Настройка домена debian 10
Привет всем. В этой серии курсов я научу вас, как настроить сервер. Active Directory для сетей с компьютерами Windows низкий Debian (Если собираемся настраивать сервер, то как следует, дрова будем делать). В этой первой части я объясню установку и настройку сервера, а во второй я научу, как использовать инструменты удаленного администрирования de Окна 7 и как присоединить компьютеры к домену (сама Windows 7 и Windows XP). Позже я сделаю третью часть помимо того, как присоединиться к командам с GNU / Linux, поскольку это то, что мне еще предстоит протестировать.
Эта идея пришла ко мне, когда я (или был, это зависит от того, когда вы читали эту запись) проходил курс по забастовке техника по ремонту микрокомпьютерного оборудования, на котором мы настраивали сетевой сервер с Окна 2008 (не RC2), и я начал искать, могу ли я реализовать то же самое под GNU / Linux и результат действительно хороший, даже мой учитель был удивлен скоростью сервера.
Прежде чем продолжить, многие из вас наверняка задаются вопросом: что такое Active Directory? Ну, это термин, который Microsoft использует для обозначения своего набора инструментов для сетевого администрирования, таких как сервер DNS, администрирование пользователей сети и др.
Нам понадобится следующее:
- Debian в своей стабильной ветке (в моем случае Wheezy 7.5 с XFCE в качестве среды рабочего стола)
- Samba 4
- Клиент с Окна 7 / 8 / 8.1 с пакетом для установки функций удаленного управления сервером (требуется для управления сервером, например поделиться папкой с пользователями). Это будет объяснено в следующем уроке.
Настройка сервера
Прежде чем продолжить, мы должны отредактировать некоторые файлы, чтобы все работало, особенно чтобы компьютеры в сети находили сервер домена.
Первым делом нужно дать нашему серверу адрес Фиксированный IP. В случае моего тестирования Debian в Virtualbox использовать сетей, который исходит из базы, но на реальном сервере я настраиваю его из Сетевой менеджер, поэтому я объясню, как это делается в обоих.
и как их активировать. Для получения дополнительной информации см. Interfaces (5).
Петлевой сетевой интерфейс
автомобиль
IFACE вот инет замыкания
Основной сетевой интерфейс
- адрес: IP нашей команды.
- маска сети: маска сети. В небольшой сети или дома это обычно так.
- шлюз: шлюз. Обычно выход в Интернет дает IP-адрес маршрутизатора.
- DNS-серверы: IP сервера DNS. В этом случае сервер, но вы можете добавить второй, например паблик Google.
- Последние 2 указывают на поисковое имя домена и само доменное имя.
При этом доменное имя будет разрешено, чтобы его можно было найти в сети. матрица это имя, которое я дал серверу.
Наконец мы редактируем /etc/resolv.conf:
В некоторых найденных мною учебниках они добавляли еще одну строку сервера имен и еще пару переменных, но в моем случае было достаточно только одной строки.
Теперь перезапускаем сетевой сервис и все:
Сетевой менеджер
Щелкните правой кнопкой мыши значок сети и выберите Редактировать связи. Мы получим те сети, которые настроили, но нас интересует только звонок Проводная сеть 1 или как вы это назвали. Мы дважды щелкаем по нему, и появится новое окно, и мы перейдем к Настройки IPv4. En метод выбрать механический. Теперь нажмите на Добавлять и заполните все поля:
Теперь переходим во вкладку Общие и убеждаемся, что он отмечен Все пользователи должны подключиться к этой сети. Нажмите на экономить и мы ушли.
Установка Samba 4
В нашем случае мы собираемся скачать и скомпилировать Samba 4 со страницы, потому что в Debian он доступен только через репозиторий. Backports и это дало мне проблемы с зависимостью.
На момент написания этой статьи последняя стабильная версия 4.1.8 так что это будет тот, с которым мы работаем.Для его компиляции нам потребуется установить следующие пакеты:
apt-get install build-essential libacl1-dev libattr1-dev \
libblkid-dev libgnutls-dev libreadline-dev python-dev libpam0g-dev \
python-dnspython gdb pkg-config libpopt-dev libldap2-dev \
dnsutils libbsd-dev attr krb5-user docbook-xsl libcups2-dev acl
После загрузки и распаковки мы открываем терминал, переходим в папку и выполняем следующие команды:
./configure --enable-debug
make
make install
Теперь мы добавляем новые маршруты в PATH. В моем случае в /etc/bash.bashrc применить ко всем пользователям, включая root.
