На днях у коллеги возникла необходимость ввести машинку с Debian, управляющую чудо-печатным станком OCE Arizona 360XT в домен Active Directory.Долго пытаясь прикрутить через ppa репозиторий утилиту likewise не раз упрощавшую рутинную работу по вводу Ubuntu в домен и ,в итоге, добившись только того что likewise поставился,но как то настолько криво,что в домен он естественно ничего и никуда не ввёл.
Итак, приступим:
Вписываем наш котроллер домена в /etc/resolv.conf
nano /etc/resolv.conf
Должно получиться примерно следующее:
search domain.local
nameserver 192.168.0.100
Проверим резолвится ли КД по FQDN имени:
ping server.domain.localЕсли всё нормально,переходим к следующему шагу:
Установим пакет NTP:
apt-get updateДля синхронизации времени с контроллером домена внесём изменения в файл /etc/ntp.conf
apt-get install ntp
nano /etc/ntp.conf
Нужно найти строку в кофнигурации:
# You do need to talk to an NTP server or two (or three).
и добавть туда ваши контроллеры домена:
# You do need to talk to an NTP server or two (or three). #server ntp.your-provider.example server server server.domain.local
Перезапускаем и тестируем:
invoke-rc.d ntp restartДалее установим Kerberos:
ntpq -p
apt-get install krb5-user libkrb53
При установке ничего не меняем, оставляем всё по умолчанию.
Настроим kerberos:
cp /etc/krb5.conf /etc/krb5.conf.default
cat /dev/null > /etc/krb5.conf
nano /etc/krb5.conf
Минимальная конфигурация:
[libdefaults]
default_realm = DOMAIN.LOCAL
dns_lookup_kdc = no
dns_lookup_realm = no
ticket_lifetime = 24h
default_keytab_name = FILE:/etc/krb5.keytab
; for Windows 2003
default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; for Windows 2008 with AES
; default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
; default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
; permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
EXAMPLE.LOCAL = {
kdc = server.domain.local
kdc = server2.example.local
admin_server = server.domain.local
default_domain = domain.local
}
[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL
Соответственно раскоментируйте строки если у вас 2008 КД. И не забудте поменять названия доена на актуальное.
Теперь попробуем подключиться к домену:
kinit AdministratorПроверим как прошло подключение и получили ли мы билет:
klistЕсли всё прошло удачно, то переходим к следующему пункту.
Установим samba:
apt-get install winbind samba
Далее приведу минимально необходимый конфиг самбы:
nano /etc/samba/smb.conf
[global]
realm = DOMAIN.LOCAL
workgroup = DOMAIN
netbios name = server
disable spoolss = Yes
show add printer wizard = No
security = ads
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind use default domain = yes
[share]
comment = Write for Domain Users
path = /media/samba/share
browseable = yes
writable = yes
create mask = 0664
directory mask = 0777
valid users = @"DOMAIN\domain admins", @"DOMAIN\domain users"
write list = @"DOMAIN\domain admins", @"DOMAIN\domain users"
Перезапустим самбу и winbind
/etc/init.d/samba restartИзменим настройки в конфе
/etc/init.d/winbind restart
/etc/nsswitch.confПриводим к следующему виду:
passwd: files winbindПрименяем изменения:
group: files winbind
shadow: files winbind
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 winbind
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
ldconfig
Теперь для ввода в домен выполняем следующую команду
net ads join -U AdministratorВводим пароль администратора.
На этом настройка завершена.
Перезапускаем самбу и винбинд, и убеждаемся в том что Debian видит доменные учётки:
wbinfo -uЕсли есть необходимость логиниться в Debian с учетными данными из АД, то необходимо
так же поправить конфигурацию PAM,
но об этом как-нибудь в другой раз.
Спасибо рабочий конфиг единственно запарка вышла на последнем шаге ДНС может сам не добавить запись типа "A" ошибка "DNS update failed!" нужно будет добавить в ручную.Пишут можно ещё включить динамическое обновление ДНС но мне не помогло !!!
ОтветитьУдалитьАвтор: добавь к статье R2 версию
странно, A запись должна добавляться нормально, т.к. КД должен считать апдейт от нашего никсового компа секъюрным,и получаемые билеты тому подтверждение..
ОтветитьУдалитьдля 2008 r2 разница будет минимальной