Astra linux вылетает из домена

Обновлено: 08.01.2025

Подготовка клиентской станции (подключение к домену AD), настройка и установка аутентификации и авторизации c помощью сервиса SSSD.

Содержание

Нижеописанная процедура настройки автоматизирована с помощью пакета task-auth-ad-sssd и введения в домен через ЦУС (acc) - alterator-auth версии >=0.31

Примечание: Однако ознакомиться со всей статьей никто не запрещает

Для подключением к домену проводим проверку настроек сети:

в качестве первичного DNS (первая запись nameserver в /etc/resolv.conf) должен быть указан DNS-сервер домена

обычно, в таком качестве выступает один или несколько, контроллеров домена:

имя подключаемого, клиентского узла должно быть определено, как FQDN. Например, для рабочей станции client2 в домене dom.loc:

Далее проверяем клиентские настройки kerberos через DNS. В данном случае, для домена dom.loc.:

И задаем их в файле /etc/krb5.conf

kerberos-имя домена ("рилма", realm):

отключаем поиск kerberos-имени домена через DNS:

оставляем (или включаем) поиск kerberos-настроек домена через DNS:

Если настройки сети и kerberos выполнены правильно, то мы может получить kerberos TGT от контроллера домена:

Для подключения рабочей станции в домену требуется утилита net из пакета samba-common-tools, кроме того стоит сразу установить пакет samba-client с набором клиентских утилит:

В файле /etc/samba/smb.conf, минимально, необходимо задать следующие параметры в секции [global]:

kerberos-имя домена:

краткое имя домена, соответствующее имени рабочей группы:

имя рабочей станции в сетевом окружении:

уровень безопасности Active Directory:

Метод хранения kerberos-ключей рабочей станции:

алгоритм преобразования SID'ов:

Набор полученных настроек можно проверить с помощью утилиты testparm:

Ошибка rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384) до перезагрузки исправляется командой:

Что бы лимиты действовали и после перезагрузки необходимо отредактировать файл /etc/security/limits.conf :

==Подключение к домену==fgnhjfghdfgh

Проверка наличия kerberos-ключей для рабочей станции

Для работы с Active Directory в SSSD имеется специальный AD-провайдер:

Минимальный конфигурационный файл (/etc/sssd/sssd.conf) для sssd-ad выглядит следующим образом:

Опция ldap_id_mapping = False позволяет включить использование POSIX атрибутов, определённых в Active Directory, вместо встроенной, однозначной трансляции SID'ов. Основная проблема применения POSIX-атрибутов состоит в том, что они могут быть не заданы. В этом случае сервис sssd не загрузится.

Опция use_fully_qualified_names = True включает режим полных имён (включая домен) для пользователей и групп.

Опция cache_credentials включает режим кэширования аутентификационных данных (полезно при недоступности домена)

Опция user позволяет задать имя пользователя, под которым будет исполняться непривилегированная часть службы SSSD

Авторизационные NSS-базы GLibc настраиваются в файле /etc/nsswitch.conf При использовании sssd, требуется внести исправления в следующие строчки:

Для изменения настроек аутентификации (параметров PAM) в ALT Linux используется утилита control:

Если все настройки выполнены правильно, то после запуска сервиса sssd:

будут доступны авторизационные данные для пользователя administrator:

Или для [email protected], если установлена опция use_fully_qualified_names = True:

Внимание! Если машина до этого была в других доменах или есть проблемы со входом пользователей рекомендуется очистить кэш sssd:

Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).

В этом случае заданный ресурс подключается с заданного сервера автоматически при каждом входе доменным пользователем.

1. Устанавливаем pam_mount :

2. Прописываем pam_mount в схему /etc/pam.d/system-auth-sss :

(перед auth substack system-auth-sss-only )

и в секцию session:

3. Устанавливаем правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml (перед тегом <cifsmount>):

uid="10000-2000200000" — диапазон присваиваемых для доменных пользователей UID (подходит и для Winbind и для SSSD)
server="c228" — имя сервера с ресурсом
path="sysvol" — имя файлового ресурса
mountpoint="

Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации. На данный момент абсолютно все машины на ОС windows разных версий ну и windows server в качестве контроллера домена. Вопрос такой: насколько я понял вводить то в виндовый домен клиенты на astra linux можно но будут ли работать всякие групповые политики? SSO ? если нет то как быть? ALD (Astra linux directory) поднимать и на нем настраивать все? возможно ли будет туда экспортировать пользователей из active directory? И еще у нас внутренний сайт на sharepoint которым активно пользуются. можно ли будет сделать SSO в связке с ним?