И мы также создаем ссылку внутри / etc для Samba, чтобы найти файл конфигурации:
ln -s /usr/local/samba/etc/ /etc/samba
Мы собираемся настроить сервер Samba. Для этого выполняем:
- –Реал: - полное доменное имя.
- -Домен: это домен. Должен быть в заглавные буквы
- –Администрация: пароль администратора сети.
- –Use-rfc2307: чтобы активировать AC.
Если через некоторое время все пойдет хорошо, Samba завершит настройку. Если вы хотите узнать все возможные варианты, просто запустите:
samba-tool domain provision -h
Теперь мы собираемся редактировать файл /etc/samba/smb.conf. А пока нас интересует следующая строка:
dns forwarder = 192.168.0.1
Эта строка должна указывать на DNS-сервер, который дает нам доступ в Интернет (в данном случае на маршрутизатор). Samba использует конфигурацию сети по умолчанию, но рекомендуется ее проверить.
Теперь запускаем сервис:
и мы проверяем соединение, выполнив:
smbclient -L localhost -U%
И если все правильно, то мы увидим примерно следующее:
В случае, если это дало нам ошибку подключения, мы проверяем шаги предыдущего пункта. Журнал Samba находится в /usr/local/samba/var/log.samba
Теперь скопируем файл /usr/local/samba/private/krb5.conf a / и т.д.. Теперь проверим, можем ли мы подключиться:
глаз, домен должен быть написан с заглавной буквы.
И пока что первая часть туториала. Мы читаем следующее.
Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.
Полный путь к статье: Из Linux » Сети / Серверы » Настройка сервера Active Directory с Debian и Samba. Первая часть
- Active Directory;
- OpenLDAP;
- Samba Domain;
- И прочие другие коммерческие.
Все записи LDAP представляются атрибутами в следующем виде:
Samba как DC
Но за всё надо платить, ибо самый популярный для таких целей Windows Server с Active Direcory на борту не бесплатный, а потому в последнее время с развитием пакета программ Samba 4 есть возможность использования Samba в качестве контроллера домена с применением групповых политик. О Samba 4 и последующей настройке и будет дальнейшее содержание данной статьи.
По своей сути Samba 4 есть Open-Source реализация Active Directory и, согласно документации, является стабильным вариантом применения в качестве домен-контроллера в production-среде.
Перед установкой
Наименование домена
Кратко поясню, почему выбран именно такой формат именования.
AD Schema
По своей сути схема включает в себя описания всех объектов, хранящихся в службе каталогов (пользователи, группы и т.д.)
Информация с оф. сайта Samba по поддержке AD схем:
Одним из нюансов является то, что в стабильных репозиториях Debian 10 доступна Samba версии только 4.9. Но хотелось бы использовать последние доступные возможности схемы домена, поэтому я на свой страх и риск подключил тестовые репозитории и произвёл дальнейшую установку Samba 4.11.3 из них:
Samba Internal DNS имеет следующие недостатки:
Не смотря на вышеперечисленное, на практике это не доставляет проблем.
Подразумевается, что в сети, где разворачивается Samba AD, уже используется один или более DNS-серверов (например, тот же BIND, который не связан с Samba или внешние гугл\яндекс сервера). На этот DNS-сервер будут перенаправляться запросы клиентов Samba, т.е. он будет выбран в качестве forwarder.
Настройка hosts
Удаление существующих файлов
Для корректной установки переместить исходные конфиги во временную директорию, чтобы при создании домена данные файлы были сгенерированы заново:
Запущенные экземпляры Samba и сервисов
Перед началом установки надо проверить, что не запущена samba и её сервисы после установки пакетов:
Если под фильтр попадает что-то из запущенного, нужно остановить:
Скрыть юниты, чтобы они не могли быть запущены:
Установка
Для своих серверов я всегда использую Centos, но здесь пришлось сделать исключение и выбрать Debian, т.к. Samba, доступная из основных пакетов в Centos, не может выступать в роли AD.
Вариантов установки на Centos было несколько: собрать из пакетов (что на продуктивном сервере совсем некошерно) или установить из сторонних репозиториев (например, tissamba), но решил попробовать Debian, т.к. не хотелось искать обходные пути.
