Net ads join — различия между версиями
Строка 1: | Строка 1: | ||
− | + | ==Подготовка перед добавлением в домен== | |
− | + | Для простаты настройки SElinux можно перевести в permissive режи или отключить совсем. | |
+ | Для этого редактируем конфигурационный файл: | ||
# mcedit /etc/sysconfig/selinux | # mcedit /etc/sysconfig/selinux | ||
SELINUX=disabled | SELINUX=disabled | ||
setenforce 0 | setenforce 0 | ||
+ | |||
+ | Так же отключим файерволл командами: | ||
# systemctl stop firewalld | # systemctl stop firewalld | ||
# systemctl disable firewalld | # systemctl disable firewalld | ||
− | + | Входные параметры: | |
----- | ----- | ||
− | + | *alteros.internal - имя домена, | |
− | + | *dc.alteros.internal - полное имя контроллера домена, | |
− | + | *administrator - учетная запись администратора домена. | |
− | |||
− | |||
----- | ----- | ||
+ | ==Установка имени хоста== | ||
+ | изменить имя хоста можно командой: | ||
+ | hostnamectl set-hostname alteros-host | ||
+ | Именно с этим именем хост будет добавляться в домен. | ||
− | + | ==Установка chrony для синхронизации времени== | |
− | + | Установка осуществляется командой: | |
− | # yum install chrony | + | # yum install chrony |
− | + | В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле: | |
− | mcedit /etc/chrony.conf | + | mcedit /etc/chrony.conf |
− | + | server dc.alteros.internal iburst | |
− | |||
− | |||
− | |||
− | + | ==Установка и настройка winbind== | |
+ | Для установки необходимых пакетов выполняет команду: | ||
+ | # yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation | ||
+ | Установка конфигурации осуществляется командой: | ||
+ | # authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update | ||
+ | Теперь можно добавлять хост в домен: | ||
+ | # net ads join -U administrator | ||
− | + | ==Настройка Samba== | |
+ | Настраиваем Samba соответсвенно конфигурации ниже: | ||
+ | # mcedit /etc/samba/smb.conf | ||
− | + | [global] | |
− | + | workgroup = ALTEROS | |
− | + | password server = dc.alteros.internal | |
− | + | realm = ALTEROS.INTERNAL | |
− | |||
− | |||
− | workgroup = | ||
− | password server = | ||
− | realm = | ||
security = ads | security = ads | ||
idmap config * : range = 16777216-33554431 | idmap config * : range = 16777216-33554431 | ||
Строка 47: | Строка 52: | ||
winbind use default domain = true | winbind use default domain = true | ||
winbind offline logon = true | winbind offline logon = true | ||
− | + | ||
passdb backend = tdbsam | passdb backend = tdbsam | ||
− | |||
load printers = no | load printers = no | ||
show add printer wizard = no | show add printer wizard = no | ||
printcap name = /dev/null | printcap name = /dev/null | ||
disable spoolss = yes | disable spoolss = yes | ||
− | + | ||
domain master = no | domain master = no | ||
local master = no | local master = no | ||
preferred master = no | preferred master = no | ||
os level = 1 | os level = 1 | ||
− | + | ||
log level = 3 | log level = 3 | ||
log file = /var/log/samba/log.%m | log file = /var/log/samba/log.%m | ||
+ | Перезапускаем и включаем сервисы командами: | ||
+ | # systemctl start winbind | ||
+ | # systemctl start smb.service | ||
+ | # systemctl enable winbind | ||
+ | # systemctl enable smb.service | ||
− | + | ==Проверка работы с доменом== | |
− | + | Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена. | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | # wbinfo -t | ||
+ | checking the trust secret for domain XS via RPC calls succeeded | ||
+ | Проверяем, что команда возвращает список доменных пользователей: | ||
+ | # wbinfo -u | ||
+ | Проверяем, что команда возвращает список доменных групп: | ||
+ | # wbinfo -g | ||
+ | Проверям, что авторизация работает: | ||
+ | # wbinfo -a ALTEROS\\username%'password' | ||
+ | где username - это имя пользователя из домена и password - его паролоь. | ||
− | + | ==Включение кэширования учетных записей== | |
+ | Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: | ||
+ | Для этого проверяем, что в конфигурационном файле smb.conf содержится опция: | ||
+ | winbind offline logon = true | ||
− | + | В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже: | |
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
− | |||
+ | # | ||
+ | # pam_winbind configuration file | ||
+ | # | ||
+ | # /etc/security/pam_winbind.conf | ||
+ | # | ||
+ | [global] | ||
+ | # request a cached login if possible | ||
+ | # (needs "winbind offline logon = yes" in smb.conf) | ||
+ | cached_login = yes | ||
− | + | После этого разрешаем кэширование учетных записей командой: | |
− | + | # smbcontrol winbind offline |
Версия 17:25, 18 января 2023
Содержание
Подготовка перед добавлением в домен
Для простаты настройки SElinux можно перевести в permissive режи или отключить совсем. Для этого редактируем конфигурационный файл:
# mcedit /etc/sysconfig/selinux
SELINUX=disabled setenforce 0
Так же отключим файерволл командами:
# systemctl stop firewalld # systemctl disable firewalld
Входные параметры:
- alteros.internal - имя домена,
- dc.alteros.internal - полное имя контроллера домена,
- administrator - учетная запись администратора домена.
Установка имени хоста
изменить имя хоста можно командой:
hostnamectl set-hostname alteros-host
Именно с этим именем хост будет добавляться в домен.
Установка chrony для синхронизации времени
Установка осуществляется командой:
# yum install chrony
В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле:
mcedit /etc/chrony.conf server dc.alteros.internal iburst
Установка и настройка winbind
Для установки необходимых пакетов выполняет команду:
# yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation
Установка конфигурации осуществляется командой:
# authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update
Теперь можно добавлять хост в домен:
# net ads join -U administrator
Настройка Samba
Настраиваем Samba соответсвенно конфигурации ниже:
# mcedit /etc/samba/smb.conf
[global] workgroup = ALTEROS password server = dc.alteros.internal realm = ALTEROS.INTERNAL security = ads idmap config * : range = 16777216-33554431 template homedir = /home/%U template shell = /bin/bash kerberos method = secrets only winbind use default domain = true winbind offline logon = true passdb backend = tdbsam load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes domain master = no local master = no preferred master = no os level = 1 log level = 3 log file = /var/log/samba/log.%m
Перезапускаем и включаем сервисы командами:
# systemctl start winbind # systemctl start smb.service # systemctl enable winbind # systemctl enable smb.service
Проверка работы с доменом
Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена.
# wbinfo -t checking the trust secret for domain XS via RPC calls succeeded
Проверяем, что команда возвращает список доменных пользователей:
# wbinfo -u
Проверяем, что команда возвращает список доменных групп:
# wbinfo -g
Проверям, что авторизация работает:
# wbinfo -a ALTEROS\\username%'password'
где username - это имя пользователя из домена и password - его паролоь.
Включение кэширования учетных записей
Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: Для этого проверяем, что в конфигурационном файле smb.conf содержится опция:
winbind offline logon = true
В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже:
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # [global] # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes
После этого разрешаем кэширование учетных записей командой:
# smbcontrol winbind offline