Winbind astra linux что это
Ввод компьютера под управлением Astra Liniux в домен Windows AD может быть выполнен двумя способами:
- с использованием samba/winbind (графический инструмент fly-admin-ad-client и инструмент командной строки astra-winbind);
- с использованием sssd (графический инструмент fly-admin-ad-sssd и инструмент командной строки astra-ad-sssd-client);
Далее рассмативается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи.
Конфигурация стенда
| Имя компьютера (hostname) | Операционная система | Роли компьютера | IP-адрес |
|---|---|---|---|
| dc01.example.com | Windows Server 2008R2 | Контроллер домена; DNS сервер | 192.168.0.1 |
| astra01 | Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) | Рабочая станция, член домена | Статический или динамически назначаемый IP-адрес |
Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:
1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения. "
2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.
3) На вкладке "Параметры IPv4" задать ip адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:
4) Нажать "Сохранить"
5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение.
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :
sudo apt install fly-admin-ad-client
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
Ввод Astra Linux в домен Active Directory
1) Открыть "Панель управления"
2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"
3) Заполнить все поля и нажать кнопку "Подключиться":
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
Ввод Astra Linux в домен Active Directory
После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".
Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Ввод Astra Linux в домен Active Directory
Ввод компьютера в домен может быть выполнен командой:
Подсказка по команде:
Установка пакетов
Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Описание процесса настройки Astra Linux 1.5 SE для ввода в домен Windows. Настройка SAMBA, Winbind, Apache и Postgresql.
Графическая утилита для ввода Astra Linux SE/CE в домен AD
Существует графическая утилита для ввода Astra Linux SE 1.5 и Astra Linux CE 1.11 в домен AD. Для ее использования необходим пакет astra-winbind_1.7-1_all.deb
Пакет можно скачать по указанной выше ссылке, и установить командой:
sudo dpkg -i astra-winbind_1.7-1_all.deb
Автоматически установить необходимые зависимости:
sudo apt-get -f install
и установить командой:
sudo dpkg -i fly-admin-ad_0.1.2_amd64.deb
После запуска утилиты, в Главном меню → Настройки → появится утилита "Настройка Active Directory"
Напоминаем о том, что перед вводом клиента в AD или ALD необходимо корректно настроить сеть.
Внимание! Если в дальнейшем будет изменятся конфигурационный файл samba, будет выполнено повторное введение в AD или возникнет затруднение, то обязательно потребуется очистка /var/cache/samba/* и /var/lib/samba/*
Ввод Astra Linux в домен Windows
Исходные данные:
| Имя - dc Домен – dev.local ОС - Windows Server 2008 R2. Настроен как контроллер домена ip - 192.168.1.1 |
| Имя – ws3 ОС - Astra Linux 1.5 SE. Установлена без ALD и без режима киоска. Из дополнительного ПО на этапе установки выбрано: базовые средства, рабочий стол Fly, средства работы в сети, сетевые сервисы, СУБД. ip - 192.168.1.3 |
Разблокирование суперпользователя (root)
Для более удобной работы разблокируем учётную запись root:
sudo passwd –u root
Назначим пароль для учётной записи root:
sudo passwd root
root разблокирован. Можно использовать su или перезайти root-ом. Можно не использовать учётную запись root, а команды выполнять с использованием sudo. По завершении настроек учётную запись root необходимо заблокировать!
Настройка сети
Строку с 127.0.1.1 ws3 удалить.