Но и с Debian оказался нюанс, т.к. в основных стабильных репозиториях не было нужной мне версии. Тем не менее, вариант установки из официальных репозиториев, пусть и тестовых, меня более чем устроил.
Каждый волен выбирать тот вариант установки и тот дистрибутив, который подходит для той или иной задачи, но стоит учесть будущие возможные обновления и связанные с этим проблемы при использовании сборки из исходников или чужого репозитория, который не будет работать, например.
Зависимости, необходимые для Samba AD в Debian:
В оф. документации указаны пакеты python-gpgme python3-gpgme для зависимостей, но в Debian 10 его больше нет, так что его я не устанавливал.
Настройка домена
Для установки Samba в Debian 10 нужны следующие пакеты:
Напоминаю, что мне нужна была версия 4.11, поэтому после установки нужно убедиться, что будет использоваться пакет нужной версии:
Теперь непосредственно настройка домена:
Теперь надо сконфигурировать /etc/resolv.conf, чтобы в качестве резолвера использовался DNS из Samba (по идее, можно было бы сделать до создания домена):
На всякий случай уточню, что файл resolve.conf может затираться NetworkManager`ом или установленной утилитой resolvconf после рестарта, стоит это иметь ввиду.
Kerberos
И проверить его содержимое (на всякий случай):
После успешного создания домена (не должно быть никаких ошибок при выполнении), нужно вернуть настройки юнита самбы, т.к. делался mask. Сейчас же при старте возникает такая ошибка:
Симлинк, ведущий в /dev/null, нужно удалить и выполнить перезагрузку сервисов systemd:
И запустить самбу, которая подтянет уже всё остальное, что ей нужно:
Правка конфигурационного файла Samba
После установки конфиг выглядит примерно так:
После внесения изменений в конфиг, нужно выполнить рестарт сервиса:
LDAPS: TLS и CA
Вышеописанные инструкции по настройке в том или ином виде можно найти в интернете и особых сложностей не возникает. Но мало где описывают настройку TLS\SSL для Samba. При LDAP-авторизации трафик ходит незащищённым, а потому может возникнуть требование по настройке протокола LDAPS.
Samba при начальной установке автоматически генерирует ключ и сертификат для работы AD и корневой сертификат. Корневой сертификат имеет срок годности 2 года и длину ключа 4096 бит + непонятно где находится приватный ключ корневого сертификата. Для более прозрачного администрирования ниже будет описан процесс создания собственного центра сертификации (CA-сертификата и приватного ключа), с помощью которого будет выписан сертификат для работы Samba AD и прочих клиентов при необходимости.
Samba должна быть остановлена, а текущие ключи перемещены во временную директорию:
- На сервере должен быть установлен пакет для работы с openssl
- Все сертификаты будут генерироваться по пути /var/lib/samba/private/tls/
Настройка CA и сертификатов
Сгенерировать ключ для CA с алгоритмом RSA, длина ключа — 4096 бит:
Сгенерировать корневой сертификат на основе ключа сроком на 10 лет. Дополнительно указывается CN (Common Name), которое должно быть наименованием домена, точнее его FQDN в верхнем регистре. Например, так:
Теперь, когда создан собственный CA, необходимо создать серверный сертификат для Samba AD. По аналогии с CA сначала создается ключ (с именем сервера для удобства), длина ключа может быть уже меньше:
Далее запрос на подпись (CSR):
ВАЖНО! Наименование OU для сертификатов CA и Samba должны быть разными. В командах выше subj содержит разные значения. CN в идеале тоже должно быть разным, но в данном случае не критично.
И подписать CSR корневым ключом и сертификатом:
Выполнить проверку полученного сертификата с использованием корневого сертификата. Это важный этап, никаких ошибок быть не должно:
Конфигурация Samba
В конфигурационном файле /etc/samba/smb.conf внести следующие изменения, указав пути до сертификатов и ключа:
После внесения изменений запустить демон и убедиться, что нет ошибок и что самба принимает соединения на порту 636 по LDAPS:
Проверка настроек
Теперь, когда всё настроено, нужно выполнить ряд проверок, чтобы убедиться в корректной работе всех компонентов Samba.
Общая проверка выполняется командой testparm
Посредством команд hosts и wbinfo можно провести ряд проверок, результат выполнения которых должен быть без ошибок:
Прочие проверки, которые могут пригодиться для отладки:
Дополнительно со стороны клиентов, которые подключаются к серверу с Samba AD по LDAPS, необходимо импортировать корневой сертификат. Для клиентов с Centos скопировать корневой сертификат ca.pem на клиентскую ОС по пути /etc/pki/ca-trust/source/anchors и выполнить команду импорта сертификата в ОС:
После этого можно подключаться через защищенное соединение. Для проверки работы TLS можно воспользоваться утилитой ldapsearch из пакета ldap-clients с расширенным дебагом:
Администрирование
Если все проверки пройдены и никаких ошибок не возникло, можно приступать к использованию домена.
Можно посмотреть общую информацию о домене:
Проверить список дефолтных юзеров через wbinfo или samba-tool:
А также список компьютеров (пока что только один КД):
Задать ему пароль:
Прочие команды можно посмотреть, выполнив:
через samba-tool также настраивается DNS.
Настройку и управление также можно осуществлять посредством RSAT, т.е. классическими виндовыми оснастками, но мне больше нравится консольный вариант непосредственно с самого сервера Samba.
Бэкап
В официальной документации подробно всё описано, поэтому первоначально стоит ознакомиться с информацией там.
Online делает копию работающей базы DC:
Offline создает резервные копии файлов Samba:
Каждая команда создает файл резервной копии .tar.bz2, который содержит полную резервную копию домена (на основе данного DC). Затем файл резервной копии можно использовать для восстановления домена с помощью команды «samba-tool domain backup restore».
Использовать ту или иную схему бэкапа нужно в зависимости от ситуации. В обычных случаях Online-бэкап самый простой и быстрый, но в случае каких-то неполадок и для их расследования и устранения лучше подойдёт Offline-бэкап, т.к. содержит в себе дополнительные данные.
В идеале можно комбинировать оба способа, настроив бэкап по крону с созданием нужного кол-ва копий.
Настройка Samba secondary domain controller
Стоит понимать, что в терминологии контроллеров домена нет понятия master\slave, т.е. все контроллеры равны, но один из них выступает владельцем ролей FSMO. Для проверки, какой из контроллеров является владельцем, можно выполнить команду samba-tool fsmo show
Важно остановить демон samba и сделать umask перед вводом сервера в домен.
На обоих контроллерах домена должно быть одинаковое время, поэтому необходимо проверить этот момент. Например, через timedatectl timesync-status
Подключение второго домена, как secondary, выполняется следующей командой:
Также для включения вторым контроллером можно использовать две другие команды, не принципиально:
При успешном выполнении команды, вывод должен быть примерно следующий:
После успешного подключения к домену в качестве контроллера домена, можно запустить демон самбы, который уже запустит все остальное необходимое (winbindd, smbd):
Проверка работы DNS
При вводе в работу второго КД и использовании Samba версии 4.7 и выше, все необходимые записи в DNS создаются автоматически. Тем не менее, необходимо проверить и убедиться, что они были созданы корректно:
Все объекты в AD имеют уникальный идентификатор objectGUID, который не может быть изменён. Samba также автоматически создаёт его, поэтому необходимо выполнить проверку. Для этого понадобится утилита ldbsearch из пакета ldb-tools. Она обращается к файлу /var/lib/samba/private/sam.ldb:
В DNS также создается служебная CNAME запись с этим идентификатором, которая указывает на имя нового контроллера домена. Для получения этой записи нужно выполнить команду, подставив objectGUID из вывода ldbsearch:
Проверка репликации
Теперь необходимо выполнить команду по проверке репликации каталогов DRS (Directory Replication Service). Она включает в себя следующие объекты:
Т.е. между контроллерами будут реплицированы схема, DNS-записи, группы, пользователи. Первоначально репликация может занимать около 15 минут, поэтому нужно подождать, пока knowledge consistency checker (KKC в Samba) выполнит все необходимые процедуры.
Проверка статуса репликации со второго контроллера домена:
CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
DC=DomainDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
DC=ForestDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ Sat May 13 02:52:36 2017 CEST was successful
0 consecutive failure(s).
Last success @ Sat May 13 02:52:36 2017 CEST
CN=Schema,CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=DomainDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
CN=Configuration,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=ForestDnsZones,DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
DC=samdom,DC=example,DC=com
Default-First-Site-Name\DC1 via RPC
DSA object GUID: 4a6bd92a-6612-4b15-aa8c-9ec371e8994f
Last attempt @ NTTIME(0) was successful
0 consecutive failure(s).