SSO будет , если на клиентах отконфигурить керберос. Группы тоже. Политики, какие , например? Экспорт тоже возможен, AD - это ldap. SSO с виндовыми сервисами , которые остались тоже будет , но в том случае если вы либо переджойните их в новый домен либо переймете свои ALD роли старого.

С ALD никогда не работал и не буду, так что я говорил в общем про AD на линуксе и его интеграцию в него linux клиентов.

Сам использую Univention

Вот пример, как включить керберос, но до этого надо настроить sssd , pam , сертификаты etc

constin ★★★★ ( 26.03.18 15:34:03 )
Последнее исправление: constin 26.03.18 15:36:25 (всего исправлений: 1)

Поставлена задача неизвестно когда мигрировать с винды на astra linux в организации

Видимо, гос. учреждение.

так что я говорил в общем про AD на линуксе

На какой версии samba, у ветки 3.5 и 4.х есть различия в настройке и поддержке.

Различие есть, принцип конфигурационного файла тот же, а вот сами файлы уже разные

Там и функциональные отличия немалые есть, например в samba 3.5 можно использовать openldap, а в samba 4.x - нет.

есть такая фигня, перенести конфиг от 3.5 в 4 не удастся придется писать заново, даже в самых простых случаях

constin ★★★★ ( 27.03.18 09:49:52 )
Последнее исправление: constin 27.03.18 09:51:16 (всего исправлений: 1)

ага, это сертифицированный пакет в астре?

ага, это сертифицированный пакет в астре?

А, все понял, болгенос, сертификаты, линуксы на русском и оборонка. Удачи)

перенести конфиг от 3.5 в 4 не удастся придется писать заново, даже в самых простых случаях

Неправда ваша. В самых простых случаях переноситься легко. Ничего заново писать не нужно.

пожалуйста самый простой случай - полная шара, если не прописать строку map to guest = bad user - то работать без пароля не будет, в 3.5 это строка еще не требовалась

Писал не просто так, а на реальном примере. У меня домашняя самба. Ничего менять не пришлось, но и гостевого входа правда нет, усе под логинами. Переехал не заметно.

Политики, какие , например?

ну всякие подключения сетевых дисков, прокси ну а завести так, чтобы ввел в домен на виндовом сервере и заработало никак?) кроме univention есть еще какие то варианты?

мы говорим о linux клиентах? Я не работаю с windows вообще. Разрешение на подключение сетевых ресурсов можно регулировать политиками. Само подключение дисков я настраиваю в /etc/profile.d, так как gvfs глючит а некоторых приложениях, например в thunderbird.

извините если неточно формулирую мысли.да мы говорим о linux клиентах. а вы сейчас про чьи политики говорите ALD,univention или AD? мне бы для начала узнать будет ли что то кроме авторизации работать при вводе в обычный AD или же нам обязательно надо менять контроллер домена. И спрошу еще раз какие еще варианты кроме univention т.к я боюсь он в какой то момент станет полностью платным и конец)

Брат по несчастью) У нас тоже поставили задачу перехода на Астру. Даже заставили план написать. В конце года должны уже переводить клиентов на астру. Домен тоже виндовый на 2008. Не известно как будут работать принтеры и тд. Беглый поиск драйверов показал что на 99% принтеров есть драйвера под линукс, но будут ли они работать на астре не ясно. Плюс не идет речь о репозитории, выхода у астры в интернет быть не должно. Установка не сертифицированного ПО запрещена. Хотя по факту чую придется запускать винду из под виртуальной машины что бы люди могли нормально работать. Плюс ко всему у нас в отделе никто не шарит в линуксе. Сейчас установили астру, ввели ее в домен винды, но самба не видит сеть предприятия.

Аутентификация с использованием единого входа (SSO) реализована в большинстве организаций благодаря множественному доступу к приложениям.

Это позволяет пользователю войти в систему с одним идентификатором и паролем для всех приложений, которые доступны в организации.

Он использует централизованную систему аутентификации для всех приложений.

Некоторое время назад мы написали статью о том, как интегрировать систему Linux с AD.

Сегодня мы покажем вам, как проверить, что система Linux интегрирована с AD несколькими способами.

Это может быть сделано четырьмя способами, и мы объясним один за другим.

Команда ps: сообщает о снимке текущих процессов.
Команда id: выводит id пользователя.
Файл /etc/nsswitch.conf: это файл конфигурации Name Service Switch
Файл /etc/pam.d/system-auth: это общий файл конфигурации для служб PAMified.

Как определить, что сервер Linux интегрирован с AD с помощью команды PS?

Команда ps отображает информацию о выборке активных процессов.

Чтобы интегрировать сервер Linux с AD, нам нужно использовать либо winbind, либо sssd, либо службу ldap.

Итак, используйте команду ps для фильтрации этих сервисов.

