Net ads join — различия между версиями

Материал из Wiki AlterOS
Перейти к: навигация, поиск
(Проверка диалогово окна ввода пароля)
 
(не показано 9 промежуточных версий 4 участников)
Строка 1: Строка 1:
  
 +
== Ввод в домен при помощи winbind  ==
 +
Перед началом настройки проверить настройки сетевого соединения, доступность сервера контроллера домена
 +
Альтернативный способ описан тут командой '''Realm join''' [[Доменная_авторизация_(windows)]]
  
 +
==Подготовка перед добавлением в домен==
 +
Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем.
 +
Для этого редактируем конфигурационный файл:
 
  # mcedit /etc/sysconfig/selinux
 
  # mcedit /etc/sysconfig/selinux
 
SELINUX=disabled
 
SELINUX=disabled
 
setenforce 0
 
setenforce 0
 +
 +
Так же отключим файерволл командами:
 
  # systemctl stop firewalld
 
  # systemctl stop firewalld
 
  # systemctl disable firewalld
 
  # systemctl disable firewalld
  
вводные данные:
+
Входные параметры:
 
-----
 
-----
xs.local название домена
+
*alteros.internal  -  имя домена,
10.1.3.4 ip адрес контроллера домена
+
*dc.alteros.internal  - полное имя контроллера домена,
xs-winsrv.xs.local полное имя контроллера домена
+
*administrator  - учетная запись администратора домена.
xs-design имя сервера centos, который вводим в домен
 
admin51 учетная запись администратора домена
 
 
-----
 
-----
 +
==Установка имени хоста==
 +
изменить имя хоста можно командой:
 +
  hostnamectl set-hostname alteros-host
 +
Именно с этим именем хост будет добавляться в домен.
  
hostnamectl set-hostname <comp name.doamin>
+
==Установка chrony для синхронизации времени==
 
+
Установка осуществляется командой:
# yum install chrony
+
  # yum install chrony
 
+
В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле:
mcedit /etc/chrony.conf  
+
  mcedit /etc/chrony.conf  
server xs-winsrv.xs.local iburst
+
  server dc.alteros.internal iburst
 
 
 
 
# yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation chrony
 
 
 
# authconfig --enablekrb5 --krb5kdc=xs-winsrv.xs.local --krb5adminserver=xs-winsrv.xs.local --krb5realm=XS.LOCAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=XS.LOCAL --smbservers=xs-winsrv.xs.local --smbworkgroup=XS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update
 
  
 +
==Установка и настройка winbind==
 +
Для установки необходимых пакетов выполняет команду:
 +
  # yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation
 +
Установка конфигурации осуществляется командой:
 +
  # authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update
  
# net ads join -U admin51
+
Теперь можно добавлять хост в домен:
 +
  # net ads join -U administrator
  
 +
==Настройка Samba==
 +
Настраиваем Samba соответственно конфигурации ниже:
 +
  # mcedit /etc/samba/smb.conf
  
# mcedit /etc/samba/smb.conf
+
  [global]
 
+
   workgroup = ALTEROS
 
+
   password server = dc.alteros.internal
 
+
   realm = ALTEROS.INTERNAL
[global]
 
   workgroup = XS
 
   password server = xs-winsrv.xs.local
 
   realm = XS.LOCAL
 
 
   security = ads
 
   security = ads
 
   idmap config * : range = 16777216-33554431
 
   idmap config * : range = 16777216-33554431
Строка 47: Строка 57:
 
   winbind use default domain = true
 
   winbind use default domain = true
 
   winbind offline logon = true
 
   winbind offline logon = true
 
+
 
 
   passdb backend = tdbsam
 
   passdb backend = tdbsam
 
 
   load printers = no
 
   load printers = no
 
   show add printer wizard = no
 
   show add printer wizard = no
 
   printcap name = /dev/null
 
   printcap name = /dev/null
 
   disable spoolss = yes
 
   disable spoolss = yes
 
+
 
 
   domain master = no
 
   domain master = no
 
   local master = no
 
   local master = no
 
   preferred master = no
 
   preferred master = no
 
   os level = 1
 
   os level = 1
 
+
 
 
   log level = 3
 
   log level = 3
 
   log file = /var/log/samba/log.%m
 
   log file = /var/log/samba/log.%m
  
 +
Перезапускаем и включаем сервисы командами:
 +
  # systemctl start winbind
 +
  # systemctl start smb.service
 +
  # systemctl enable winbind
 +
  # systemctl enable smb.service
  
# systemctl start winbind
+
==Проверка работы с доменом==
# systemctl start smb.service
+
Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена.
# systemctl enable winbind
 
# systemctl enable smb.service
 
 
 
 
 
выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена.
 
 
 
# wbinfo -t
 
checking the trust secret for domain XS via RPC calls succeeded
 
 
 
# wbinfo -u
 
# wbinfo -g
 
 
 
 
 
Спасибо автору статьи:
 
https://serveradmin.ru/nastroyka-samba-s-integratsiey-v-ad/
 
 
 
  
 +
  # wbinfo -t
 +
  checking the trust secret for domain XS via RPC calls succeeded
 +
Проверяем, что команда возвращает список доменных пользователей:
 +
  # wbinfo -u
 +
Проверяем, что команда возвращает список доменных групп:
 +
  # wbinfo -g
 +
Проверяем, что авторизация работает:
 +
  # wbinfo -a ALTEROS\\username%'password'
 +
где username - это имя пользователя из домена и password - его пароль.
  
Offline auth with winbind
+
==Включение кэширования учетных записей==
 +
Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально:
 +
Для этого проверяем, что в конфигурационном файле smb.conf содержится опция:
 +
  winbind offline logon = true
  
 +
В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже:
  
In order to enable offline authentication configure Samba to use winbind in nsswitch and for PAM (Authenticating Domain Users Using PAM)
+
  #
 +
  #  pam_winbind configuration file
 +
  #
 +
  # /etc/security/pam_winbind.conf
 +
  #
 +
  [global]
 +
  # request a cached login if possible
 +
  # (needs "winbind offline logon = yes" in smb.conf)
 +
  cached_login = yes
  
Then make sure smb.conf contains:
+
После этого разрешаем кэширование учетных записей командой:
 +
  # smbcontrol winbind offline
  
"winbind offline logon = yes"
+
==Проверка диалогово окна ввода пароля==
 +
Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже:
  
 +
Открываем в  редакторе  с превалированными правами
  
adding "cached_login = yes" to /etc/security/pam_winbind.conf. That file should look like this:
+
  # mcedit /etc/lightdm/lightdm.conf
  
  #
+
  в разделе [Seat:*добавляем строки
#  pam_winbind configuration file
 
#
 
# /etc/security/pam_winbind.conf
 
#
 
[global]
 
# request a cached login if possible
 
# (needs "winbind offline logon = yes" in smb.conf)
 
  cached_login = yes
 
  
 +
  greeter-show-manual-login=true
 +
  allow-user-switching=true
  
поле чего
+
Перезагружаем систему, проверяем наличие нового окна.
smbcontrol winbind offline
 

Текущая версия на 00:46, 30 июня 2023

Ввод в домен при помощи winbind

Перед началом настройки проверить настройки сетевого соединения, доступность сервера контроллера домена Альтернативный способ описан тут командой Realm join Доменная_авторизация_(windows)

Подготовка перед добавлением в домен

Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем. Для этого редактируем конфигурационный файл: 

# mcedit /etc/sysconfig/selinux

SELINUX=disabled setenforce 0

Так же отключим файерволл командами: 

# systemctl stop firewalld
# systemctl disable firewalld

Входные параметры:

  • alteros.internal - имя домена,
  • dc.alteros.internal - полное имя контроллера домена,
  • administrator - учетная запись администратора домена.

Установка имени хоста

изменить имя хоста можно командой: 

 hostnamectl set-hostname alteros-host

Именно с этим именем хост будет добавляться в домен.

Установка chrony для синхронизации времени

Установка осуществляется командой: 

 # yum install chrony

В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле: 

 mcedit /etc/chrony.conf 
 server dc.alteros.internal iburst

Установка и настройка winbind

Для установки необходимых пакетов выполняет команду: 

 # yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation

Установка конфигурации осуществляется командой: 

 # authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update

Теперь можно добавлять хост в домен: 

 # net ads join -U administrator

Настройка Samba

Настраиваем Samba соответственно конфигурации ниже: 

 # mcedit /etc/samba/smb.conf

 [global]
  workgroup = ALTEROS
  password server = dc.alteros.internal
  realm = ALTEROS.INTERNAL
  security = ads
  idmap config * : range = 16777216-33554431
  template homedir = /home/%U
  template shell = /bin/bash
  kerberos method = secrets only
  winbind use default domain = true
  winbind offline logon = true
 
  passdb backend = tdbsam
  load printers = no
  show add printer wizard = no
  printcap name = /dev/null
  disable spoolss = yes
 
  domain master = no
  local master = no
  preferred master = no
  os level = 1
 
  log level = 3
  log file = /var/log/samba/log.%m

Перезапускаем и включаем сервисы командами: 

 # systemctl start winbind
 # systemctl start smb.service
 # systemctl enable winbind
 # systemctl enable smb.service

Проверка работы с доменом

Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена. 

 # wbinfo -t
 checking the trust secret for domain XS via RPC calls succeeded

Проверяем, что команда возвращает список доменных пользователей: 

 # wbinfo -u

Проверяем, что команда возвращает список доменных групп: 

 # wbinfo -g

Проверяем, что авторизация работает: 

 # wbinfo -a ALTEROS\\username%'password'

где username - это имя пользователя из домена и password - его пароль.

Включение кэширования учетных записей

Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: Для этого проверяем, что в конфигурационном файле smb.conf содержится опция: 

 winbind offline logon = true

В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже: 

 #
 #  pam_winbind configuration file
 #
 # /etc/security/pam_winbind.conf
 #
 [global]
 # request a cached login if possible
 # (needs "winbind offline logon = yes" in smb.conf)
 cached_login = yes

После этого разрешаем кэширование учетных записей командой: 

 # smbcontrol winbind offline

Проверка диалогово окна ввода пароля

Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже:

Открываем в редакторе с превалированными правами 

 # mcedit /etc/lightdm/lightdm.conf

в разделе [Seat:*]  добавляем строки

 greeter-show-manual-login=true
 allow-user-switching=true

Перезагружаем систему, проверяем наличие нового окна.

Источник — «https://wiki.alter-os.ru/index.php?title=Net_ads_join&oldid=1872»