Linux add domain user

Linux add domain user

Как мне ввести в домен Ubuntu 20.04 | 18.04 к домену Windows? Могу ли я присоединить Debian 10 к домену Active Directory?

Эта статья была написана, чтобы показать вам, как использовать realmd для присоединения сервера или рабочего стола Ubuntu 20.04 | 18.04 / Debian 10 к домену Active Directory. Домен Active Directory является центральным узлом информации о пользователях в большинстве корпоративных сред.

Например, в инфраструктуре моей компании ключевым требованием является то, чтобы все пользователи прошли аутентификацию во всех системах Linux с учетными данными Active Directory. Это должно работать как для Debian, так и для дистрибутивов Linux на основе Red Hat.

В этом руководстве будет показано, как настроить SSSD для получения информации из доменов в одном лесу ресурсов Active Directory. Если вы работаете с несколькими лесами AD, это руководство может вам не подойти. Мы также пойдем дальше и настроим правила sudo для пользователей, которые входят в систему через AD. Вот схема, изображающая установку и как она работает.

Ввести в домен Active Directory (AD) линукс Ubuntu 20.04 | 18.04 / Debian 10

Ввести в домен Active Directory (AD) линукс Ubuntu 20.04 | 18.04 / Debian 10

Убедитесь, что выбрано “activate mkhomedir” с помощью звездочки – [*]

Ввести в домен Active Directory (AD) линукс Ubuntu 20.04 | 18.04 / Debian 10

Затем выберите , чтобы сохранить изменения.

Ваш файл конфигурации sssd.conf находится в /etc/sssd/sssd.conf . При каждом изменении файла требуется перезагрузка.

Статус должен быть запущен.

Если интеграция работает, должна быть возможность получить информацию о пользователе AD.
$ id jmutai@example.com
uid=1783929917(jmutai@example.com) gid=1784800513(domain users@example.com) groups=1783870513(domain users@example.com)

Читайте также:  Браузеры для linux rpm

Шаг 6. Контроль доступа – Ограничьте до пользователя / группы

Доступ к зарегистрированному серверу можно ограничить, разрешив только определенных пользователей и группы.

Ограничение для пользователей

Чтобы разрешить пользователю доступ через SSH и консоль, используйте команду:

$ sudo realm permit user1@example.com
$ sudo realm permit user2@example.com user3@example.com
Разрешить доступ к группе – Примеры
$ sudo ream permit -g sysadmins
$ sudo realm permit -g ‘Security Users’
$ sudo realm permit ‘Domain Users’ ‘admin users’

Это изменит файл sssd.conf .

Если вместо этого вы хотите разрешить доступ всем пользователям, запустите:

$ sudo realm permit —all
Чтобы запретить доступ всем пользователям домена, используйте:
$ sudo realm deny —all

Шаг 7. Настройте доступ через Sudo

По умолчанию у пользователей домена не будет разрешения на повышение привилегий до root. Пользователям должен быть предоставлен доступ на основе имен пользователей или групп.

Давайте сначала создадим файл разрешений sudo.

$ sudo vi /etc/sudoers.d/domain_admins
Добавить одного пользователя:
user1@example.com ALL=(ALL) ALL
Добавить еще одного пользователя:
user1@example.com ALL=(ALL) ALL
user2@example.com ALL=(ALL) ALL
Добавить группу
%group1@example.com ALL=(ALL) ALL

Добавьте группу с пробелами.

%security\ users@example.com ALL=(ALL) ALL
%system\ super\ admins@example.com ALL=(ALL) ALL

Шаг 8. Проверьте доступ по SSH

Получите доступ к серверу удаленно, поскольку пользователю AD разрешено входить в систему.

$ ssh user1@localhost
The authenticity of host ‘localhost (::1)’ can’t be established.
ECDSA key fingerprint is SHA256:wmWcLi/lijm4zWbQ/Uf6uLMYzM7g1AnBwxzooqpB5CU.
ECDSA key fingerprint is MD5:10:0c:cb:22:fd:28:34:c6:3e:d7:68:15:02:f9:b4:e9.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added ‘localhost’ (ECDSA) to the list of known hosts.

Это подтверждение того, что наша конфигурация прошла успешно.

Посетите вики-страницы realmd и sssd, чтобы узнать больше.

Оригинал статьи на английском здесь.

Читайте также:  Linux and window hosting

Источник

Linux add domain user

Привет, дорогой мой бложек. У меня для тебя новая заметка о том, как подключить Ubuntu (проверено на 18.04 и 20.04) к домену Active Directory.

Как всегда, ничего нового я не придумал. Всё и так есть в интернете, но теперь и здесь тоже будет. Зачем это надо я не буду рассказывать, т.к. если вы хотите это сделать, то скорее всего сами прекрастно знаете зачем вам это надо.

Подготовка

Для начала включаем universe пакеты. Если они еще не включены, то:

sudo tee -a /etc/apt/sources.list  

Теперь обновляем apt-индексы:

sudo hostnamectl set-hostname linux-utils.vitaliy.org 

и проверяем - пишем hostnamectl и получаем результат:

 Static hostname: linux-utils.vitaliy.org Icon name: computer-vm Chassis: vm Machine ID: c6eccece18fa4459b843deae2cf5a2aa Boot ID: 545b62e60e0d4a72bfc86024bd2e2adc Virtualization: microsoft Operating System: Ubuntu 20.10 Kernel: Linux 5.8.0-48-generic Architecture: x86-64 

Проверяем что DNS у нас настроен корректно

Удаляем systemd-resolve и настраиваем /etc/resolv.conf сами.

sudo systemctl disable systemd-resolved sudo systemctl stop systemd-resolved sudo unlink /etc/resolv.conf sudo mcedit /etc/resolv.conf 

Пишем туда примерно вот так:

search vitaliy.org nameserver 192.168.2.1 nameserver 192.168.2.2 

Только укажите свои имя домена и DNS сервера.

Установка

Устанавливаем необъодимые пакеты:

sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit 

Подключение к домену

Проверяем что мы "видим" наш домен:

$ sudo realm discover vitaliy.org vitaliy.org type: kerberos realm-name: VITALIY.ORG domain-name: vitaliy.org configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: libnss-sss required-package: libpam-sss required-package: adcli required-package: samba-common-bin login-formats: %U login-policy: allow-permitted-logins permitted-logins: permitted-groups: Domain Admins 
sudo realm join -U Administrator vitaliy.org 

И тут же проверяем что всё хорошо:

$ realm list vitaliy.org type: kerberos realm-name: VITALIY.ORG domain-name: vitaliy.org configured: kerberos-member server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: libnss-sss required-package: libpam-sss required-package: adcli required-package: samba-common-bin login-formats: %U login-policy: allow-permitted-logins 

Включаем возможность автоматического создания домашних папок пользоватея:

sudo bash -c "cat > /usr/share/pam-configs/mkhomedir"  

Затем перезагружаем sssd и проверяем что оно работает:

sudo systemctl restart sssd systemctl status sssd 

Настройка прав доступа

Теперь разрешаем логиниться на компьютер отдельным пользователям или группам:

sudo realm permit user1@example.com sudo realm permit -g 'Domain Users' 

Бесплатный бонус:

Пользователей группы Domain Admins можно добавить в sudoers . По умолчанию этого не произойдет.

sudo mcedit /etc/sudoers.d/domain_admins 

© 2006-2023 - Виталий Лещенко , сборка: 20220906.3-linux-amd64 .

Источник

Оцените статью
Adblock
detector