Linux контроллер домена windows

Импортозамещение Windows. Контроллер домена Linux Ubuntu 20

Лого символизирующее непревзойдённую годноту расположенного под ним материала, а так же его высочайшую духовность и уровень изложения. Лайк, подписка, бусти, донат на сервер.

С огромным сожалением констатирую факт что возможно придётся вернуться на дзен. Плейлистов в дзене увы я не обнаружил, может быть я слеп и не знаю где они, если так то прошу ткнуть пальцем как создать плейлист.

Пока же, импровизированным плейлистом будет ентот пост. В нём будут собраны видео по настройке контроллера домена Linux на Ubuntu 20 в порядке в котором вы должны проходить изучение. Это значит что если видео идут в порядке где мы сначала ставим бинд, потом ставим самбу, потом донастраиваем бинд, потом донастраиваем самбу, это б***ь значит именно это. Если вы ставите бинд, донастраиваете бинд, ставите самбу, донастраиваете самбу и у вас что-то не работает, оно неработает именно в связи с несоблюдением порядка освоения материала.

Вопросы по статьям задавайте в Discord на канал вопросы-по-dc : discord.gg/ghfC3X8m5C
Поддержать:
Boosty: boosty.to/adminguide
Сбор средств на новый стенд для написания сложных мануалов: https://boosty.to/adminguide/single-payment/donation/90626?share=target_link

Чтобы поддержать канал, выбирайте курсы нетологии по моей реферальной ссылке. Промокод даст вам дополнительную 10% скидку на все онлайн-курсы, кроме направлений «MBA», «Самообразование и хобби», «Высшее образование» и курс «Директор по интернет маркетингу».
Действует от текущей цены и суммируется с действующими скидками на сайте Нетологии.

Сбор средств на тестовый стенд для написания сложных мануалов.

01 — Импортозамещение Windows. Контроллер домена Linux Ubuntu 20. Установка шлюза. Часть 1.

Первое с чего начинается выкатка инфраструктуры с нуля, это конечно же настройка сети. Так получилось что в этом видео использован ESXi и Untangle. Каюсь, оказалось что Унтангл уже не торт. Потому выбор шлюза остаётся за вами. Если вы не знаете какой шлюз выбрать — спрашивайте в комментариях. Так же гипервизором тут использован ESXi. Мой тестовый стенд для разработки видосов увы пришёл в негодность. Как только я соберу необходимую сумму на новый стенд для разработки мануалов, повествование продолжится уже с использованием Proxmox. Потому если вы только начинаете, сразу используйте Proxmox.

В этом же видео мы с вами начнём разворачивать инфраструктуру и рассмотрим основы, благо они смежны независимо от производителя виртуального шлюза или же платформы виртуализации. Даже если вы будете реализовывать свою инфраструкту используя настольную виртуализацию от Virtual Box — концепты все останутся теми же.
Не воспринимайте буквально, такая реализация возможна, но превратить её в жизнь додумается только самый отбитый и отмороженный человек.

02 — Импортозамещение Windows. Контроллер домена Linux Ubuntu 20. Установка шлюза. Часть 2

Как водится после подготовки гипервизора и установки туда шлюза, необходимо его как-то поднастроить чтобы можно было работать. Принцип настройки везде един, нужно чтобы по началу у него работал DHCP сервер дабы слегка облегчить вам жизнь, необходимо задать вашу сеть, не используйте сеть 192.168.1.0, т.к. с большой очень вероятностью когда вам понадобится подрубить какого-то юзера через впн, вы будете вынуждены соснуть писос, ввиду того что сеть у него дома и у вас в офисе одинаковы. Используйте другую подсеть, я использую 42. Кто знает почему 42 — ставьте лайк 🙂

03 — Импортозамещение Windows. Контроллер домена Linux Ubuntu 20. Настройка статического IP и имени сервера

Ни для кого очень не секрет зачем оно так делается. Если всё же таки секрет, я постараюсь немного приоткрыть завесу тайны. Если сетевой интерфейс вашего контроллера домена, обслуживающий вашу сеть, сменит IP адрес — наступит ваш маленький миленький локальный конец света. Ввиду неспособности залогиниться в сетевую шару бугалтера начнут обмазываться непонятными субстанциями. Всякий офисный планктон, в следствии неожиданного исчезновения днс сервера обслуживающего всю сеть начнёт творить неописуемую богомерзкую содомию. Тьма придёт в вашу сеть. Чтобы вот ентого вот всего избежать. Сетевые настройки контроллера домена должны быть статическими. Как этого добиться вы узнаете в следующем видео.

04 — Импортозамещение Windows. Контроллер домена Linux Ubuntu 20. Подготовка Bind9 к инициализации

Наконец-то настроив сетевой интерфейс контроллера домена, необходимо установить Bind9 и выполнить его предварительную настройку, что позволит выполнить установку и преднастройку самбы в дальнейшем. Выполнив настройку так как описано в приведённом видео, вы сможете перейти к следующему видео. Установке самбы.

05 — Импортозамещение Windows. Контроллер домена Linux Ubuntu 20. Инициализация домена

Долгая подготовка таки подошла к концу, пора переходить к решительным действиям и решительно инициализировать домен. Важным стоит отметить тот факт, что по результату инициализации, самба выкатит вам лог инициализации. Вполне разумным решением, особенно на первых порах, в случае если вы пока не понимаете что происходит — будет сохранить этот лог. Потому что когда вы будете в дискорде спрашивать «а почему не работает?», с вероятность 99% я запрошу у вас этот самый лог. Так же обратите внимание что при инициализации необходимо будет указать BIND9_DLZ в тот момент когда самба спросит это у вас. Многолетний опыт показывает что люди просто соглашаются со значением по умолчанию SAMBA_INTERNAL. Что делает все последующие статьи неприменимыми к настройке домена с таким бэкендом.

06 — Импортозамещение Windows — Контроллер домена Linux Ubuntu 20 — Донастройка Bind9

Финальный аккорд перед переводом домена на использование bind9 в качестве DNS сервера. В этом видео Bind9 будет приведён в вид достаточный, для того чтобы резолвить днс запросы от клиентов локальной сети.

Источник

Linux машина в домене Windows AD с помощью sssd и krb5

Была необходимость ввести в домен Windows машину с Ubuntu. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.

Для примера будем использовать:

Домен = contoso.com
Контроллер домена = dc.contoso.com

Запускаем терминал Ubuntu:

2. Устанавливаем необходимые пакеты

apt install sssd heimdal-clients msktutil

3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция

[libdefaults] default_realm = CONTOSO.COM [realms] CONTOSO.COM = < kdc = DC admin_server = dc.contoso.com default_domain = contoso.com >[login] krb4_convert = true krb4_get_tickets = false [domain_realm] .contoso.com = CONTOSO.COM contoso.com = CONTOSO.COM

4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:

127.0.0.1 localhost 127.0.1.1 .contoso.com

5. Пробуем получить Kerberos ticket от имени администратора домена:

root@ubuntu:~# kinit YourDomainAdmin YourDomainAdmin@CONTOSO.COM's Password:

root@ubuntu:~# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: YourDomainAdmin@CONTOSO.COM Issued Expires Principal Dec 1 15:08:27 2018 Dec 2 01:08:22 2018 krbtgt/CONTOSO.COM@CONTOSO.COM

Если тикет получен успешно, то теперь можно сгенерировать Kerberos principals для данного хоста, регистр важен:

msktutil -c -b 'CN=YourComputersOU' -s HOST/HOSTNAME.contoso.com -k /etc/sssd/HOSTNAME.keytab --computer-name HOSTNAME --upn HOSTNAME$ --server dc.contoso.com —user-creds-only msktutil -c -b 'CN=YourComputersOU' -s HOST/HOSTNAME -k /etc/sssd/HOSTNAME.keytab --computer-name HOSTNAME --upn HOSTNAME$ --server dc.contoso.com --user-creds-only 

Сейчас наш хост должен отобразиться в списке компьютеров в каталоге. Если все так — удаляем полученный Kerberos ticket:

6. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:

[sssd] services = nss, pam config_file_version = 2 domains = contoso.com [nss] entry_negative_timeout = 0 debug_level = 3 [pam] debug_level = 3 [domain/contoso.com] debug_level = 3 ad_domain = contoso.com ad_server = dc.contoso.com enumerate = false id_provider = ad auth_provider = ad chpass_provider = ad access_provider = simple simple_allow_groups = users #каким группам разрешено логиниться, через запятую. Есть ограничение — названия групп должны быть с маленькой буквы. ldap_schema = ad ldap_id_mapping = true fallback_homedir = /home/%u default_shell = /bin/bash ldap_sasl_mech = gssapi ldap_sasl_authid = $ ldap_krb5_init_creds = true krb5_keytab = /etc/sssd/.keytab

Описание параметров конфигфайла sssd можно посмотреть тут

Устанавливаем права доступа для файла sssd.conf:

chmod 600 /etc/sssd/sssd.conf

Перезапускаем SSSD service

7. Редактируем настройки PAM

редактируем файл /etc/pam.d/common-session, после строки

session required pam_unix.so

session required pam_mkhomedir.so skel=/etc/skel umask=0022

переопределить параметры через системные настройки PAM, вызываем

и отмечаем пункты sss auth и makehomdir. Это автоматически добавит
строчку выше в common-session и она не будет перезатерта при обновлении системы.

Теперь мы можем логиниться на машине доменными пользователями, которым разрешен вход.

P.S.: Можно дать права на использование sudo доменным группам. Используя visudo, редактируем файл /etc/sudoers, или лучше, как рекомендует maxzhurkin и iluvar, создаем новый файл в /etc/sudoers.d/ и редактируем его

visudo -f /etc/sudoers.d/ваш_файл

добавляем требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):

P.S.S.: Спасибо gotch за информацию о realmd. Очень удобно — если не нужны специфические настройки, то ввод машины в домен занимает, по сути, три (как заметил osipov_dv четыре) команды:

1. Устанавливаем нужные пакеты:

sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli

127.0.0.1 localhost 127.0.1.1 .contoso.com

realm discover contoso.com

sudo realm --verbose join contoso.com -U YourDomainAdmin --install=/

Дополнительный плюс данного варианта — сквозная авторизация на файловых ресурсах домена.

Для того чтоб при входе не указывать дополнительно к логину домен, можно добавить суффикс по умолчанию. В файле /etc/sssd/sssd.conf, в блоке [sssd] добавляем строку:

default_domain_suffix = contoso.com

Источник