    • 5.1 Настройка LightDM
    • 6.1 Установка модуля ролей
    • 6.2 Настройка ролей и привилегий
    • 6.3 Дополнительные роли
    • 7.1 Через gio
    • 7.2 Через pam_mount
    • 7.3 Через autofs
      • 7.3.1 Основная статья AutoFS
      • 7.3.2 Для дистрибутивов c KDE
      • 8.1 SSSD
      • 8.2 Ссылки по групповым политикам

      Предусловия

      Параметры домена

      Параметр	Значение
      Имя домена	SCHOOL.ALT
      Рабочая группа	SCHOOL
      Имя компьютера в Netbios	WS
      Имя пользователя-администратора	Administrator
      Пароль администратора	Pa$$word

      Установка пакетов

      Внимание! Аутентификация через winbind в новых сборках Samba не работает, используйте аутентификацию через task-auth-ad-sssd .

      С версии alterator-auth-0.31-alt1

      apt-get install task-auth-ad-sssd

      apt-get install alterator-auth sssd-ad samba-common-tools

      Возможно, следует обновить установленный дистрибутив из репозитория.

      Синхронизация времени

      С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.

      Способ 1: Через net time

      Способ 2: По протоколу RFC 867

      На сервере включается через xinetd daytime-tcp [1] :

      # chkconfig --list | grep daytime-tcp daytime-tcp: вкл

      А на клиенте — служба settime-rfc867 :

      chkconfig settime-rfc867 on service settime-rfc867 start

      Способ 3: Через Центр управления системой → Дата и время

      Включите флажок «Получать точное время с NTP-сервера» и укажите в поле справа pool.ntp.org . После этого нажмите кнопку «Применить».

      Способ 4: Через ntpdate

      Ввод в домен

      Ввод в домен в Центре управления системой

      В Центре управления системой перейдите в раздел Пользователи → Аутентификация

      Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости.

      

      Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».

      Ввод в домен в командной строке

      # system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word' Joined 'HOST-15' to dns domain 'school.alt'

      Настройка SSSD

      Критерии проверки работоспособности

      # getent passwd ivan ivan:*:10005:10002:ivan:/home/SCHOOL/ivan:/bin/bash # net ads info LDAP server: 192.168.1.1 LDAP server name: c228.school.alt Realm: SCHOOL.ALT Bind Path: dc=SCHOOL,dc=ALT LDAP port: 389 Server time: Ср, 22 апр 2015 16:22:47 MSK KDC server: 192.168.1.1 Server time offset: -1 # net ads testjoin Join is OK

      Примечание: Вы не увидите пользователей из AD с помощью команды # getent passwd на клиентской машине. Этот функционал отключен по-умолчанию для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя # getent passwd имя_пользователя . Список пользователей можно посмотреть на сервере командой # samba-tool user list

      Примечания

      1. Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен
      2. При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon — # chkconfig avahi-daemon off; reboot (доменная зона «local.» используется в технологии zeroconf).
      3. Следите за синхронизацией времени на клиенте и сервере.
      4. Для предотвращения кэширования имён пользователя отключите службу nscd .
      5. В новых версиях Samba до запуска службы winbind должна запускаться служба smb .
      6. Если возникает проблема просмотра билетов Kerberos под доменным пользователем, скопируйте правильный krb5.conf из samba:

      rm -f /etc/krb5.conf cp /var/lib/samba/smb_krb5/krb5.conf* /etc/krb5.conf

      Настройка окна входа

      Настройка LightDM

      В /etc/lightdm/lightdm.conf раскомментируйте строку в группе [SeatDefaults] :

      Это позволит вводить имя пользователя вручную, а не прокручивать огромный список доступных доменныx пользователей.