Убедиться, что в файле /etc/hostname правильно указано имя машины:
Назначим статический ip-адрес. В файл /etc/network/interfaces добавить строки:
Создать файл /etc/resolv.conf и добавить строки:
Перезапустим сетевую службу:
| sudo service networking restart |
Просмотреть доступные сетевые интерфейсы и назначенные адреса:
с ws3 можно проверить отклик контроллера домена по протоколу icmp по имени:
| ping dc.dev.local |
Синхронизируем время с контроллером домена:
Установка требуемых пакетов
Проверить установлены ли samba, winbind, ntp, apache2 и postgresql:
Установить дополнительные пакеты (потребуется диск с дистрибутивом):
| sudo apt-get install nscd nslcd libpam-winbind libpam-krb5 libapache2-mod-auth-kerb php5 php5-pgsql php5-sybase php5-ldap libsasl2-modules-ldap libsasl2-modules-gssapi-mit krb5-user |
Настройка конфигурационных файлов
Редактируем файл /etc/krb5.conf и добавляем недостающую информацию в соответствующие разделы:
Редактируем файл /etc/samba/smb.conf. Если каких-то параметров нет, то добавляем:
Внимание! Если в дальнейшем будет изменятся конфигурационный файл samba, обязательно требуется очистка /var/cache/samba/* и /var/lib/samba/*
Проверим нет ли ошибок в конфигурации samba, выполнив команду:
Редактируем файл /etc/security/limits.conf. Добавляем в конец:
| ulimit -n 65536 |
Радактируем файл /etc/nsswitch.conf:
Редактируем файл /etc/pam.d/common-session. Добавляем в конец:
| sudo service samba restart sudo service winbind restart sudo service ntp restart sudo service nscd restart sudo service nslcd restart |
Вводим Astra Linux в домен windows (требуется учётная запись администратора домена):
| sudo net ads join -U Administrator |
В результате успешного выполнения предыдущей команды должен появиться файл /etc/krb5.keytab. Просмотреть список принципалов в этом файле можно командой:
| sudo net ads keytab list |
Позволим остальным читать файл /etc/krb5.keytab:
| sudo chmod 0644 /etc/krb5.keytab |
Добавим в автозапуск:
Проверить установлен ли Postgresql в автозагрузку:
| chkconfig --list postgresql |
Проверим загрузились ли требуемые службы:
| sudo service samba status sudo service winbind status sudo service nscd status sudo service nslcd status sudo service apache2 status sudo service postgresql status |
Проверим связь с доменом и работу служб, последовательно выполнив команды:
| sudo net ads testjoin sudo wbinfo –p sudo wbinfo –t sudo wbinfo –u sudo getent passwd | grep DEV |
Проверим Kerberos. Попробуем получить tgt для доменного пользователя:
| kinit Administrator klist kdestroy |
Настройка Apache и Postgresql на работу с Kerberos
Редактируем файл /etc/apache2/sites-available/default. Настраиваем директорию на использование Kerberos:
Принципал, задаваемый параметром KrbServiceName, должен быть в файле таблицы ключей /etc/krb5.keytab. Проверить можно командой:
| net ads keytab list |
Назначим права для пользователя www-data, от имени которого работает Apache, для доступа к macdb и к файлу таблицы ключей:
| usermod -a -G shadow www-data setfacl -d -m u:www-data:r /etc/parsec/macdb setfacl -R -m u:www-data:r /etc/parsec/macdb setfacl -m u:www-data:rx /etc/parsec/macdb setfacl -m u:www-data:r /etc/krb5.keytab |
Всем доменным пользователям, которым требуется доступ к веб-серверу, необходимо назначить метки безопасности:
| sudo service apache2 restart |
Редактируем файл /etc/postgresql/9.4/main/postgresql.conf.:
Редактируем файл /etc/postgresql/9.4/main/pg_hba.conf:
Назначим права для пользователя postgres, от имени которого работает Postgresql, для доступа к macdb и к файлу таблицы ключей:
| sudo service postgresql restart |
На контроллере домена dc нужно добавить принципала к учётной записи машины ws3, для чего выполнить команду от имени администратора:
| sudo setspn -A postgres/ws3.dev.local ws3 |
Если пользователь root был разблокирован, то его необходимо заблокировать выполнив команду:
В состав дистрибутивов Astra Linux входит пакет программ Samba, обеспечивающий совместимость со средой Microsoft Active Directory (далее - AD).
Samba позволяет компьютерам с ОС Astra Linux выступать как в роли контроллера домена AD, так и в роли клиента домена AD.
Помимо пакета Samba в состав дистрибутивов Astra Linux входят консольные и графические средства, позволяющие быстро инициализировать Active Directory домен или подключиться к уже существующему домену AD.
• Служба аутентификации на базе Kerberos v5;
• LDAP-совместимая служба каталогов с поддержкой репликации;
• Поддержка групповых политик;
• Поддержка доверительных отношений;
• DNS-сервер на базе BIND или собственной реализации.
В состав Astra Linux входят инструменты обеспечивающие сценарии автоматизированной настройки и построения нового контроллера домена или включения в существующий домен в роли контроллера домена.
Инструмент командной строки:
Установить эти инструменты можно с помощью графического менеджера пакетов или из командной строки:
sudo apt install astra-sambadc
sudo apt install fly-admin-ad-server
При установке инструментов автоматически будут автоматически установлены необходимые для работы домена AD пакеты samba, winbind и ntp.
Samba как контроллер домена поддерживает два режима работы с DNS:
с использованием DNS-сервера bind9. Если предполагается, что будет использоваться сервер bind9 следует установить его и установить пакет dnsutils:
Подготовка компьютера
- Рекомендуется назначить компьютеру постоянный IP-адрес. Допускается использовать динамическое назначение адресов, но при этом должно быть настроено автоматическое обновление адресов (настройка работы в таком режиме выходит за рамки данной статьи, см. статьи DHCP-сервер ISC-DHCP).