Если вы обнаружили, что какая-либо из этих служб работает в системе, мы можем решить, что система в настоящее время интегрируется с AD, используя службу «winbind», «sssd» или «ldap».

Вы можете получить вывод, аналогичный приведенному ниже, если система интегрирована с AD с использованием службы SSSD.

Вы можете получить вывод, похожий на приведенный ниже, если система интегрирована с AD с использованием службы winbind.

Как определить, что сервер Linux интегрирован с AD с помощью команды id?

Она печатает информацию для данного имени пользователя или текущего пользователя.

Она отображает UID, GUID, имя пользователя, имя первичной группы и имя вторичной группы и т. д.

Если система Linux интегрирована с AD, вы можете получить вывод, как показано ниже.

Как определить, что сервер Linux интегрирован с AD с помощью файла nsswitch.conf?

Файл конфигурации переключателя службы имен (NSS), /etc/nsswitch.conf, используется библиотекой GNU C и некоторыми другими приложениями для определения источников, из которых можно получить информацию службы имен в ряде категорий, и в каком порядке. , Каждая категория информации идентифицируется именем базы данных.

Вы можете получить вывод, аналогичный приведенному ниже, если система интегрирована с AD с использованием службы ldap.

Как определить, что сервер Linux интегрирован с AD с помощью файла system-auth?

Это общий файл конфигурации для сервисов PAMified.

PAM расшифровывается как Pluggable Authentication Module, который обеспечивает поддержку динамической аутентификации для приложений и сервисов в Linux.

Файл конфигурации system-auth предоставляет общий интерфейс для всех приложений и сервисных демонов, вызывающих библиотеку PAM.

Файл конфигурации system-auth включается почти во все отдельные файлы конфигурации службы с помощью директивы include.

Я вот сижу на Росе, а на старый ноут поставил Kubuntu. Вот думаю чем заменить Kubuntu. Астру поставить или Альт?

Стоит АстраЛинукс 1.6 Смоленск у пользователей. Периодически падает сеть, недоступен домен и в этот момент у пользователя не получается зайти в комп под своей доменной учетной записью. В smb.conf задан параметр winbind offline logon=yes. Домен на винде. Но доступа к управлению доменом нет, что и как там настроено, я не знаю. Можно локально на астралинуксе что-то сделать или астралинукс в виндовым доменом не особо дружит? Может кто знает решение данного вопроса?
Задавали вопрос в техподдержку Астралинукса, но внятного ответа не получили.

Подскажите что делать? Нет связи с cups, не могу настроить печать, уже весь интернет перелопатили, ничего не помогает

Вопрос наверное простой, но не могу найти на него решения нигде. Используем Смоленск 1.6 в изделии. Должно все сертифицироваться в МО. И опыта в этом 0. Изделие - это сеть из нескольких вычислителей, обрабатывающая кучу разнородной инфы для принятия решений - АСУ. В основном - это масса сокетов с нулевым мандатом, поставляющая инфу в сервер. Сервер интегрирует разнородную информацию, в том числе может принимать и инфу с грифом для принятия решений. Если сокетов для МАК0 большинство и только один с например МАК1 возникает вопрос можно ли совместно обрабатывать такую информацию и каким будет результат по МАК. Понятно, что передать инфу с МАК0 наверх в МАК1 можно. Но вот с МАК1 на МАК0 допустима ли передача инфы и как это сделать. Ведь результатом принятия решения может быть простой результат - ДА или НЕТ. Вроде на МАК1 это не тянет, но как можно из процесса с МАК1 передать в процесс с МАК0 например исполнителю, который открывает или закрывает дверь к примеру? Все это будет кодиться на С и если есть примеры хотелось бы выяснить насколько это пройдет сертификацию по СЗИ в МО?

Константин, может быть и можно какими то окольными путями передать с 1 уровня на нулевой уровень инфу. Но, имхо, это создаст канал утечки информации и вряд ли такое сертифицируют. В этом плане у ФСТЭК жесткие требования, а у МО и подавно

Шурикъ, возможно есть какая-то другая возможность реализовать управление аппаратурой уровня МАК0 с уровня МАК1? Или все средства сразу необходимо перевести на уровень МАК1, даже те, что вообще могут всегда работать на уровне 0.

Константин, вроде как это разное: администрирование и мандатное разграничение. И думаю, что вам лучше написать в саму компанию или ее представителю..

Народ, подскажите, пожалуйста, у меня какая-то дичь с ярлыками на рабочем столе. По двойному клику начинается переименование ярлыка, программа не запускается. Но можно дблкликнуть в самый верх ярлыка и он сработает.

Alexandr, у меня как то окружение рабочего стола через раз работало. Оказалась проблема с мышкой. Поменял и стало норм

Читайте также: