Включение рабочей станции Alt Linux в домен Windows
Предварительно устанавливаем пакеты, необходимые для включения и более удобной настройки станции:
samba-swat
krb5-kinit
libkrb5
Для этого настраиваем службу управления пакетами apt для работы через прокси-сервер (если прокси-сервер используется в организации). В файле конфигурации /etc/apt/apt.conf прописываем строку:
Acquire::ftp::Proxy»//root:password@127.0.0.1:8080″;
и затем запускаем менеджер пакетов Synaptic через основное меню -> система -> менеджер пакетов. В меню «настройки» заходим в репозитории. Там ставим галочки напротив пунктов ftp://ftp.altlinux.org/pub/. И нажимаем OK. Затем жмем «получить сведения». Synaptic должен обновить список доступных пакетов из интернета. После чего через «поиск» ищем по ключевым словам нужные пакеты. В правой части окна появится список, где и надо выбрать нужные пакеты и нажать «применить». Пакеты установятся вместе с зависимостями.
Настраиваем сетевое окружение, после чего наш компьютер видит домен windows. В файле /etc/resolv.conf прописываем строку:
nameserver ipaddr (где ipaddr — это ip адрес контроллера домена)
Делаем, чтобы сервис swat запускался автоматически: в файле /etc/xinet.d/swat меняем значение disable с yes на no и перезапускаем службу:
service xinetd restart
Запускаем swat в браузере: http://localhost:901
Во вкладке GLOBALS ставим следующие значения:
Security = ads (это режим domain member)
Workgroup = WORKGROUP (or DOMAIN) ex. TEAM
Realm = full domain name. ex. TEAM.LOCAL
Netbios name = netbios имя нашего компьютера
Подтверждаем изменения нажав кнопку commit changes наверху страницы. И последнее значение настраиваем, переключившись в режим advanced view: Password server = ip адрес контроллера домена
Затем опять подтверждаем изменения. Далее во вкладке STATUS запускаем или перезапускаем службы smbd и nmbd.
Настраиваем службу аутентификации Kerberos.
В файле /etc/krb5.conf ставим значек # перед всеми строками в разделе [libdefaults]. Этим мы заставляем Kerberos производить аутентификацию на контролере домена, а не на локальной машине. (# дает компилятору директиву не обрабатывать строку)
Подключаем станцию к домену. Выполняем команды:
kinit administrator@realm (где администратор — это администратор домена и realm полное имя домена)
net ads join -U administrator
появляется приглашение о вводе пароля администратора, вводим его. После чего должны увидеть сообщение, что наш компьютер ввели в домен.
Ввод в домен на базе Windows 2003
Содержание
Ввод в домен на базе Win 2003 рабочей станции под управлением Simply Linux [ править ]
Задача [ править ]
Ввести в домен на базе Winows Server 2003 машину под управлением Simply Linux.
Дано [ править ]
- Windows Server 2003;
- Simply Linux (обновленный до бранча 5.1);
- Права администратора домена OFFICE.DOMEN.LOCAL (имя вашего домена).
Устанавливаем необходимые пакеты [ править ]
Настраиваем сетевое соединение [ править ]
Необходимо добиться резолва имен ваших машин в сети. Например, имя контроллера домена — DC3.OFFICE.DOMEN.LOCAL, а его ip-адрес — 192.168.10.11. Он же является DNS- и WINS-сервером в сети.
Проверяем его доступность по ip-адресу:
Проверяем его доступность по имени узла:
Для того, чтобы узел отвечал по имени, необходимо указать домен поиска OFFICE.DOMEN.LOCAL. В Центре Управления Системой это указывается в настройках сетевого интерфейса в поле Домены поиска. Не забываем нажать Применить.
Проверяем его доступность по имени узла:
В файл /etc/hosts добавляем запись о нашей машине:
По имени DC3 узел отвечает, но вот если попробовать его пинговать, указав полное имя домена DC3.OFFICE.DOMEN.LOCAL — получим ошибку:
И соответственно в домен машину мы ввести не сможем. Ищем файл /etc/nsswitch.conf, в нем строку с hosts:
У по умолчанию она имеет вид:
И приводим ее к такому виду:
Сохраняем изменения и проверяем:
Настраиваем сервисы самбы [ править ]
Теперь необходимо включить в автозапуск необходимые службы. Выполним следующие команды от рута:
Смотрим, на каких уровнях запускается самба, если ничего не задано — включаем нужные уровни:
Делаем то же самое для winbind:
Запускаем сервис самба:
Чтобы сервис swat запускался автоматически: в файле /etc/xinetd.d/swat меняем значение disable с yes на no и перезапускаем службу:
Запускаем swat в браузере: http://localhost:901 (либо же правим /etc/samba/smb.conf соотвественно)
Во вкладке GLOBALS ставим следующие значения:
Подтверждаем изменения нажав кнопку commit changes наверху страницы. И последние значения настраиваем, переключившись в режим advanced view (сложный):
Снова подтверждаем изменения (сохранить изменения). Далее во вкладке STATUS запускаем или перезапускаем службы, Restart All (замечу что winbindd на этом этапе еще не работает).
