Вводим Ubuntu в домен Active Directory вручную
Вводим в домен Active Directory c именем MYDOMAIN.COM компьютер с именем MYUBUNTU.
Имя сервера контроллера домена – dc1.mydomain.com, IP-адрес – 192.168.0.100.
Имя копии сервера контроллера домена – dc2.mydomain.com, IP-адрес – 192.168.0.101.
IP-адрес DNS сервера 192.168.0.10
IP-адрес второго DNS сервера 192.168.0.11
Для ввода ОС Ubuntu в домен Windows нам необходимо установить клиент Kerberos, Samba и Winbind.
Для этого вводим в окно терминала следующие команды:
sudo apt-get update
sudo apt-get install krb5-user winbind samba
Первым делом изменяем настройки DNS на нашем компьютере, прописав в качестве DNS IP-адрес вашего сервера DNS (или IP-адреса всех ваших серверов DNS, если у вас их несколько). В качестве домена поиска указываем наш домен.
Для этого правим содержимое файла /etc/resolv.conf командой sudo gedit /etc/resolv.conf. Вписываем в него следующие значения:
domain mydomain.com
search mydomain.com
nameserver 192.168.0.10
nameserver 192.168.0.11
Теперь вводим имя нашего компьютера в файле /etc/hostname (sudo gedit /etc/hostname):
MYUBUNTU
Далее редактируем файл /etc/hosts (sudo gedit /etc/hosts) таким образом, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
127.0.0.1 localhost
127.0.1.1 MYUBUNTU.mydomain.com MYUBUNTU
После выполнения всех вышеперечисленных действий перезагружаем компьютер и авторизуемся под именем пользователя, которого мы завели при установке операционной системы.
Следующим действием будет настройка синхронизации времени нашего компьютера с сервером контроллера домена.
Синхронизацию будем настраивать с помощью демона ntpd, который будет периодически выполнять синхронизацию.
Ставим демон ntpd: sudo apt-get install ntp
Далее правим файл /etc/ntp.conf (sudo gedit /etc/ntp.conf):
# You do need to talk to an NTP server or two (or three).
server dc1.mydomain.com
Закрываем окно редактирования и перезапускаем демон ntpd: sudo /etc/init.d/ntp restart
Подготовительные работы проведены, переходим к настройке взаимодействия с доменом.
Правим файл /etc/krb5.conf (sudo gedit /etc/krb5.conf), в котором находятся настройки авторизации в домене через протокол Kerberos.
Можете взять мой файл – krb5.conf и заменить содержимое вашего файла содержимым моего файла. Не забудьте изменить mydomain.com на имя вашего домена и dc1, и dc2 на имена ваших серверов контроллеров домена.
Для проверки того, что мы можем пройти авторизацию в домене выполняем команду: kinit username@MYDOMAIN.COM
Имя нашего домена необходимо писать заглавными буквами. Вместо username необходимо ввести имя одного из реальных пользователей домена.
Если после выполнения команды мы не получаем никаких сообщений об ошибке, значит, все настройки выполнены верно.
Проверяем, что домен выдает нам билет Kerberos командой klist. Удалить все выданные билеты можно командой kdestroy.
Для входа в домен правим настройки файла /etc/samba/smb.conf (sudo gedit /etc/samba/smb.conf).
Можете взять мой файл – smb.conf и заменить содержимое вашего файла содержимым моего файла. Не забудьте изменить mydomain.com на имя вашего домена. Там, где MYDOMAIN написан заглавными буквами – вы вписываете название вашего домена заглавными буквами, соответственно там, где mydomain написан маленькими буквами – пишете маленькими.
После редактирования smb.conf сохраняем файл и выполните команду в терминале testparm.
Эта команда проверяет ваш конфигурационный файл smb.conf на ошибки и выдает информацию о нём:
# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
Вы увидите приведенное выше сообщение, если все сделали правильно.
Теперь входим в домен. Вводим команду sudo net ads join -U username -D MYDOMAIN
Вместо username вводим имя администратора домена, вместо MYDOMAIN вводим имя вашего домена. Жмем Enter. Система попросит ввести пароль пользователя, которого вы указали в username. В случае удачного входа вы сможете увидеть следующее сообщение:
# net ads join -U username -D MYDOMAIN
Enter username's password:
Using short domain name -- MYDOMAIN
Joined 'UBUNTU' to realm 'mydomain.com'
Поздравляю, вы ввели ваш компьютер в домен!
У меня после включения компьютера в домен выводится ошибка: DNS update failed!
В этом случае необходимо удалить компьютер из домена и повторить все шаги по настройке снова.
Если вы все сделали заново и уверены, что ошибки нет, а DNS всё равно не обновляется, то внесите вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать.
Если вы хотите видеть пользователей домена на своём компьютере с Ubuntu, то вам необходимо настроить демон Winbind. Этот демон необходим для связи локальной системы управления пользователями и группами Linux с сервером Active Directory.
Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.
Для настройки Winbind правим файл /etc/samba/smb.conf (sudo gedit /etc/samba/smb.conf). Добавляем следующие строки с секцию [global]:
template shell = /bin/bash
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind refresh tickets = yes
winbind offline logon = yes
winbind cache time = 1440
unix extensions = no
Сохраняем файл smb.conf и выполняем следующие команды:
sudo /etc/init.d/winbind stop
sudo smbd restart
sudo /etc/init.d/winbind start
Проверяем, что Winbind “видит” пользователей и группы из Active Directory c помощью команд:
wbinfo -u
wbinfo -g
Для того, чтобы мы могли назначать пользователей домена владельцами папок и файлов, необходимо указать Ubuntu использовать Winbind как дополнительный источник информации о пользователях и группах.
Меняем в файле /etc/nsswitch.conf (sudo gedit /etc/nsswitch.conf):
passwd: compat
group: compat
на
passwd: compat winbind
group: compat winbind
Для того, чтобы пользователи домена авторизовывались на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.
Меняем содержимое файла /etc/pam.d/common-session (sudo gedit /etc/pam.d/common-session) путем добавления в конец файла следующей записи:
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
Последним действием переносим запуск Winbind при загрузке системы после всех остальных служб. Выполняем следующие команды:
sudo mv /etc/rc2.d/S20winbind /etc/rc2.d/S99winbind
sudo mv /etc/rc3.d/S20winbind /etc/rc3.d/S99winbind
sudo mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
sudo mv /etc/rc5.d/S20winbind /etc/rc5.d/S99winbind
Поздравляю! Мы закончили настройку системы для входа пользователей домена на компьютер с Ubuntu. Перегружаемся и пробуем войти в систему под какой либо учетной записью пользователя домена.
Далее рассмотрим подключение сетевых ресурсов для пользователей домена.
Комментариев нет:
Отправить комментарий