Net ads join — различия между версиями
(→Проверка диалогово окна ввода пароля) |
|||
(не показано 16 промежуточных версий 6 участников) | |||
Строка 1: | Строка 1: | ||
+ | == Ввод в домен при помощи winbind == | ||
+ | Перед началом настройки проверить настройки сетевого соединения, доступность сервера контроллера домена | ||
+ | Альтернативный способ описан тут командой '''Realm join''' [[Доменная_авторизация_(windows)]] | ||
+ | ==Подготовка перед добавлением в домен== | ||
+ | Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем. | ||
+ | Для этого редактируем конфигурационный файл: | ||
# mcedit /etc/sysconfig/selinux | # mcedit /etc/sysconfig/selinux | ||
SELINUX=disabled | SELINUX=disabled | ||
setenforce 0 | setenforce 0 | ||
+ | |||
+ | Так же отключим файерволл командами: | ||
# systemctl stop firewalld | # systemctl stop firewalld | ||
# systemctl disable firewalld | # systemctl disable firewalld | ||
− | + | Входные параметры: | |
----- | ----- | ||
− | + | *alteros.internal - имя домена, | |
− | + | *dc.alteros.internal - полное имя контроллера домена, | |
− | + | *administrator - учетная запись администратора домена. | |
− | |||
− | |||
----- | ----- | ||
+ | ==Установка имени хоста== | ||
+ | изменить имя хоста можно командой: | ||
+ | hostnamectl set-hostname alteros-host | ||
+ | Именно с этим именем хост будет добавляться в домен. | ||
+ | |||
+ | ==Установка chrony для синхронизации времени== | ||
+ | Установка осуществляется командой: | ||
+ | # yum install chrony | ||
+ | В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле: | ||
+ | mcedit /etc/chrony.conf | ||
+ | server dc.alteros.internal iburst | ||
+ | |||
+ | ==Установка и настройка winbind== | ||
+ | Для установки необходимых пакетов выполняет команду: | ||
+ | # yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation | ||
+ | Установка конфигурации осуществляется командой: | ||
+ | # authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update | ||
+ | |||
+ | Теперь можно добавлять хост в домен: | ||
+ | # net ads join -U administrator | ||
+ | |||
+ | ==Настройка Samba== | ||
+ | Настраиваем Samba соответственно конфигурации ниже: | ||
+ | # mcedit /etc/samba/smb.conf | ||
+ | |||
+ | [global] | ||
+ | workgroup = ALTEROS | ||
+ | password server = dc.alteros.internal | ||
+ | realm = ALTEROS.INTERNAL | ||
+ | security = ads | ||
+ | idmap config * : range = 16777216-33554431 | ||
+ | template homedir = /home/%U | ||
+ | template shell = /bin/bash | ||
+ | kerberos method = secrets only | ||
+ | winbind use default domain = true | ||
+ | winbind offline logon = true | ||
+ | |||
+ | passdb backend = tdbsam | ||
+ | load printers = no | ||
+ | show add printer wizard = no | ||
+ | printcap name = /dev/null | ||
+ | disable spoolss = yes | ||
+ | |||
+ | domain master = no | ||
+ | local master = no | ||
+ | preferred master = no | ||
+ | os level = 1 | ||
+ | |||
+ | log level = 3 | ||
+ | log file = /var/log/samba/log.%m | ||
+ | |||
+ | Перезапускаем и включаем сервисы командами: | ||
+ | # systemctl start winbind | ||
+ | # systemctl start smb.service | ||
+ | # systemctl enable winbind | ||
+ | # systemctl enable smb.service | ||
+ | |||
+ | ==Проверка работы с доменом== | ||
+ | Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена. | ||
+ | |||
+ | # wbinfo -t | ||
+ | checking the trust secret for domain XS via RPC calls succeeded | ||
+ | Проверяем, что команда возвращает список доменных пользователей: | ||
+ | # wbinfo -u | ||
+ | Проверяем, что команда возвращает список доменных групп: | ||
+ | # wbinfo -g | ||
+ | Проверяем, что авторизация работает: | ||
+ | # wbinfo -a ALTEROS\\username%'password' | ||
+ | где username - это имя пользователя из домена и password - его пароль. | ||
+ | |||
+ | ==Включение кэширования учетных записей== | ||
+ | Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: | ||
+ | Для этого проверяем, что в конфигурационном файле smb.conf содержится опция: | ||
+ | winbind offline logon = true | ||
+ | |||
+ | В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже: | ||
+ | |||
+ | # | ||
+ | # pam_winbind configuration file | ||
+ | # | ||
