Net ads join — различия между версиями
(→Проверка диалогово окна ввода пароля) |
|||
| (не показано 16 промежуточных версий 6 участников) | |||
| Строка 1: | Строка 1: | ||
| + | == Ввод в домен при помощи winbind == | ||
| + | Перед началом настройки проверить настройки сетевого соединения, доступность сервера контроллера домена | ||
| + | Альтернативный способ описан тут командой '''Realm join''' [[Доменная_авторизация_(windows)]] | ||
| + | ==Подготовка перед добавлением в домен== | ||
| + | Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем. | ||
| + | Для этого редактируем конфигурационный файл: | ||
# mcedit /etc/sysconfig/selinux | # mcedit /etc/sysconfig/selinux | ||
SELINUX=disabled | SELINUX=disabled | ||
setenforce 0 | setenforce 0 | ||
| + | |||
| + | Так же отключим файерволл командами: | ||
# systemctl stop firewalld | # systemctl stop firewalld | ||
# systemctl disable firewalld | # systemctl disable firewalld | ||
| − | + | Входные параметры: | |
----- | ----- | ||
| − | + | *alteros.internal - имя домена, | |
| − | + | *dc.alteros.internal - полное имя контроллера домена, | |
| − | + | *administrator - учетная запись администратора домена. | |
| − | |||
| − | |||
----- | ----- | ||
| + | ==Установка имени хоста== | ||
| + | изменить имя хоста можно командой: | ||
| + | hostnamectl set-hostname alteros-host | ||
| + | Именно с этим именем хост будет добавляться в домен. | ||
| + | |||
| + | ==Установка chrony для синхронизации времени== | ||
| + | Установка осуществляется командой: | ||
| + | # yum install chrony | ||
| + | В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле: | ||
| + | mcedit /etc/chrony.conf | ||
| + | server dc.alteros.internal iburst | ||
| + | |||
| + | ==Установка и настройка winbind== | ||
| + | Для установки необходимых пакетов выполняет команду: | ||
| + | # yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation | ||
| + | Установка конфигурации осуществляется командой: | ||
| + | # authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update | ||
| + | |||
| + | Теперь можно добавлять хост в домен: | ||
| + | # net ads join -U administrator | ||
| + | |||
| + | ==Настройка Samba== | ||
| + | Настраиваем Samba соответственно конфигурации ниже: | ||
| + | # mcedit /etc/samba/smb.conf | ||
| + | |||
| + | [global] | ||
| + | workgroup = ALTEROS | ||
| + | password server = dc.alteros.internal | ||
| + | realm = ALTEROS.INTERNAL | ||
| + | security = ads | ||
| + | idmap config * : range = 16777216-33554431 | ||
| + | template homedir = /home/%U | ||
| + | template shell = /bin/bash | ||
| + | kerberos method = secrets only | ||
| + | winbind use default domain = true | ||
| + | winbind offline logon = true | ||
| + | |||
| + | passdb backend = tdbsam | ||
| + | load printers = no | ||
| + | show add printer wizard = no | ||
| + | printcap name = /dev/null | ||
| + | disable spoolss = yes | ||
| + | |||
| + | domain master = no | ||
| + | local master = no | ||
| + | preferred master = no | ||
| + | os level = 1 | ||
| + | |||
| + | log level = 3 | ||
| + | log file = /var/log/samba/log.%m | ||
| + | |||
| + | Перезапускаем и включаем сервисы командами: | ||
| + | # systemctl start winbind | ||
| + | # systemctl start smb.service | ||
| + | # systemctl enable winbind | ||
| + | # systemctl enable smb.service | ||
| + | |||
| + | ==Проверка работы с доменом== | ||
| + | Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена. | ||
| + | |||
| + | # wbinfo -t | ||
| + | checking the trust secret for domain XS via RPC calls succeeded | ||
| + | Проверяем, что команда возвращает список доменных пользователей: | ||
| + | # wbinfo -u | ||
| + | Проверяем, что команда возвращает список доменных групп: | ||
| + | # wbinfo -g | ||
| + | Проверяем, что авторизация работает: | ||
| + | # wbinfo -a ALTEROS\\username%'password' | ||
| + | где username - это имя пользователя из домена и password - его пароль. | ||
| + | |||
| + | ==Включение кэширования учетных записей== | ||
| + | Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: | ||
| + | Для этого проверяем, что в конфигурационном файле smb.conf содержится опция: | ||
| + | winbind offline logon = true | ||
| + | |||
| + | В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже: | ||
| + | |||
