Руководство по включению Linux машины в домен Windows AD с использованием sssd и krb5: пошаговая инструкция.

Если у вас есть необходимость подключить Linux машину к домену Windows Active Directory (AD), существует несколько способов достичь этой цели. В данной статье мы рассмотрим процесс подключения Linux-компьютера к домену Windows AD с использованием инструментов sssd и krb5.

Во-первых, убедитесь, что на вашей Linux-машине установлены все необходимые пакеты. Для этого обновите список пакетов и установите sssd-tools и krb5-user, выполнив следующие команды:

sudo apt update
sudo apt install sssd-tools krb5-user

После установки пакетов продолжаем с настройкой Linux-машину для работы с доменом Windows AD. Во-первых, отредактируйте файл /etc/krb5.conf и задайте параметры для вашего домена. Например, если ваш домен называется example.com, файл /etc/krb5.conf должен содержать следующие строки:

[libdefaults]
dns_lookup_realm = false
dns_lookup_kdc = true
default_realm = EXAMPLE.COM

Далее, откройте файл /etc/samba/smb.conf и в раздел [global] добавьте следующие записи:

workgroup = EXAMPLE
realm = EXAMPLE.COM
security = ads
kerberos method = secrets and keytab
dedicated keytab file = /etc/krb5.keytab

Следующий шаг – добавить Linux-компьютер в ту же группу, что и пользователи домена Windows AD. Для этого выполните команду:

sudo net ads join -U administrator

После ввода пароля администратора вашего домена, Linux-компьютер будет добавлен в домен Windows AD.

Теперь вы можете проверить доступ к домену Windows AD, выполнив команду:

sudo net ads testjoin

Join is OK

То это означает, что Linux-машину успешно подключили к доменному контроллеру Windows AD.

Теперь настройка подключения Linux-машин к Windows AD с использованием sssd и krb5 завершена, и вы можете создавать пользователей в Linux, которые будут иметь доступ к доменным ресурсам Windows AD.

Как включить Linux машину в домен Windows AD

Для авторизации Linux машины в домене Windows AD, вы можете использовать инструменты, такие как sssd и krb5. В этом руководстве мы рассмотрим необходимые шаги для настройки сетевой авторизации на Linux Mint 18.04.

1. Установка необходимых пакетов

Сначала установите необходимые пакеты, такие как sssd и winbind, с помощью следующих команд:

sudo apt update
sudo apt install sssd winbind

2. Настройка krb5.conf

Перейдите в файл /etc/krb5.conf и добавьте следующие параметры:

[libdefaults]
default_realm = EXAMPLE.COM
[realms]
EXAMPLE.COM = {
kdc = kdc.example.com
admin_server = kdc.example.com
}

Укажите адреса KDC и админ-сервера вашего домена Windows AD в соответствующих полях.

3. Настройка sssd.conf

Создайте файл /etc/sssd/sssd.conf и добавьте следующие параметры:

[sssd]
services = nss, pam, ssh
[nss]
filter_users = root, ldap, krb5, krb5cc
[pam]
offline_credentials_expiration = 0
[domain/EXAMPLE.COM]
id_provider = ad
auth_provider = ad
access_provider = ad
ad_domain = example.com
krb5_realm = EXAMPLE.COM
fallback_homedir = /home/%u
cache_credentials = true
use_fully_qualified_names = false
ldap_id_mapping = false
ad_gpo_access_control = enforcing

Укажите свои параметры домена Windows AD и настройки аутентификации в соответствующих полях.

4. Проверка настройки

После необходимых настроек, можно проверить доступ к активному каталогу Windows AD, используя следующую команду:

sudo net ads discover

5. Проверка авторизации

Чтобы проверить, что пользователи из вашего домена могут получить доступ к системе, войдите в систему под учетной записью пользователя Windows AD, используя следующую команду:

sudo su - user@EXAMPLE.COM

Список usersexamplecom пользователей

6. Ограничение доступа

Если вы хотите ограничить доступ только к определенным пользователям из домена, добавьте следующие строки в файл /etc/security/access.conf:

: DOMAIName: ALL
- : ALL : ALL

Замените DOMAIN и username на соответствующие значения вашего домена и имени пользователя.

7. Обновление конфигурации

После внесения всех необходимых изменений в настройки, обновите конфигурацию sssd, используя следующую команду:

sudo systemctl restart sssd

8. Добавление пользователя Linux в домен

Если у вас нет пользователя Linux в домене Windows AD, вы можете создать нового пользователя с помощью следующей команды:

sudo adduser --force-badname user@example.com

Замените user@example.com на имя пользователя Windows AD.

9. Проверьте доступ пользователя

Чтобы проверить, что пользователь из домена может получить доступ к системе, выполните следующую команду:

sudo su - user@example.com

Теперь пользователь Linux может использовать свои учетные данные Windows AD для входа в систему.

Руководство с использованием sssd и krb5

Подключение Linux машины к домену Windows AD может быть сложной задачей, но с использованием sssd и krb5 это можно сделать просто. В этом руководстве мы расскажем о нескольких шагах, которые позволят вам подключиться к домену и получить доступ к файловому серверу Windows AD.

1. Установите необходимые пакеты

Перед тем, как мы начнем, убедитесь, что у вас установлены следующие пакеты: samba-common-bin, krb5-user, libpam-sss

2. Настройте файл krb5.conf

Файл krb5.conf находится в /etc/krb5.conf. Откройте его в текстовом редакторе и проверьте, что он содержит правильные параметры для вашего домена Windows AD.

3. Настройте файл sssd.conf

Файл sssd.conf находится в /etc/sssd/sssd.conf. Откройте его в текстовом редакторе и задайте следующие параметры:

• domains = ваш_домен
• id_provider = ad
• auth_provider = ad
• access_provider = ad
4. Присоединитесь к домену

Для присоединения вашей Linux машины к домену выполните следующую команду:

$ sudo realm join ваш_домен

5. Проверьте подключение

Чтобы проверить, что Linux машина успешно подключилась к домену, выполните команду:

$ realm list

6. Настройте авторизацию

Откройте файл /etc/pam.d/common-auth в текстовом редакторе и добавьте строку:

auth sufficient pam_sss.so

7. Проверьте доступ к файловому серверу

Для проверки доступа к файловому серверу Windows AD выполните следующую команду:

$ smbclient -L ваш_домен

8. Проверьте доступ к пользователям и группам

Чтобы проверить доступ к пользователям и группам из вашего домена, выполните следующую команду:

$ getent passwd

$ getent group

После выполнения всех этих шагов ваша Linux машина будет успешно подключена к домену Windows AD, и вы сможете получить доступ к файловому серверу и пользователям в домене. Если вам потребуется отладка или дополнительная настройка, вы можете обратиться к документации и ресурсам с официальных веб-сайтов Ubuntu или Linux Mint.

Шаг 1: Установка необходимых пакетов

Для того чтобы Linux машина могла работать в домене Windows AD, нам потребуется установить некоторые необходимые пакеты. Установка пакетов будет производиться с использованием команды apt-get, поэтому убедитесь, что вы выполняете эти действия от имени пользователя root.

1. Установка пакетов sssd и krb5

Сначала установим пакеты sssd и krb5:

sudo apt-get install sssd libpam-sss krb5-user

2. Установка пакета sssd-tools

Для работы sssd нам также потребуется пакет sssd-tools. Установите его, запустив следующую команду:

sudo apt-get install sssd-tools

3. Установка пакета winbind

В некоторых системах, таких как Ubuntu 20.04 и Linux Mint, для общей работы через домен Windows AD необходимо установить пакет winbind. Для его установки выполните следующую команду:

sudo apt-get install winbind

4. Настройка systemd-resolved

Для настройки работы сетевой подсистемы Linux нам также будет необходимо настроить systemd-resolved. Для этого выполните следующие действия:

4.1. Откройте файл /etc/systemd/resolved.conf в текстовом редакторе суперпользователя:

sudo nano /etc/systemd/resolved.conf

4.2. Найдите строку с параметром DNS и измените ее следующим образом:

# DNS=server_IP_address

DNS=Domain_controller_IP_address

Вместо Domain_controller_IP_address укажите IP-адрес контроллера домена Windows AD.

4.3. Сохраните файл и закройте текстовый редактор.

4.4. Перезапустите службу systemd-resolved, чтобы применить изменения:

sudo systemctl restart systemd-resolved

4.5. Убедитесь, что доменное имя Windows AD разрешается через файл /etc/hosts. Добавьте следующую строку в конец файла:

Domain_controller_IP_address domain_name

Замените Domain_controller_IP_address на IP-адрес контроллера домена Windows AD, а domain_name на имя вашего домена.

4.6. Сохраните файл и закройте его.

Теперь наша Linux машина готова к добавлению в домен Windows AD. Перейдите к следующему шагу, чтобы продолжить настройку.

Шаг 2: Создайте ключи Kerberos

Для включения Linux машины в домен Windows AD, необходимо установить и настроить Kerberos. Процесс создания ключей Kerberos включает несколько простых шагов.

1. Установите пакеты krb5-user и libpam-krb5, выполнив следующую команду:

sudo apt-get install krb5-user libpam-krb5

2. Отредактируйте файл /etc/krb5.conf, указав необходимые параметры для вашей сети и домена Windows AD:

sudo nano /etc/krb5.conf

Внесите следующие изменения в файл:

[libdefaults]
default_realm = EXAMPLE.COM
dns_lookup_realm = false
dns_lookup_kdc = false
[realms]
EXAMPLE.COM = {
kdc = dc1.example.com
kdc = dc2.example.com
}
[domain_realm]
.example.com = EXAMPLE.COM
example.com = EXAMPLE.COM

Примечание: Замените EXAMPLE.COM на имя вашего домена AD, а dc1.example.com и dc2.example.com на адреса ваших серверов домена.

3. Запустите команду kinit для создания билета Kerberos:

kinit user@EXAMPLE.COM

Вам будет предложено ввести пароль пользователя. После успешной авторизации будет создан билет Kerberos.

4. Проверьте доступ к серверу Windows AD с помощью утилиты klist:

klist

Убедитесь, что в списке выданных билетов присутствует запись для вашего пользователя и домена.

5. Установите пакеты sssd, realmd и sssd-tools, выполнив следующую команду:

sudo apt-get install sssd realmd sssd-tools

6. Загрузите информацию о домене AD с помощью команды realm:

sudo realm discover example.com

7. Редактируйте файл /etc/sssd/sssd.conf, добавив следующую конфигурацию:

[sssd]
domains = example.com
config_file_version = 2
services = nss, pam

Убедитесь, что в файле присутствует только указанная конфигурация.

8. Запустите службу sssd:

sudo service sssd start

Теперь ваша Linux машина готова для подключения к домену Windows AD. Пользователи и группы из домена будут иметь доступ к файловой системе и дополнительной безопасности.

Шаг 3: Настройте sssd

1. Установка необходимых компонентов

Прежде чем начать настройку, убедитесь, что все необходимые компоненты установлены на вашем Linux сервере. Установите пакеты sssd, krb5 и samba-common-bin с помощью следующей команды:

sudo apt-get install sssd krb5 samba-common-bin

2. Редактирование файлов настройки

Прежде чем приступить к настройке sssd, вам нужно отредактировать несколько файлов.

2.1. Редактирование файла hosts: откройте файл /etc/hosts с помощью текстового редактора и добавьте запись с именем вашего Active Directory-сервера и его IP-адресом. Например:

sudo nano /etc/hosts

192.168.1.2 ad.example.com ad

2.2. Редактирование файла krb5.conf: откройте файл /etc/krb5.conf с помощью текстового редактора и добавьте следующие строки, заменив realm-name на имя вашего домена:

sudo nano /etc/krb5.conf

[libdefaults]
default_realm = realm-name
dns_lookup_realm = true
dns_lookup_kdc = true
ticket_lifetime = 24h
renew_lifetime = 7d
forwardable = true
[realms]
realm-name = {
kdc = ad.example.com
admin_server = ad.example.com
}
[domain_realm]
.realm-name = realm-name
realm-name = realm-name

2.3. Создание файла sssd.conf: создайте файл /etc/sssd/sssd.conf с помощью следующей команды:

sudo nano /etc/sssd/sssd.conf

Добавьте следующие строки в файл sssd.conf и отредактируйте их в соответствии с вашими настройками:

[sssd]
config_file_version = 2
services = nss, pam
[domain/realm-name]
ad_domain = realm-name
krb5_realm = realm-name
realmd_tags = manages-system joined-with-samba
cache_credentials = true
id_provider = ad
krb5_store_password_if_offline = true
default_shell = /bin/bash
ldap_id_mapping = true
use_fully_qualified_names = false
fallback_homedir = /home/%u@%d

3. Проверка и отладка настройки

Проверьте, что файлы были отредактированы правильно и нет ошибок.

3.1. Проверка файла krb5.conf: выполните следующую команду, чтобы проверить файл krb5.conf на наличие ошибок:

kinit -V -k -t /etc/krb5.keytab join_user@realm-name

Если ошибок нет, перейдите к следующему шагу. Если возникают ошибки, проверьте файл krb5.conf на наличие опечаток и повторите шаги для его редактирования.

3.2. Проверка файла sssd.conf: выполните следующую команду, чтобы проверить файл sssd.conf на наличие ошибок:

sssctl config-check

Если ошибок нет, перейдите к следующему шагу. Если есть ошибки, проверьте файл sssd.conf на опечатки и повторите шаги для его создания и редактирования.

4. Подключение к домену Windows AD

После успешной настройки sssd вы можете присоединиться к домену Windows Active Directory. Выполните следующую команду для присоединения сервера к домену:

sudo realm join --user=join_user@realm-name realm-name

Замените join_user на имя пользователя, имеющего права на присоединение, и realm-name на имя вашего домена.

5. Проверка доступа к ресурсам домена

После присоединения к домену, вы можете проверить доступ к ресурсам Active Directory.

5.1. Проверка доступа к пользователям: выполните команду id с именем пользователя домена, чтобы проверить доступ:

id username@realm-name

Замените username на имя пользователя домена и realm-name на имя вашего домена.

5.2. Проверка доступа к файлам: выполните команду ls для проверки доступа к файлам на файловом сервере Windows:

ls //file-server.example.com/share

Замените file-server.example.com на имя вашего файлового сервера Windows и share на имя вашей общей папки.

6. Работа с отладкой sssd

Если у вас возникают проблемы при настройке и работе с sssd, отладка может быть полезным инструментом для их решения.

6.1. Включение отладки: откройте файл /etc/sssd/sssd.conf с помощью текстового редактора и раскомментируйте (удалите символ #) строку debug_level, установив значение на 9:

sudo nano /etc/sssd/sssd.conf

[sssd]
config_file_version = 2
services = nss, pam
debug_level = 9
...

6.2. Перезапуск sssd: перезапустите службу sssd, чтобы изменения вступили в силу:

sudo systemctl restart sssd

6.3. Просмотр журнала отладки: просмотрите файл журнала отладки /var/log/sssd/sssd.log, чтобы определить ошибки и проблемы:

sudo tail -f /var/log/sssd/sssd.log

7. Безопасность и пароль

При настройке sssd обратите внимание на безопасность и пароль вашего Linux-сервера. Убедитесь, что ваш сервер имеет актуальные обновления и использует надежный пароль. Также рекомендуется использовать подходящие меры безопасности для защиты вашего сервера и сети.

В итоге, вы должны смочь успешно настроить sssd, подключиться к домену Windows Active Directory и получить доступ к ресурсам домена на вашем Linux-сервере.

Шаг 4: Откройте для себя домен Active Directory в Debian 10

Прежде чем вы сможете подключить Linux машину к домену Windows Active Directory (AD), необходимо установить несколько пакетов и настроить соответствующие файлы. В этом разделе мы подробно рассмотрим процесс открытия домена AD в Debian 10.

Установка необходимого ПО

Первым шагом является установка необходимого ПО для работы с AD. Нам понадобятся следующие пакеты:

• samba-common-bin
• libnss-sss
• libpam-sss

Выполните следующую команду, чтобы установить все необходимые пакеты:

sudo apt install samba-common-bin libnss-sss libpam-sss -y

Проверка подключения к домену AD

После установки необходимого ПО, мы можем проверить доступность домена AD с помощью утилиты realm. Введите следующую команду:

sudo realm discover example.com

Конфигурация файлов сети

Для корректной работы сети, необходимо добавить запись в файл /etc/hosts, чтобы ваша Linux машина могла найти контроллер домена AD. Откройте файл в текстовом редакторе с правами root:

sudo nano /etc/hosts

Добавьте следующую строку в конец файла, заменив domain_controller_address на адрес вашего контроллера домена AD:

domain_controller_address example.com

Сохраните и закройте файл.

Настройка Kerberos

Для работы с доменом AD, Linux машина должна иметь билет Kerberos. Для этого выполните следующую команду:

sudo kinit administrator@example.com

Замените administrator@example.com на имя пользователя с полным именем домена AD. Введите пароль для пользователя.

Настройка разрешения DNS

Для корректной работы сети, в Debian 10 используется systemd-resolved. Для настройки разрешения DNS вам необходимо отредактировать конфигурационный файл. Введите следующую команду:

sudo nano /etc/resolv.conf

Добавьте следующую строку в файл:

nameserver domain_controller_address

Замените domain_controller_address на адрес вашего контроллера домена AD. Сохраните и закройте файл.

Подключение к домену AD

Теперь, когда все необходимые настройки выполнены, вы можете подключить Linux машину к домену AD. Введите следующую команду:

sudo realm join --verbose --user=administrator@example.com --install=/

Замените administrator@example.com на имя пользователя с полным именем домена AD. Введите пароль пользователя.

Если все настройки выполнены верно, вы увидите сообщение о успешном подключении к домену AD.

Проверка подключения

Проверьте подключение вашей Linux машины к домену AD, введя следующую команду:

id user@example.com

Замените user@example.com на имя пользователя с полным именем домена AD. Если подключение выполнено успешно, вы увидите информацию о пользователе.

Теперь ваша Linux машина успешно подключена к домену Active Directory и может использовать его ресурсы и аутентификацию пользователей.

Видео:

Диски в Linux: Основы LVM — Logical Volume Management, Менеджер логических томов

Диски в Linux: Основы LVM — Logical Volume Management, Менеджер логических томов by in-Linux 14,184 views 2 years ago 34 minutes