SambaADclientSSSD

Материал из Русский WINE
Перейти к: навигация, поиск

Подключение клиента AD через SSSD

Необходимо ввести в домен AD машину с Linux. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.

Для примера будем использовать:

Предположим, что у Вас:

  • Домен = petr.ru
  • Контроллер домена = dc.petr.ru
  • Компьютер = host1

Настраиваем сеть:

Идем в /etc/net/ifaces/eth0

cd /etc/net/ifaces/
mkdir eth0
cd eth0

Правим настройки

nano options
BOOTPROTO=static
TYPE=eth
DISABLED=no
NM_CONTROLLED=no
CONFIG_IPV4=YES

Правим настройки IPv4:

nano ipv4address
10.0.2.10/24

Правим настройки шлюза:

nano ipv4route
default via 10.0.2.1

Домены по-умолчанию и DNS-сервера:

nano resolv.conf
search petr.ru
nameserver 10.0.2.5 //адрес Samba-сервера

Вводим имя компьютера и домена:

# nano /etc/sysconfig/network
hostname host1.petr.ru
domainname petr.ru

Т.к. Samba использует свой DNS-сервер удаляем bind.

Перезапускаем сеть:

service network restart

Применяем настройки DNS:

# /etc/chroot.d/resolv.all

Проверяем, пингуется ли домен:

$ ping petr.ru
PING petr.ru (10.0.2.5) 56(84) bytes of data.
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms
64 bytes from 10.0.2.5: icmp_seq=1 ttl=128 time=0.285 ms

Если не пингуется, проверяйте настройки сети и DNS и перезапускайте еще раз их.

Правим:

# nano /etc/sudoers

Расскомментируем:

User_Alias SUDO_USERS = %sudo

И дописываем после:

# root ALL=(ALL)ALL
user ALL=(ALL:ALL)ALL

3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция

[libdefaults]
default_realm = PETR.RU
dns_lookup_realm = true
dns_lookup_kdc = true

[realms]
PETR.RU = {
default_domain = petr.ru
}

[domain_realm]
dc = petr.ru

4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:

127.0.0.1       localhost
10.0.2.10       host1.petr.ru  host1

5.Правим файл /etc/samba/lmhosts. Прописываем туда оба домена.

10.0.2.5 dc.petr.ru
10.0.2.7 dc2.petr.ru

6.Перезапускаем Samba:

# service samba restart
# service network restart

7. Получаем билет и убеждаемся, что билет получен:

Примечание: Внимание! Имя домена должно быть указано в верхнем регистре


# kinit administrator@PETR.RU
# klist

8. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:

[sssd]
config_file_version = 2
services = nss, pam

domains = PETR.RU
debug_level = 1

user = root

[nss]
debug_level = 1

[pam]
debug_level = 1

[domain/PETR.RU]
 id_provider = ad
 auth_provider = ad
 chpass_provider = ad

;ldap_id_mapping = False
 default_shell = /bin/bash
 fallback_homedir = /home/%d/%u
;use_fully_qualified_names = True
;cache_credentials = true

Описание параметров конфигфайла sssd можно посмотреть тут.

Устанавливаем права доступа для файла sssd.conf:

chmod 600 /etc/sssd/sssd.conf

9. Настраиваем файл nsswitch приведя его к следующему виду:

passwd:     files sss
shadow:     tcb files sss
group:      files sss
services:   files sss
netgroup:   files sss

10.Перезапускаем SSSD service

# service sssd restart

11. Вводим в домен:

# samba-tool domain join petr.ru -Uadministrator --realm=petr.ru

Права администратора

Вы можете назначить права на использование sudo доменным группам. Используя visudo, отредактируйте файл /etc/sudoers и добавьте требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):

%Domain\ Admins ALL=(ALL) ALL

Источники: habr.ru, altlinux.org

Samba
Search.png
Файловое хранилище Samba как файловый серверПодключение общей папкиSamba как файловый сервер в домене
Служба каталогов
Сервер Samba как служба каталогов (AD)Изменение IP-адреса ADРепликация сервера ADРезервное копирование и восстановлениеУправление пользователямиГрупповые политикиГрупповая политика паролей
Клиент Подключение клиента AD Через WinbindЧерез SSSD
Бэкэнды идентификаторов winbind idmap config tdbidmap config adidmap config rididmap config autorid
Прочее Samba как сервер печатиПроверка конфигурационного файлаУтилиты командной строкиLMHOSTSУровень логовКаталоги Samba
Информация SSSD vs WinbindУстановка Samba