Настраиваем синхронизацию времени с нашим контроллером домена [ править ]
Проверяем уровни запуска службы:
Добавляем в конфигурационный файл /etc/ntpd.conf запись о сервере времени для синхронизации, все остальное комментируем:
Запускаем синхронизацию времени:
И только после этого запускаем службу:
Настраиваем службу аутентификации для получения билетов Kerberos [ править ]
Для того что бы Kerberos производил аутентификацию на контролере домена, а не на локальной машине, правим /etc/krb5.conf. Приводим его к виду (обратите внимание на регистр, где заглавными, так и должно быть):
NB: При отсутствии параметра admin_server, у пользователя будет отсутствовать возможность сменить свой пароль средствами Kerberos —solo 14:03, 2 ноября 2012 (MSK)
Пробуем получить билет авторизации:
где admin — имя доменного админа, а OFFICE.DOMEN.LOCAL — имя вашего домена (именно заглавными).
Если все прошло хорошо, в ответ на этот запрос вы ответа не получите.
Проверяем наличие билета командой klist, вывод должен быть примерно такой:
Правим /etc/nsswitch.conf примерно до такого вида:
Чтобы изменения в конфиге /etc/nsswitch.conf вступили в силу без перезагрузки, нужно от рута дать команду:
Вводим в домен [ править ]
Для ввода в домен необходимо дать команду:
где admin — имя доменного админа, а admin’s password — пароль доменного админа.
NB: Для корректного ввода в домен может потребоваться предварительный останов демонов smb и winbind —solo 14:12, 2 ноября 2012 (MSK)
Проверить, что мы вошли в домен можно командой wbinfo -u (велика вероятность, что она отработает только после перезагрузки компьютера):
Для того, чтобы в нашу систему можно было логиниться под доменными аккаунтами и авторизация шла через winbind, необходимо оставить /etc/pam.d/gdm или /etc/pam.d/lightdm в прежнем виде:
(Для KDE4 это файл /etc/pam.d/kde4)
А /etc/pam.d/system-auth-winbind к виду (если его нет, то создать):
И /etc/pam.d/system-auth-use_first_pass-winbind к виду(если его нет, то создать):
Не забываем переключить авторизацию на winbind
(Внимание! Восле такой манипуляции на KDesktop 6 пропадает возможность залогиниться вообще, поэтому я решил сделать обход — см.Примечание —Tora-bora 19:02, 19 октября 2012 (MSD))
С такими конфигами будет работать авторизация из gdm, gnome-screensaver, ssh.
Перезагружаемся и можем логинится как локальными пользователями системы, так и доменными. Но стоить помнить один ньюанс. Если логин вашего локального пользователя совпадает с доменным, то будет попытка входа только локальным пользователем.
Добавляем пользователей с административными привилегиям (sudo) [ править ]
Разрешаем всем вызывать sudo:
Разрешаем группе администраторов LinuxAdmins (должна быть создана) повышать свои привилегии без запроса пароля:
Настраиваем автомонтирование сетевых ресурсов [ править ]
Устанавливаем smbnetfs, samba, samba-client, fuse-smb.
Создаем /etc/fuse.conf и добавляем запись:
Добавляем в /etc/modules запись:
Копируем /usr/share/doc/smbnetfs/smbnetfs.conf в /home/%username%/.smb/
Копируем /etc/samba/smb.conf в /home/%username%/.smb/
Добавляем пользователя в группу fuse.
Создаем в домашнем каталоге каталог (например) /home/%username%/net
Создаем скрипт запуска в удобном для нас месте (например) /home/%username%/.smb/net со следующим содержанием:
Делаем скрипт исполняемым и помещаем в автозапуск, например в .bash_profile.
Библиография [ править ]
Инструкция составлена с применением следующих ресурсов:
Примечание [ править ]
KDesktop [ править ]
На KDesktop мне не удалось настроить вход в домен AD используя
Взамен этого можно сделать некоторые ручные манипуляции
- делаем ссылку system-auth указывающую на system-auth-winbind
- делаем ссылку system-auth-use_first_pass указывающую на system-auth-use_first_pass-winbind
- файл /etc/pam.d/kde4 приводим к виду:
- файл /etc/pam.d/kde4-kscreensaver приводим к виду:
Доступ к локальным группам [ править ]
Чтобы все доменные пользователи были включены в определенные локальные группы (могли переключаться в root, запускать VirtualBOX и проч.) нужно добавить в /etc/security/group.conf
- первая звездочка — «все сервисы», они же — пути авторизации (например, xdm, kdm, su, ssh и т.д. и т.п.)
- вторая звездочка — «все tty».
- третья звездочка — «все пользователи». Тут можно сделать вышеупомянутое перечисление, через запятую.
- четвертое поле — это время. Здесь — «круглосуточно»
- пятое поле — в какие, собственно группы надо включить пользователя.
в конф. файл входа в систему( для KDE это /etc/pam.d/kde4)
Переустановка [ править ]
После переустановки системы (при сохранении раздела /home) необходимо выставить владельца домашнего каталога доменного пользователя (владелец меняется)
Смена имени хоста [ править ]
Если нужно сменить имя хоста, править HOSTNAME в файле /etc/sysconfig/network
Два IP-адреса [ править ]
Замечены проблемы со входом доменного пользователя при наличии двух IP-адресов. На этапе первого входа пользователя лучше от второго IP временно отказаться.
Дополнения [ править ]
- В случае появления ошибки ERROR_DNS_GSS_ERROR, удалите пакет hostname-hook-hosts и удалите из /etc/hosts строку определения
Настройка LightDM [ править ]
В /etc/lightdm/lightdm.conf раскомментируйте строку в группе [SeatDefaults] :
Это позволит вводить имя пользователя вручную, а не прокручивать огромный список доступных доменныx пользователей.
Также полезно выключить выбор языка. В файле /etc/lightdm/lightdm-gtk-greeter.conf в группе [greeter] укажите
В новых версиях lightdm-gtk-greeter можно указать кнопки явно: