Введение компьютера, на котором установлена операционная система Linux в домен, может быть востребовано. Ниже написанные мною строки являются частью моего дипломного проекта. Мне нужно было, чтобы Linux Ubuntu, на которой был установлен proxy-server могла идентифицировать доменных пользователей и групп, для того чтобы, с помощью squid, ограничивать их по различным параметрам.
Для ясности скажу, что имя вводимой машины в домен -tolik-ubuntu, имя контроллера домена – winsrv.test.local, заранее созданный домен – test.local.
Для этого нам придется изменить ряд конфигурационных файлов, прошу обратить внимание на регистр.
Начнем с файла smb.conf, ведь именно с помощью службы Samba мы и будем вводить Linux в домен.
Настройка файла smb.conf
Путь к файлу /etc/samba/smb.conf
Настройка сводится к правке секции Global, текстовым редактором, указывается имя машины, сервера , домена и тд…
[global] # Указываем рабочую группу workgroup = TEST # Имя прокси-сервера netbios name = TOLIK-UBUNTU # Комментарии к компьютеру в сети server string = TOLIK-UBUNTU Samba Server # Указываем режим работы samba ( Active Directory support ) security = ads # использовать зашифрованные пароли при общении с AD encrypt passwords = yes # Указываем домен realm = TEST.LOCAL # домен-контроллер password server = winsrv.test.local # диапазон пользовательских идентификаторов, полученных winbind'ом idmap uid = 10000-20000 # диапазон идентификаторов для групп, полученных winbind'ом idmap gid = 10000-20000 # использовать этот разделитель пары DOMAIN / user winbind separator = + # всех пользователей считать членами домена по-умолчанию winbind use default domain = yes # заставляем winbind нумеровать доменных пользователей winbind enum users = yes # заставляем winbind нумеровать доменные группы winbind enum groups = yes # не загружать принтеры load printers = no # расположение и формат логов samba log file = /var/log/samba/%m.log # максимальный размер лога (в килобайтах) max log size = 50 |
Настройка файла resolv.conf
Путь к файлу /etc/resolv.conf
Этот файл используется процедурами инициализации из бибилотеки resolver(3RESOLV) языка C. Процедуры разрешения имен обеспечивают доступ к системе доменных имен Internet (Internet Domain Name System). В нем мы укажем нужный нам DNS-сервер а именно Windows Server 2003.
Редактируем файл следующим образом:
nameserver 10.0.0.101 nameserver 8.8.8.8 |
Настройка файла krb5.conf
Путь к файлу /etc/krb5.conf
Поправив этот файл мы настроим аутентификацию, за которую отвечает протокол kerberos.
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
default_realm = TEST.LOCAL
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
forwardable = yes
[realms]
TEST.LOCAL = {
kdc = winsrv.test.local:88
admin_server = winsrv.test.local:749
default_domain = test.local
}
[domain_realm]
.test.local = TEST.LOCAL
test.local = TEST.LOCAL
[kdc]
profile = /var/kerberos/krb5kdc/kdc.conf
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
krb4_convert = false
} |
Настройка файла nsswitch.conf
Путь к файлу /etc/nsswitch.conf
nsswitch.conf – конфигурационный файл для выбора соответствующей службы имен.
Редактируем файл:
passwd: compat winbind group: compat winbind shadow: compat winbind hosts: files dns wins networks: files dns protocols: files services: files ethers: files rpc: files netgroup: files |
На этом настройка файлов, требующихся для введения Samba в домен закончена.
Последовательность команд для окончания введения компьютера в домен
Получаем квитанцию:
kinit администратор, где администратор — это имя пользователя.
вводим пароль администратора.
Командой klist можно посмотреть полученую квитанцию .
net join -U администратор — вводим компьютер в домен.
Теперь командой wbinfo -g и wbinfo -u можно посмотреть список групп и пользователей домена соответственно, а это значит что компьютер уже в домене. Важно знать что служба winbind в этот момент должна работать. Включить службу можно командой service winbind start .