Net ads join — различия между версиями
(→Ввод в домен при помощи winbind) |
|||
Строка 5: | Строка 5: | ||
==Подготовка перед добавлением в домен== | ==Подготовка перед добавлением в домен== | ||
− | Для простоты настройки SElinux можно перевести в permissive | + | Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем. |
Для этого редактируем конфигурационный файл: | Для этого редактируем конфигурационный файл: | ||
# mcedit /etc/sysconfig/selinux | # mcedit /etc/sysconfig/selinux | ||
Строка 43: | Строка 43: | ||
==Настройка Samba== | ==Настройка Samba== | ||
− | Настраиваем Samba | + | Настраиваем Samba соответственно конфигурации ниже: |
# mcedit /etc/samba/smb.conf | # mcedit /etc/samba/smb.conf | ||
Строка 87: | Строка 87: | ||
Проверяем, что команда возвращает список доменных групп: | Проверяем, что команда возвращает список доменных групп: | ||
# wbinfo -g | # wbinfo -g | ||
− | + | Проверяем, что авторизация работает: | |
# wbinfo -a ALTEROS\\username%'password' | # wbinfo -a ALTEROS\\username%'password' | ||
− | где username - это имя пользователя из домена и password - его | + | где username - это имя пользователя из домена и password - его пароль. |
==Включение кэширования учетных записей== | ==Включение кэширования учетных записей== | ||
Строка 110: | Строка 110: | ||
После этого разрешаем кэширование учетных записей командой: | После этого разрешаем кэширование учетных записей командой: | ||
# smbcontrol winbind offline | # smbcontrol winbind offline | ||
+ | |||
+ | ==Проверка диалогово окна ввода пароля== | ||
+ | Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже: | ||
+ | |||
+ | Открываем в редакторе с превалированными правами | ||
+ | |||
+ | # mcedit /etc/lightdm/lightdm.conf | ||
+ | |||
+ | в разделе [Seat:*] добавляем строки | ||
+ | greeter-show-manual-login=true | ||
+ | allow-user-switching=true | ||
+ | |||
+ | Перезагружаем систему, проверяем наличие нового окна. |
Версия 17:56, 29 июня 2023
Содержание
Ввод в домен при помощи winbind
Перед началом настройки проверить настройки сетевого соединения, доступность сервера контроллера домена Альтернативный способ описан тут командой Realm join Доменная_авторизация_(windows)
Подготовка перед добавлением в домен
Для простоты настройки SElinux можно перевести в permissive режим или отключить совсем. Для этого редактируем конфигурационный файл:
# mcedit /etc/sysconfig/selinux
SELINUX=disabled setenforce 0
Так же отключим файерволл командами:
# systemctl stop firewalld # systemctl disable firewalld
Входные параметры:
- alteros.internal - имя домена,
- dc.alteros.internal - полное имя контроллера домена,
- administrator - учетная запись администратора домена.
Установка имени хоста
изменить имя хоста можно командой:
hostnamectl set-hostname alteros-host
Именно с этим именем хост будет добавляться в домен.
Установка chrony для синхронизации времени
Установка осуществляется командой:
# yum install chrony
В качестве сервера точного времени выберем контроллер домена и укажем это в конфигурационном файле:
mcedit /etc/chrony.conf server dc.alteros.internal iburst
Установка и настройка winbind
Для установки необходимых пакетов выполняет команду:
# yum install samba-winbind samba-winbind-clients samba pam_krb5 krb5-workstation
Установка конфигурации осуществляется командой:
# authconfig --enablekrb5 --krb5kdc=dc.alteros.internal --krb5adminserver=dc.alteros.internal --krb5realm=ALTEROS.INTERNAL --enablewinbind --enablewinbindauth --smbsecurity=ads --smbrealm=ALTEROS.INTERNAL --smbservers=dc.alteros.internal --smbworkgroup=ALTEROS --winbindtemplatehomedir=/home/%U --winbindtemplateshell=/bin/bash --enablemkhomedir --enablewinbindusedefaultdomain --update
Теперь можно добавлять хост в домен:
# net ads join -U administrator
Настройка Samba
Настраиваем Samba соответственно конфигурации ниже:
# mcedit /etc/samba/smb.conf
[global] workgroup = ALTEROS password server = dc.alteros.internal realm = ALTEROS.INTERNAL security = ads idmap config * : range = 16777216-33554431 template homedir = /home/%U template shell = /bin/bash kerberos method = secrets only winbind use default domain = true winbind offline logon = true passdb backend = tdbsam load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes domain master = no local master = no preferred master = no os level = 1 log level = 3 log file = /var/log/samba/log.%m
Перезапускаем и включаем сервисы командами:
# systemctl start winbind # systemctl start smb.service # systemctl enable winbind # systemctl enable smb.service
Проверка работы с доменом
Выполняем ряд проверок, чтобы убедиться, что все в порядке, winbind работает и samba будет получать актуальную информацию о пользователях и группах домена.
# wbinfo -t checking the trust secret for domain XS via RPC calls succeeded
Проверяем, что команда возвращает список доменных пользователей:
# wbinfo -u
Проверяем, что команда возвращает список доменных групп:
# wbinfo -g
Проверяем, что авторизация работает:
# wbinfo -a ALTEROS\\username%'password'
где username - это имя пользователя из домена и password - его пароль.
Включение кэширования учетных записей
Контроллер домена может быть иногда недоступен, поэтому логично будет кэшировать пользователей и их пароли локально: Для этого проверяем, что в конфигурационном файле smb.conf содержится опция:
winbind offline logon = true
В конфигурационный файл /etc/security/pam_winbind.conf добавляем опцию cached_login = yes, чтобы он выглядел согласно приведенной конфигурации ниже:
# # pam_winbind configuration file # # /etc/security/pam_winbind.conf # [global] # request a cached login if possible # (needs "winbind offline logon = yes" in smb.conf) cached_login = yes
После этого разрешаем кэширование учетных записей командой:
# smbcontrol winbind offline
Проверка диалогово окна ввода пароля
Если после перезагрузки в окне авторизации пользователя не отображается дополниительное поле выбора пользователя, то необходимо внести изменения описанные ниже:
Открываем в редакторе с превалированными правами
# mcedit /etc/lightdm/lightdm.conf
в разделе [Seat:*] добавляем строки greeter-show-manual-login=true allow-user-switching=true
Перезагружаем систему, проверяем наличие нового окна.