| + | # | ||
| + | # pam_winbind configuration file | ||
| + | # | ||
| + | # /etc/security/pam_winbind.conf | ||
| + | # | ||
| + | [global] | ||
| + | # request a cached login if possible | ||
| + | # (needs "winbind offline logon = yes" in smb.conf) | ||
| + | cached_login = yes | ||
| + | |||
| + | После этого разрешаем кэширование учетных записей командой: | ||
| + | # smbcontrol winbind offline | ||
| + | |||
| + | ==Проверка диалогово окна ввода пароля== | ||
| + | Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже: | ||
| − | + | Открываем в редакторе с превалированными правами | |
| − | # | + | # mcedit /etc/lightdm/lightdm.conf |
| − | + | в разделе [Seat:*] добавляем строки | |
| − | |||
| + | greeter-show-manual-login=true | ||
| + | allow-user-switching=true | ||
| − | + | Перезагружаем систему, проверяем наличие нового окна. | |
Текущая версия на 00:46, 30 июня 2023
Содержание
Ввод в домен при помощи winbind
Перед началом настройки проверить настройки сетевого соединения, доступность сервера контроллера домена Альтернативный способ описан тут командой Realm join Доменная_авторизация_(windows)
Подготовка перед добавлением в домен
Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем. Для этого редактируем конфигурационный файл:
# mcedit /etc/sysconfig/selinux
SELINUX=disabled setenforce 0
Так же отключим файерволл командами:
# systemctl stop firewalld # systemctl disable firewalld
Входные параметры:
- alteros.internal - имя домена,
- dc.alteros.internal - полное имя контроллера домена,
- administrator - учетная запись администратора домена.
Установка имени хоста
изменить имя хоста можно командой:
hostnamectl set-hostname alteros-host
Именно с этим именем хост будет добавляться в домен.
Установка chrony для синхронизации времени
Установка осуществляется командой:
# yum install chrony
В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле:
mcedit /etc/chrony.conf server dc.alteros.internal iburst
Установка и настройка winbind
Для установки необходимых пакетов выполняет команду:
# yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation
Установка конфигурации осуществляется командой:
# authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update
Теперь можно добавлять хост в домен:
# net ads join -U administrator
Настройка Samba
Настраиваем Samba соответственно конфигурации ниже:
# mcedit /etc/samba/smb.conf
[global] workgroup = ALTEROS password server = dc.alteros.internal realm = ALTEROS.INTERNAL security = ads idmap config * : range = 16777216-33554431 template homedir = /home/%U template shell = /bin/bash kerberos method = secrets only winbind use default domain = true winbind offline logon = true passdb backend = tdbsam load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes domain master = no local master = no preferred master = no os level = 1 log level = 3 log file = /var/log/samba/log.%m
Перезапускаем и включаем сервисы командами:
# systemctl start winbind # systemctl start smb.service # systemctl enable winbind # systemctl enable smb.service
Проверка работы с доменом
Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена.
# wbinfo -t checking the trust secret for domain XS via RPC calls succeeded
Проверяем, что команда возвращает список доменных пользователей:
# wbinfo -u
Проверяем, что команда возвращает список доменных групп:
# wbinfo -g
Проверяем, что авторизация работает:
# wbinfo -a ALTEROS\\username%'password'
где username - это имя пользователя из домена и password - его пароль.
Включение кэширования учетных записей
Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: Для этого проверяем, что в конфигурационном файле smb.conf содержится опция:
winbind offline logon = true
В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже:
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # [global] # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes
После этого разрешаем кэширование учетных записей командой:
# smbcontrol winbind offline
Проверка диалогово окна ввода пароля
Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже:
Открываем в редакторе с превалированными правами
# mcedit /etc/lightdm/lightdm.conf
в разделе [Seat:*] добавляем строки
greeter-show-manual-login=true allow-user-switching=true
Перезагружаем систему, проверяем наличие нового окна.