Last success @ NTTIME(0)
==== KCC CONNECTION OBJECTS ====
В случае каких-либо проблем можно попробовать перезапустить сервис Samba на обоих КД.
Ещё одним способом является сравнение количества объектов каталогов в домене на всех КД с помощью ldapcmp:
Репликация SysVol
Заключение
В качестве альтернативы есть ещё решения, как openldap и FreeIPA, но с ними не приходилось сталкиваться.
Теперь, когда имеется установленный и настроенный контроллер домена, можно найти ему применение. Например, завести все рабочие станции офиса в домен и централизованно ими управлять, настроить групповые политики.
Или же подключить RADIUS для авторизации на VPN-сервере через доменную учётную запись, а также доменную авторизацию ко всем внутренним сервисам для централизованного управления.
10.7. Система Доменных Имен Серверов (DNS)
Записи DNS организованы по зонам; каждая зона соответствует какому-нибудь домену (или субдомену) или указанному диапазону IP адресов (в котором IP адреса, включённые в диапазон, расположены обычно последовательно). Главный сервер является авторитетным и содержит таблицу по зоне; вторичные серверы, обычно располагаемые на отдельных машинах, содержат регулярно обновляемые копии файла таблицы главной зоны.
Each zone can contain records of various kinds ( Resource Records ), these are some of the most common:
MX : mail exchange , почтовый сервер. Эту информацию используют другие почтовые серверы для определения способа отправки письма по указанному адресу. Каждой записи MX присвоен свой приоритет. Сервер с наивысшим приоритетом (с наименьшим номером) используется в первую очередь (смотри вкладку НАЗАД К ОСНОВАМ SMTP); с другими серверами связываются в порядке уменьшения их приоритетов в случае, если первый сервер не отвечает.
PTR : преобразование IP адресов в текстовое имя. Такая запись хранится в зоне, названной “reverse DNS” (“обратная DNS”) после диапазона IP адресов. Для примера, 1.168.192.in-addr.arpa является зоной, содержащей обратное отображение всех адресов в диапазоне 192.168.1.0/24 .
10.7.1. DNS software
Справочный сервер имён, Bind, был создан и в настоящее время поддерживается организацией ISC ( Internet Software Consortium ). В Debian он включён в пакет bind9 . По сравнения с предыдущей версией, в версию 9 включили два важных изменения. Первое: DNS сервер может теперь запускаться от лица непривилегированного пользователя. Это в свою очередь не позволит атакующему (систему), при возможно имеющихся секретных уязвимостях на сервере, воспользоваться правами суперпользователя (как можно было ранее неоднократно видеть, начиная с версий 8.x).
Второе: Bind поддерживает стандарт DNSSEC для подписывания (и поэтому для выполнения идентификации) записей DNS. А это, в свою очередь, позволит блокировать любые изменённые данные (в записях DNS) в момент осуществления атаки "man-in-the-middle attacks".
КУЛЬТУРА DNSSEC
The DNSSEC norm is quite complex; this partly explains why it is not in widespread usage yet (even if it perfectly coexists with DNS servers unaware of DNSSEC). To understand all the ins and outs, you should check the following article.
Как мне ввести в домен Ubuntu 20.04 | 18.04 к домену Windows? Могу ли я присоединить Debian 10 к домену Active Directory?
Эта статья была написана, чтобы показать вам, как использовать realmd для присоединения сервера или рабочего стола Ubuntu 20.04 | 18.04 / Debian 10 к домену Active Directory. Домен Active Directory является центральным узлом информации о пользователях в большинстве корпоративных сред.
Например, в инфраструктуре моей компании ключевым требованием является то, чтобы все пользователи прошли аутентификацию во всех системах Linux с учетными данными Active Directory. Это должно работать как для Debian, так и для дистрибутивов Linux на основе Red Hat.
В этом руководстве будет показано, как настроить SSSD для получения информации из доменов в одном лесу ресурсов Active Directory. Если вы работаете с несколькими лесами AD, это руководство может вам не подойти. Мы также пойдем дальше и настроим правила sudo для пользователей, которые входят в систему через AD. Вот схема, изображающая установку и как она работает.
Итак, выполните следующие действия, чтобы присоединиться к домену Ubuntu 20.04 | 18.04 / Debian 10 в Active Directory (AD).
