Linux add domain user
Как мне ввести в домен Ubuntu 20.04 | 18.04 к домену Windows? Могу ли я присоединить Debian 10 к домену Active Directory?
Эта статья была написана, чтобы показать вам, как использовать realmd для присоединения сервера или рабочего стола Ubuntu 20.04 | 18.04 / Debian 10 к домену Active Directory. Домен Active Directory является центральным узлом информации о пользователях в большинстве корпоративных сред.
Например, в инфраструктуре моей компании ключевым требованием является то, чтобы все пользователи прошли аутентификацию во всех системах Linux с учетными данными Active Directory. Это должно работать как для Debian, так и для дистрибутивов Linux на основе Red Hat.
В этом руководстве будет показано, как настроить SSSD для получения информации из доменов в одном лесу ресурсов Active Directory. Если вы работаете с несколькими лесами AD, это руководство может вам не подойти. Мы также пойдем дальше и настроим правила sudo для пользователей, которые входят в систему через AD. Вот схема, изображающая установку и как она работает.
Убедитесь, что выбрано “activate mkhomedir” с помощью звездочки – [*]
Затем выберите , чтобы сохранить изменения.
Ваш файл конфигурации sssd.conf находится в /etc/sssd/sssd.conf . При каждом изменении файла требуется перезагрузка.
Статус должен быть запущен.
Если интеграция работает, должна быть возможность получить информацию о пользователе AD.
$ id jmutai@example.com
uid=1783929917(jmutai@example.com) gid=1784800513(domain users@example.com) groups=1783870513(domain users@example.com)
Шаг 6. Контроль доступа – Ограничьте до пользователя / группы
Доступ к зарегистрированному серверу можно ограничить, разрешив только определенных пользователей и группы.
Ограничение для пользователей
Чтобы разрешить пользователю доступ через SSH и консоль, используйте команду:
$ sudo realm permit user1@example.com
$ sudo realm permit user2@example.com user3@example.com
Разрешить доступ к группе – Примеры
$ sudo ream permit -g sysadmins
$ sudo realm permit -g ‘Security Users’
$ sudo realm permit ‘Domain Users’ ‘admin users’
Это изменит файл sssd.conf .
Если вместо этого вы хотите разрешить доступ всем пользователям, запустите:
$ sudo realm permit —all
Чтобы запретить доступ всем пользователям домена, используйте:
$ sudo realm deny —all
Шаг 7. Настройте доступ через Sudo
По умолчанию у пользователей домена не будет разрешения на повышение привилегий до root. Пользователям должен быть предоставлен доступ на основе имен пользователей или групп.
Давайте сначала создадим файл разрешений sudo.
$ sudo vi /etc/sudoers.d/domain_admins
Добавить одного пользователя:
user1@example.com ALL=(ALL) ALL
Добавить еще одного пользователя:
user1@example.com ALL=(ALL) ALL
user2@example.com ALL=(ALL) ALL
Добавить группу
%group1@example.com ALL=(ALL) ALL
Добавьте группу с пробелами.
%security\ users@example.com ALL=(ALL) ALL
%system\ super\ admins@example.com ALL=(ALL) ALL
Шаг 8. Проверьте доступ по SSH
Получите доступ к серверу удаленно, поскольку пользователю AD разрешено входить в систему.
$ ssh user1@localhost
The authenticity of host ‘localhost (::1)’ can’t be established.
ECDSA key fingerprint is SHA256:wmWcLi/lijm4zWbQ/Uf6uLMYzM7g1AnBwxzooqpB5CU.
ECDSA key fingerprint is MD5:10:0c:cb:22:fd:28:34:c6:3e:d7:68:15:02:f9:b4:e9.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘localhost’ (ECDSA) to the list of known hosts.
Это подтверждение того, что наша конфигурация прошла успешно.
Посетите вики-страницы realmd и sssd, чтобы узнать больше.
Оригинал статьи на английском здесь.
Linux add domain user
Привет, дорогой мой бложек. У меня для тебя новая заметка о том, как подключить Ubuntu (проверено на 18.04 и 20.04) к домену Active Directory.
Как всегда, ничего нового я не придумал. Всё и так есть в интернете, но теперь и здесь тоже будет. Зачем это надо я не буду рассказывать, т.к. если вы хотите это сделать, то скорее всего сами прекрастно знаете зачем вам это надо.
Подготовка
Для начала включаем universe пакеты. Если они еще не включены, то:
sudo tee -a /etc/apt/sources.list
Теперь обновляем apt-индексы:
sudo hostnamectl set-hostname linux-utils.vitaliy.org
и проверяем - пишем hostnamectl и получаем результат:
Static hostname: linux-utils.vitaliy.org Icon name: computer-vm Chassis: vm Machine ID: c6eccece18fa4459b843deae2cf5a2aa Boot ID: 545b62e60e0d4a72bfc86024bd2e2adc Virtualization: microsoft Operating System: Ubuntu 20.10 Kernel: Linux 5.8.0-48-generic Architecture: x86-64
Проверяем что DNS у нас настроен корректно
Удаляем systemd-resolve и настраиваем /etc/resolv.conf сами.
sudo systemctl disable systemd-resolved sudo systemctl stop systemd-resolved sudo unlink /etc/resolv.conf sudo mcedit /etc/resolv.conf
Пишем туда примерно вот так:
search vitaliy.org nameserver 192.168.2.1 nameserver 192.168.2.2
Только укажите свои имя домена и DNS сервера.
Установка
Устанавливаем необъодимые пакеты:
sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
Подключение к домену
Проверяем что мы "видим" наш домен:
$ sudo realm discover vitaliy.org vitaliy.org type: kerberos realm-name: VITALIY.ORG domain-name: vitaliy.org configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: libnss-sss required-package: libpam-sss required-package: adcli required-package: samba-common-bin login-formats: %U login-policy: allow-permitted-logins permitted-logins: permitted-groups: Domain Admins
sudo realm join -U Administrator vitaliy.org
И тут же проверяем что всё хорошо:
$ realm list vitaliy.org type: kerberos realm-name: VITALIY.ORG domain-name: vitaliy.org configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: libnss-sss required-package: libpam-sss required-package: adcli required-package: samba-common-bin login-formats: %U login-policy: allow-permitted-logins
Включаем возможность автоматического создания домашних папок пользоватея:
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir"
Затем перезагружаем sssd и проверяем что оно работает:
sudo systemctl restart sssd systemctl status sssd
Настройка прав доступа
Теперь разрешаем логиниться на компьютер отдельным пользователям или группам:
sudo realm permit user1@example.com sudo realm permit -g 'Domain Users'
Бесплатный бонус:
Пользователей группы Domain Admins можно добавить в sudoers . По умолчанию этого не произойдет.
sudo mcedit /etc/sudoers.d/domain_admins
© 2006-2023 - Виталий Лещенко , сборка: 20220906.3-linux-amd64 .