      Также полезно выключить выбор языка. В файле /etc/lightdm/lightdm-gtk-greeter.conf в группе [greeter] укажите

      show-language-selector=false

      В новых версиях lightdm-gtk-greeter можно указать кнопки явно:

      Полный перечень доступных кнопок:

      show-indicators=~a11y;~power;~session;~language

      Отображение глобальных групп на локальные

      Примечание: Первые два пункта данного раздела выполняются автоматически, если АРМ вводится в домен с помощью task-auth-ad-sssd

      Установка модуля ролей

      apt-get install libnss-role

      Настройка ролей и привилегий

      Добавляем роль локальных администраторов:

      Примечание: Лучше использовать группу localadmins (вместо admins) по избежание конфликта с группой admins во FreeIPA

      Создаём привилегию на право удалённого доступа (по протоколу ssh):

      Включаем удалённый доступ только для группы remote:

      # control sshd-allow-groups enabled # sed -i 's/AllowGroups.*/AllowGroups = remote/' /etc/openssh/sshd_config

      Настраиваем список привилегий для пользователей (для роли users):

      # roleadd users cdwriter cdrom audio proc radio camera floppy xgrp scanner uucp fuse

      Настраиваем список привилегий для администраторов (для роли admins):

      # roleadd localadmins wheel remote vboxusers

      Настраиваем отображение локальных привилегий, назначенных локальным ролям, на глобальные группы безопасности:

      # roleadd 'Domain Users' users

      # roleadd 'Пользователи домена' users

      # roleadd 'Domain Admins' localadmins

      # roleadd 'Администраторы домена' localadmins

      Просматриваем список назначенных ролей и привилегий:

      Данная настройка назначает заданный список локальных групп (привилегий) всем пользователям, входящим в заданные локальные группы (роли). А также назначает локальные роли для глобальных групп в домене.

      Дополнительные роли

      Соответственно, если надо выдать права администраторов АРМ пользователям, которые не являются Domain Admins, то нужно завести новую группу в AD (например, PC Admins), добавить туда необходимых пользователей. Затем на АРМ добавить роль для данной группы:

      # roleadd 'PC Admins' localadmins # rolelst users: cdwriter cdrom audio video proc radio camera floppy xgrp scanner uucp vboxusers fuse tsusers localadmins: wheel domain users: users domain admins: localadmins pc admins: localadmins

      После этого (и после разрешения sudo для группы wheel) под пользователем входящим в группу PC Admins можно запускать команду повышения прав sudo.

      user@alt8 ~ $ su - petrov Password: petrov@alt8 ~ $ id uid=445010929(petrov) gid=445000513(domain users) группы=445000513(domain users),10(wheel),14(uucp),19(proc), 22(cdrom),71(floppy),80(cdwriter),81(audio),83(radio),100(users),458(tsusers), 459(localadmins),466(fuse),468(video), 480(camera),492(vboxusers),498(xgrp),499(scanner),445010930(pc admins) petrov@alt8 ~ $ sudo apt-get update Пароль: Получено: 1 http://ftp.altlinux.org p8/branch/x86_64 release [880B] Получено: 2 http://ftp.altlinux.org p8/branch/x86_64-i586 release [537B] Получено: 3 http://ftp.altlinux.org p8/branch/noarch release [673B] Получено 2090B за 0s (36,9kB/s). Найдено http://ftp.altlinux.org p8/branch/x86_64/classic pkglist Найдено http://ftp.altlinux.org p8/branch/x86_64/classic release Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic pkglist Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic release Найдено http://ftp.altlinux.org p8/branch/noarch/classic pkglist Найдено http://ftp.altlinux.org p8/branch/noarch/classic release Чтение списков пакетов. Завершено Построение дерева зависимостей. Завершено

      Подключение файловых ресурсов

      Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).

      Через gio

      Примечание: Способ актуален для дистрибутивов, использующих gio (ранее — gvfs) (например, Кентавр, Simply Linux, Basealt Workstation, СПТ).

      Недостаток такого способа — необходимо открыть ресурс в файловом менеджере (Caja, Pcmanfm). Однако можно открывать любые ресурсы на любых серверах, входящие в домен Active Directory.

      1. Устанавливаем необходимые пакеты (с правами root):

      apt-get install fuse-gvfs gvfs-backend-smb libgio

      2. Включаем пользователя в группу fuse (с правами root):

      Внимание! Начиная с p9 членства в группе fuse недостаточно, требуется разрешить для всех доступ к fuse под root:

      control fusermount public

      3. Входим доменным пользователем

      4. Открываем ресурс в файловом менеджере (например, по адресу smb://server/sysvol ). Ресурс смонтирован по пути /var/run//gvfs или /var/run/user//gvfs/smb-share:server=сервер,share=ресурс

      Другой вариант (полезно для скриптов в автозапуске):

      gio mount smb://server/sysvol/

      Примечание: Если необходимо открывать что-то с ресурса в WINE, в winecfg добавьте диск с путём /var/run//gvfs .

      Через pam_mount

      В этом случае заданный ресурс подключается с заданного сервера автоматически при каждом входе доменным пользователем.

      1. Устанавливаем pam_mount :

      2. Прописываем pam_mount в схему /etc/pam.d/system-auth-sss :

      (перед auth required pam_sss.so )

      auth optional pam_mount.so

      session optional pam_mount.so

      Внимание! Если у Вас ресурс монтируется дважды, то можно исправить это, добавив в session перед строкой с pam_mount:

      session [success=1 default=ignore] pam_succeed_if.so service = systemd-user quiet

      3. Устанавливаем правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml (перед тегом ):

       uid="10000-2000200000" fstype="cifs" server="c228" path="sysvol" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /> 

      • uid=»10000-2000200000″ — диапазон присваиваемых для доменных пользователей UID (подходит и для Winbind и для SSSD)
      • server=»c228″ — имя сервера с ресурсом
      • path=»sysvol» — имя файлового ресурса
      • mountpoint=»~/share» — путь монтирования в домашней папке пользователя

      Внимание! Обязательно указывайте настоящее имя сервера в параметре server , а не имя домена

      Внимание! По умолчанию для монтирования используется smb версии 1.0, если у вас он отключен, то укажите в параметрах версию 2 или 3.

       uid="10000-2000200000" fstype="cifs" server="c228" path="sysvol" mountpoint="~/share" options="sec=krb5,vers=2.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /> 

      Для проверки можно попробовать смонтировать ресурс в сессии:

      mount.cifs //server/share /mnt/ -o vers=2.0,user=altlinux

      Также можно проверить доступность ресурса с помощью smbclient, например:

      smbclient -L server -U altlinux -m SMB2

      Через autofs

      В этом случае заданный ресурс подключается автоматически при каждом обращении пользователя. И отключается после определенного времени бездействия (определяется конфигуацией Autofs).

      Основная статья AutoFS

      Для дистрибутивов c KDE

      1. Устанавливаем kde5-autofs-shares :

      apt-get install kde5-autofs-shares

      2. Следуем инструкции по подключению в разделе Альт_Рабочая_станция_К_8_советы.

      Групповые политики

      Групповые политики (GPO) на Linux применяются только контроль входа через SSSD и средства Centrify.

      SSSD

      SSSD имеет внутреннюю поддержку следующих групповых политик:

      Политика
      Allow log on locally
      Allow log on through Remote Desktop Services
      Access this computer from the network
      Allow log on as a batch job
      Allow log on as a service

      Примечание: Планируется поддержка других групповых политик средствами подключаемых модулей

      Источник

      Alt linux подключение к домену windows

      Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости (если он еще не установлен):

      # apt-get install task-auth-ad-sssd 

      Для ввода компьютера в домен, на нём должен быть доступен сервер DNS, имеющий записи про контроллер домена Active Directory. Ниже приведен пример настройки сетевого интерфейса со статическим IP-адресом. При получении IP-адреса по DHCP данные о сервере DNS также должны быть получены от сервера DHCP.

      В Центре управления системой в разделе Сеть → Ethernet интерфейсы задать имя компьютера, указать в поле DNS-серверы DNS-сервер домена и в поле Домены поиска — домен для поиска:

      

      # hostnamectl set-hostname host-15.test.alt 

      в качестве первичного DNS должен быть указан DNS-сервер домена. Для этого необходимо создать файл /etc/net/ifaces/eth0/resolv.conf со следующим содержимым:

      указать службе resolvconf использовать DNS контроллера домена и домен для поиска. Для этого в файле /etc/resolvconf.conf добавить/отредактировать следующие параметры:

      interface_order='lo lo9* lo.* eth0' search_domains=test.alt

      После изменения имени компьютера могут перестать запускаться приложения. Для решения этой проблемы необходимо перезагрузить систему.

      search test.alt nameserver 192.168.0.113

      Источник

      Читайте также:  Структурная схема ос linux