Если используется получение адреса по DHCP, то отдельно следует обеспечить, чтобы вместе с адресом по DHCP не принимались посторонние имя поискового домена и адрес сервера DNS. Общие инструкции по настройке см. в статье Настройка сети в ОС Astra Linux.
Должно быть настроено разрешение имён, а именно: в файле /etc/resolv.conf в качестве адреса сервера DNS (параметр nameserver) должен быть указан собственный IP-адрес компьютера и в качестве поискового домена (параметр search) следует указать используемое имя домена, например:
При использовании службы автоматической настройки сети NetworkManager этот файл нельзя редактировать напрямую, и следует использовать инструменты NetworkManager. Общие инструкции по настройка см. в статье Настройка сети в ОС Astra Linux.
Для создания нового домена с помощью инструмента командной строки используется команда:
или (небезопасно с точки зрения сохранности пароля):
astra-sambadc -d <имя_домена> -p <пароль_администратора_домена>
Для содания нового домена с использованием DDNS следует дополнительно использовать опцию -b, например:
Данные, необходимые для создания домена и не указанные в аргументах команды при выполнении команды будут запрошены в интерактивном режиме.
Дополнительная информация по использованию команды доступна при выполнении команды astra-sambadc с параметром -h:
Графический инструмент после установки доступен для запуска из командной строки или через систему меню: «Пуск» - «Панель управления» - «Сеть» - «Настройка сервера Active Directory»
После установки домена Samba AD требуется перазагрузить компьютер.В состав дистрибутивов Astra Linux входит графический инструмент:
и инструмент командной строки:
реализующие сценарий автоматизированной настройки компьютера Astra Linux для ввода в существующий домен AD.
При написании этой статьи в качестве контроллера домена Active Directory использовался демонстрационный образ Windows Server 2012 R2, доступный на WEB-сайте Microsoft, в качестве клиентов использовались компьютеры под управлением Astra Linux Common Edition и Astra Linux Special Edition.
Перед вводом компьютера в домен необходимо настроить на этом компьютере службу разрешения имён (DNS) так, чтобы в качестве сервера DNS использовался сервер DNS этого домена.
Если этого не сделать, то контроллер домена не будет обнаружен.
Для ввода компьютера в домен используется команда:
sudo astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -px
astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -p <пароль_администратора_домена>Данные, необходимые для ввода в домен и не указанные в аргументах команды, будут запрошены в интерактивном режиме.
Дополнительная информация по использованию команды доступна при выполнении команды astra-winbind с параметром -h:
Графический инструмент для ввода компьютера в существующий домен AD fly-admin-ad-client после установки доступен для запуска из командной строки или через систему меню:
«Пуск» - «Панель управления» - «Сеть» - «Настройка клиента Active Directory»Проверка успешности присоединения к домену
Для проверки успешности присоединения к домену рекомендуется использовать команду:
Дополнительно, можно использовать различные варианты команды wbinfo, например проверка регистрации:
Ввод компьютера под управлением Astra Liniux в домен Windows AD может быть выполнен двумя способами:
- с использованием samba/winbind (графический инструмент fly-admin-ad-client и инструмент командной строки astra-winbind);
- с использованием sssd (графический инструмент fly-admin-ad-sssd и инструмент командной строки astra-ad-sssd-client);
Далее рассмативается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи.
Конфигурация стенда
| Имя компьютера (hostname) | Операционная система | Роли компьютера | IP-адрес |
|---|---|---|---|
| dc01.example.com | Windows Server 2008R2 | Контроллер домена; DNS сервер | 192.168.0.1 |
| astra01 | Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) | Рабочая станция, член домена | Статический или динамически назначаемый IP-адрес |
Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:
1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения. "
2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.
3) На вкладке "Параметры IPv4" задать ip адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:
4) Нажать "Сохранить"
5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение.
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :
sudo apt install fly-admin-ad-client
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
Ввод Astra Linux в домен Active Directory
1) Открыть "Панель управления"
2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"
3) Заполнить все поля и нажать кнопку "Подключиться":
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :
| sudo apt install fly-admin-ad-sssd-client |
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
Ввод Astra Linux в домен Active Directory
После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".
Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
| sudo apt install astra-winbind |
Ввод Astra Linux в домен Active Directory
Ввод компьютера в домен может быть выполнен командой:
Подсказка по команде:
Установка пакетов
Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Читайте также: