Настройка active directory astra linux

Введение

Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:

  1. С использованием инструментария winbind:
    1. графический инструмент fly-admin-ad-client;
    2. инструмент командной строки astra-winbind;
    1. графический инструмент fly-admin-ad-sssd-client;
    2. инструмент командной строки astra-ad-sssd-client;

    Далее рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.

    Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003.

    Конфигурация стенда

    Имя компьютера (hostname) Операционная система Роли компьютера IP-адрес
    dc01.example.com Windows Server 2008R2 Контроллер домена; DNS сервер Статический (далее для примера используется IP-адрес 192.168.5.7)
    astra01 Astra Linux Special Edition Рабочая станция, член домена Статический или динамически назначаемый IP-адрес

    Настройка системных часов и сетевых подключений

    Для успешного ввода Astra Linux в домен AD на вводимой машине перед вводом в домен необходимо:

    1. Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux);
    2. Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.

    Графический инструмент fly-admin-ad-client

    Установка пакетов

    В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой :

    При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

    Ввод в домен с помощью fly-admin-ad-client

    1. Открыть «Панель управления»:

    Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:

  2. Заполнить все поля и нажать кнопку «Подключиться»:
Читайте также:  Install wine on linux debian

Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя «username@example.com» или «EXAMPLE\username».

Графический инструмент fly-admin-ad-sssd-client

Для ввода с помощью SSSD в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.

  1. Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);
  2. Установить пакет:

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd-client можно используя Графический менеджер пакетов synaptic или из командной строки командой :

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

Ввод в домен с помощью fly-admin-ad-sssd-client

После установки пакет доступен в графическом меню: «Пуск» — «Панель управления» — «Сеть» — «Настройка клиента SSSD Fly».

Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку «Подключиться»:

Инструмент командной строки astra-winbind

Установка пакетов

Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

Ввод в домен с помощью astra-winbind

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003.

Ввод компьютера в домен может быть выполнен командой:

  • -dc dc01.example.com — указание контроллера домена;
  • -u Администратор — указание имени администратора домена;
sudo astra-winbind -h Usage: astra-winbind ключи: -h этот текст -dc имя контроллера домена. если FQDN, ключ -d можно опустить -d домен. если отсутствует, берется из файла /etc/resolv.conf -g группа. если отсутствует, берется из домена -n сервер времени. если нет, используется контроллер домена -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -px получает пароль администратора домена из stdin -p пароль администратора домена (небезопасно) -s разрешить и запустить службу подключения к домену -S запретить и остановить службу подключения к домену -l вывести компьютер из домена примеры: полное имя контроллера домена и отключение запроса подтверждения astra-winbind -dc astra01.atws.as -u admin -p password -y сторонний сервер времени и запрос пароля в процессе astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin передача пароля через stdin, домен ищется в resolv.conf echo | ./astra-winbind -dc astra01 -u admin -px -y информация о текущем домене astra-winbind -i

Особенности ввода в домен Windows AD 2003

При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:

    Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:

Инструмент командной строки astra-ad-sssd-client

Установка пакетов

Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

Ввод в домен с помощью astra-ad-sssd-client

При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.

  • -d example.com — указание имени домена;
  • -u Администратор — указание имени администратора домена;

Примерный диалог при выполнении команды:

compname = astra01 domain = example.com username = admin введите пароль администратора домена: ok продолжать ? (y\N) y настройка сервисов. Завершено. Компьютер подключен к домену. Для продолжения работы, необходимо перезагрузить компьютер!

Для завершения подключения требуется перезагрузить компьютер:

sudo astra-ad-sssd-client -h Usage: astra-ad-sssd-client ключи: -h,--help этот текст -d домен. если отсутствует, берется из hostname.resolv.conf -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -n сервер времени. -px получает пароль администратора домена от внешнего сценария через перенаправление стандартного ввода (stdin) -p пароль администратора домена -U удаление --par указать параметры вручную

После перезагрузки проверить статус подключения можно следующими способами:

    Получить билет Kerberos от имени администратора домена:

Примеры

Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:

Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:

Удаление компьютера из домена Windows AD

Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:

Источник

Ввод Astra Linux Special Edition 1.6 в Active Directory с настройкой SSO в PostgreSQL.

Настроим ОС Astra Linux SE 1.6 и введем в домен MS Active Directory . В процессе настроим SMABA, WINBIND и POSTGRESQL, а также настроим в POSTGRESQL SSO через GSSAPI.

Данная настройка проводилась с обновлением ОС Astra Linux SE 1.6 — 20191029SE16 . Процесс обновления ОС не описан в процессе конфигурации.

Вводные данные

Контроллеры домена Active Directory

Сервер c базой данных Postgresql

ОС – Astra Linux SE 1.6. Установлена без ALD и без режима киоска. Дополнительное ПО выбрано базовые средства, рабочий стол Fly, средства работы в сети, СУБД.

Разблокировка учетной записи ROOT

Для удобства настройки разблокируем учетную запись ROOT

Для безопасности по окончанию работ требуется заблокировать учетную запись ROOT!

Настройка сети на bd1

Приведем файл /etc/hosts к виду

Проверим правильность имени машины в /etc/hostname

Настроим статический IP-адрес, для этого внесем строки в файл /etc/network/interfaces

Для автоматической генерации файла /etc/resolv.conf установим пакет resolvconf.

Проверим, должен появиться интерфейс eth0 с назначенным нами адресом 192.168.0.100

Проверим доступность контроллеров домена Active Directory

Настроим синхронизацию времени с контроллерами домена, для этого в файле /etc/ntp.conf добавим в секцию «You do need to talk to an NTP server or two (or three)»

Установим требуемые пакеты

Сначала проверим установлены ли пакеты SAMBA, WINBIND, NTP и POSTGRESQL

Произведем до установку пакетов которые нам потребуются далее (потребуется диск с дистрибутивом ОС)

apt-get install nscd nslcd libpam-winbind libpam-krb5 libsasl2-modules-gssapi-mit krb5-user libnss-winbind

Чтобы установить следующий пакет потребуется диск разработчика

Настройка конфигурационных файлов для работы с доменом Active Directory.

Отредактируем конфигурационный файл Kerberos /etc/krb5.conf и приведем его к виду

Источник

Оцените статью
Adblock
detector