Введение компьютера под управлением OS linux в домен (AD) | NetConfig

Введение компьютера под управлением OS linux в домен (AD)


Введение компьютера, на котором установлена операционная система Linux в домен, может быть востребовано. Ниже написанные мною строки являются частью моего дипломного проекта. Мне нужно было, чтобы Linux Ubuntu, на которой был установлен proxy-server могла идентифицировать доменных пользователей и групп, для того чтобы, с помощью squid, ограничивать их по различным параметрам.

Для ясности скажу, что имя вводимой машины в домен -tolik-ubuntu, имя контроллера домена – winsrv.test.local, заранее созданный домен – test.local.

Для этого нам придется изменить ряд конфигурационных файлов, прошу обратить внимание на регистр.

Начнем с файла smb.conf, ведь именно с помощью службы Samba мы и будем вводить Linux в домен.

Настройка файла smb.conf

Путь к файлу /etc/samba/smb.conf

Настройка сводится к правке секции Global, текстовым редактором, указывается имя машины, сервера , домена и тд…

[global]
 
# Указываем рабочую группу
 
workgroup = TEST
 
# Имя прокси-сервера
 
netbios name = TOLIK-UBUNTU
 
# Комментарии к компьютеру в сети
 
server string = TOLIK-UBUNTU Samba Server
 
# Указываем режим работы samba ( Active Directory support )
 
security = ads
 
# использовать зашифрованные пароли при общении с AD
 
encrypt passwords = yes
 
# Указываем домен
 
realm = TEST.LOCAL
 
# домен-контроллер
 
password server = winsrv.test.local
 
# диапазон пользовательских идентификаторов, полученных winbind'ом
 
idmap uid = 10000-20000
 
# диапазон идентификаторов для групп, полученных winbind'ом
 
idmap gid = 10000-20000
 
# использовать этот разделитель пары DOMAIN / user
 
winbind separator = +
 
# всех пользователей считать членами домена по-умолчанию
 
winbind use default domain = yes
 
# заставляем winbind нумеровать доменных пользователей
 
winbind enum users = yes
 
# заставляем winbind нумеровать доменные группы
 
winbind enum groups = yes
 
# не загружать принтеры
 
load printers = no
 
# расположение и формат логов samba
 
log file = /var/log/samba/%m.log
 
# максимальный размер лога (в килобайтах)
 
max log size = 50

Настройка файла resolv.conf

Путь к файлу /etc/resolv.conf

Этот файл используется процедурами инициализации из бибилотеки resolver(3RESOLV) языка C. Процедуры разрешения имен обеспечивают доступ к системе доменных имен Internet (Internet Domain Name System). В нем мы укажем нужный нам DNS-сервер а именно Windows Server 2003.

Редактируем файл следующим образом:

nameserver 10.0.0.101
 
nameserver 8.8.8.8

Настройка файла krb5.conf

Путь к файлу /etc/krb5.conf

Поправив этот файл мы настроим аутентификацию, за которую отвечает протокол kerberos.

[logging]
 
default = FILE:/var/log/krb5libs.log
 
kdc = FILE:/var/log/krb5kdc.log
 
admin_server = FILE:/var/log/kadmind.log
 
[libdefaults]
 
default_realm = TEST.LOCAL
 
dns_lookup_realm = true
 
dns_lookup_kdc = true
 
ticket_lifetime = 24h
 
forwardable = yes
 
[realms]
 
TEST.LOCAL = {
 
kdc = winsrv.test.local:88
 
admin_server = winsrv.test.local:749
 
default_domain = test.local
 
}
 
[domain_realm]
 
.test.local = TEST.LOCAL
 
test.local = TEST.LOCAL
 
[kdc]
 
profile = /var/kerberos/krb5kdc/kdc.conf
 
[appdefaults]
 
pam = {
 
debug = false
 
ticket_lifetime = 36000
 
renew_lifetime = 36000
 
forwardable = true
 
krb4_convert = false
 
}

Настройка файла nsswitch.conf

Путь к файлу /etc/nsswitch.conf

nsswitch.conf – конфигурационный файл для выбора соответствующей службы имен.

Редактируем файл:

passwd:         compat winbind
 
group:          compat winbind
 
shadow:         compat winbind
 
hosts:          files dns wins
 
networks:       files dns
 
protocols:      files
 
services:       files
 
ethers:         files
 
rpc:            files
 
netgroup:       files

На этом настройка файлов, требующихся для введения Samba в домен закончена.

Последовательность команд для окончания введения компьютера в домен

Получаем квитанцию:

kinit администратор, где администратор — это имя пользователя.

вводим пароль администратора.

Командой klist можно посмотреть полученую квитанцию .

net join -U администратор — вводим компьютер в домен.

Теперь командой wbinfo -g и wbinfo -u можно посмотреть список групп и пользователей домена соответственно, а это значит что компьютер уже в домене. Важно знать что служба winbind в этот момент должна работать. Включить службу можно командой service winbind start .




Тэги: , , , , , , , ,



Пока нет комментариев.

Оставить комментарий


iTuts dakulov Free CDN NetConfig