+ | # /etc/security/pam_winbind.conf | ||
+ | # | ||
+ | [global] | ||
+ | # request a cached login if possible | ||
+ | # (needs "winbind offline logon = yes" in smb.conf) | ||
+ | cached_login = yes | ||
+ | |||
+ | После этого разрешаем кэширование учетных записей командой: | ||
+ | # smbcontrol winbind offline | ||
+ | |||
+ | ==Проверка диалогово окна ввода пароля== | ||
+ | Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже: | ||
− | + | Открываем в редакторе с превалированными правами | |
− | # | + | # mcedit /etc/lightdm/lightdm.conf |
− | + | в разделе [Seat:*] добавляем строки | |
− | |||
+ | greeter-show-manual-login=true | ||
+ | allow-user-switching=true | ||
− | + | Перезагружаем систему, проверяем наличие нового окна. |
Текущая версия на 00:46, 30 июня 2023
Содержание
Ввод в домен при помощи winbind
Перед началом настройки проверить настройки сетевого соединения, доступность сервера контроллера домена Альтернативный способ описан тут командой Realm join Доменная_авторизация_(windows)
Подготовка перед добавлением в домен
Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем. Для этого редактируем конфигурационный файл:
# mcedit /etc/sysconfig/selinux
SELINUX=disabled setenforce 0
Так же отключим файерволл командами:
# systemctl stop firewalld # systemctl disable firewalld
Входные параметры:
- alteros.internal - имя домена,
- dc.alteros.internal - полное имя контроллера домена,
- administrator - учетная запись администратора домена.
Установка имени хоста
изменить имя хоста можно командой:
hostnamectl set-hostname alteros-host
Именно с этим именем хост будет добавляться в домен.
Установка chrony для синхронизации времени
Установка осуществляется командой:
# yum install chrony
В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле:
mcedit /etc/chrony.conf server dc.alteros.internal iburst
Установка и настройка winbind
Для установки необходимых пакетов выполняет команду:
# yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation
Установка конфигурации осуществляется командой:
# authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update
Теперь можно добавлять хост в домен:
# net ads join -U administrator
Настройка Samba
Настраиваем Samba соответственно конфигурации ниже:
# mcedit /etc/samba/smb.conf
[global] workgroup = ALTEROS password server = dc.alteros.internal realm = ALTEROS.INTERNAL security = ads idmap config * : range = 16777216-33554431 template homedir = /home/%U template shell = /bin/bash kerberos method = secrets only winbind use default domain = true winbind offline logon = true passdb backend = tdbsam load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes domain master = no local master = no preferred master = no os level = 1 log level = 3 log file = /var/log/samba/log.%m
Перезапускаем и включаем сервисы командами:
# systemctl start winbind # systemctl start smb.service # systemctl enable winbind # systemctl enable smb.service
Проверка работы с доменом
Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена.
# wbinfo -t checking the trust secret for domain XS via RPC calls succeeded
Проверяем, что команда возвращает список доменных пользователей:
# wbinfo -u
Проверяем, что команда возвращает список доменных групп:
# wbinfo -g
Проверяем, что авторизация работает:
# wbinfo -a ALTEROS\\username%'password'
где username - это имя пользователя из домена и password - его пароль.
Включение кэширования учетных записей
Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: Для этого проверяем, что в конфигурационном файле smb.conf содержится опция:
winbind offline logon = true
В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже:
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # [global] # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes
После этого разрешаем кэширование учетных записей командой:
# smbcontrol winbind offline
Проверка диалогово окна ввода пароля
Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже:
Открываем в редакторе с превалированными правами
# mcedit /etc/lightdm/lightdm.conf
в разделе [Seat:*] добавляем строки
greeter-show-manual-login=true allow-user-switching=true
Перезагружаем систему, проверяем наличие нового окна.