Шаг 1. Обновите свой APT
Начните с обновления вашей системы Ubuntu / Debian Linux.
sudo apt -y update
Это важно, поскольку установка может завершиться ошибкой, если сервер установлен только что.
Для Ubuntu 20.04 | 18.04 добавьте следующие репозитории в файл sources.list
Шаг 2. Задайте имя хоста сервера и DNS
Установите правильное имя хоста для вашего сервера с правильным доменным компонентом.
Подтвердите свое имя хоста:
Ubuntu 20.04 | 18.04 поставляется с systemd-resolve, который вам нужно отключить, чтобы сервер мог напрямую обращаться к вашему сетевому DNS.
sudo systemctl disable systemd-resolved
sudo systemctl stop systemd-resolved
Если вы используете DHCP, вы можете обновить DNS-сервер вручную.
$ sudo unlink /etc/resolv.conf
$ sudo vim /etc/resolv.conf
Шаг 3. Установите необходимые пакеты
Для присоединения системы Ubuntu 20.04 | 18.04 / Debian 10 к домену Active Directory (AD) требуется ряд пакетов.
sudo apt update
sudo apt -y install realmd libnss-sss libpam-sss sssd sssd-tools adcli samba-common-bin oddjob oddjob-mkhomedir packagekit
Только после успешной установки зависимостей вы можете приступить к обнаружению домена Active Directory в Debian 10 / Ubuntu 20.04 / 18.04.
Шаг 4. Откройте для себя домен Active Directory в Debian 10 / Ubuntu 20.04 | 18.04
Команда realm discover возвращает полную конфигурацию домена и список пакетов, которые должны быть установлены для регистрации системы в домене.
Шаг 5. Присоединитесь к Ubuntu 20.04 | 18.04 / Debian 10 к домену Active Directory (AD)
Учетная запись администратора AD требуется для интеграции вашего компьютера Linux с доменом Windows Active Directory. Проверьте и подтвердите учетную запись администратора AD и пароль.
Команда realm join настроит локальный компьютер для использования с указанным доменом, настроив как локальные системные службы, так и записи в домене идентификации. У команды есть несколько параметров, которые можно проверить с помощью:
Команда сначала пытается подключиться без учетных данных, но при необходимости запрашивает пароль.
Просмотр сведений о текущей области.
В системах на основе RHEL домашний каталог пользователя будет создан автоматически. В Ubuntu / Debian вам необходимо включить эту функцию.
sudo bash -c "cat > /usr/share/pam-configs/mkhomedir" <<EOF
Name: activate mkhomedir
Default: yes
Priority: 900
Session-Type: Additional
Session:
required pam_mkhomedir.so umask=0022 skel=/etc/skel
EOF
Затем активируйте с помощью:
sudo pam-auth-update
Выберите <OK>
Затем выберите <Ok>, чтобы сохранить изменения.
Ваш файл конфигурации sssd.conf находится в /etc/sssd/sssd.conf . При каждом изменении файла требуется перезагрузка.
Статус должен быть запущен.
$ systemctl status sssd
Ограничение для пользователей
Чтобы разрешить пользователю доступ через SSH и консоль, используйте команду:
Это изменит файл sssd.conf .
Если вместо этого вы хотите разрешить доступ всем пользователям, запустите:
$ sudo realm permit --all
Чтобы запретить доступ всем пользователям домена, используйте:
$ sudo realm deny --all
Шаг 7. Настройте доступ через Sudo
По умолчанию у пользователей домена не будет разрешения на повышение привилегий до root. Пользователям должен быть предоставлен доступ на основе имен пользователей или групп.
Давайте сначала создадим файл разрешений sudo.
Добавьте группу с пробелами.
Шаг 8. Проверьте доступ по SSH
Получите доступ к серверу удаленно, поскольку пользователю AD разрешено входить в систему.
$ ssh user1@localhost
The authenticity of host 'localhost (::1)' can't be established.
ECDSA key fingerprint is SHA256:wmWcLi/lijm4zWbQ/Uf6uLMYzM7g1AnBwxzooqpB5CU.
ECDSA key fingerprint is MD5:10:0c:cb:22:fd:28:34:c6:3e:d7:68:15:02:f9:b4:e9.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added 'localhost' (ECDSA) to the list of known hosts.
Читайте также: