Вводим Ubuntu в домен Active Directory вручную
Вводим в домен Active Directory c именем MYDOMAIN.COM компьютер с именем MYUBUNTU.
Имя сервера контроллера домена – dc1.mydomain.com, IP-адрес – 192.168.0.100.
Имя копии сервера контроллера домена – dc2.mydomain.com, IP-адрес – 192.168.0.101.
IP-адрес DNS сервера 192.168.0.10
IP-адрес второго DNS сервера 192.168.0.11
Для ввода ОС Ubuntu в домен Windows нам необходимо установить клиент Kerberos, Samba и Winbind.
Для этого вводим в окно терминала следующие команды:
Вводим в домен Active Directory c именем MYDOMAIN.COM компьютер с именем MYUBUNTU.
Имя сервера контроллера домена – dc1.mydomain.com, IP-адрес – 192.168.0.100.
Имя копии сервера контроллера домена – dc2.mydomain.com, IP-адрес – 192.168.0.101.
IP-адрес DNS сервера 192.168.0.10
IP-адрес второго DNS сервера 192.168.0.11
Для ввода ОС Ubuntu в домен Windows нам необходимо установить клиент Kerberos, Samba и Winbind.
Для этого вводим в окно терминала следующие команды:
sudo apt-get update
sudo apt-get install krb5-user winbind samba
Для этого правим содержимое файла /etc/resolv.conf командой sudo gedit /etc/resolv.conf. Вписываем в него следующие значения:
domain mydomain.comТеперь вводим имя нашего компьютера в файле /etc/hostname (sudo gedit /etc/hostname):
search mydomain.com
nameserver 192.168.0.10
nameserver 192.168.0.11
MYUBUNTUДалее редактируем файл /etc/hosts (sudo gedit /etc/hosts) таким образом, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
127.0.0.1 localhostПосле выполнения всех вышеперечисленных действий перезагружаем компьютер и авторизуемся под именем пользователя, которого мы завели при установке операционной системы.
127.0.1.1 MYUBUNTU.mydomain.com MYUBUNTU
Следующим действием будет настройка синхронизации времени нашего компьютера с сервером контроллера домена.
Синхронизацию будем настраивать с помощью демона ntpd, который будет периодически выполнять синхронизацию.
Ставим демон ntpd:
sudo apt-get install ntpДалее правим файл /etc/ntp.conf (sudo gedit /etc/ntp.conf):
# You do need to talk to an NTP server or two (or three).Закрываем окно редактирования и перезапускаем демон ntpd:
server dc1.mydomain.com
sudo /etc/init.d/ntp restartПодготовительные работы проведены, переходим к настройке взаимодействия с доменом.
Правим файл /etc/krb5.conf (sudo gedit /etc/krb5.conf), в котором находятся настройки авторизации в домене через протокол Kerberos.
Можете взять мой файл – krb5.conf и заменить содержимое вашего файла содержимым моего файла. Не забудьте изменить mydomain.com на имя вашего домена и dc1, и dc2 на имена ваших серверов контроллеров домена.
Для проверки того, что мы можем пройти авторизацию в домене выполняем команду: kinit username@MYDOMAIN.COM
Имя нашего домена необходимо писать заглавными буквами. Вместо username необходимо ввести имя одного из реальных пользователей домена.
Если после выполнения команды мы не получаем никаких сообщений об ошибке, значит, все настройки выполнены верно.
Проверяем, что домен выдает нам билет Kerberos командой klist. Удалить все выданные билеты можно командой kdestroy.
Для входа в домен правим настройки файла /etc/samba/smb.conf (sudo gedit /etc/samba/smb.conf).
Можете взять мой файл – smb.conf и заменить содержимое вашего файла содержимым моего файла. Не забудьте изменить mydomain.com на имя вашего домена. Там, где MYDOMAIN написан заглавными буквами – вы вписываете название вашего домена заглавными буквами, соответственно там, где mydomain написан маленькими буквами – пишете маленькими.
После редактирования smb.conf сохраняем файл и выполните команду в терминале testparm.
Эта команда проверяет ваш конфигурационный файл smb.conf на ошибки и выдает информацию о нём:
# testparmВы увидите приведенное выше сообщение, если все сделали правильно.
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions
Теперь входим в домен. Вводим команду sudo net ads join -U username -D MYDOMAIN
Вместо username вводим имя администратора домена, вместо MYDOMAIN вводим имя вашего домена. Жмем Enter. Система попросит ввести пароль пользователя, которого вы указали в username. В случае удачного входа вы сможете увидеть следующее сообщение:
# net ads join -U username -D MYDOMAINПоздравляю, вы ввели ваш компьютер в домен!
Enter username's password:
Using short domain name -- MYDOMAIN
Joined 'UBUNTU' to realm 'mydomain.com'
У меня после включения компьютера в домен выводится ошибка: DNS update failed!
В этом случае необходимо удалить компьютер из домена и повторить все шаги по настройке снова.
Если вы все сделали заново и уверены, что ошибки нет, а DNS всё равно не обновляется, то внесите вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать.
Если вы хотите видеть пользователей домена на своём компьютере с Ubuntu, то вам необходимо настроить демон Winbind. Этот демон необходим для связи локальной системы управления пользователями и группами Linux с сервером Active Directory.
Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.
Для настройки Winbind правим файл /etc/samba/smb.conf (sudo gedit /etc/samba/smb.conf). Добавляем следующие строки с секцию [global]:
template shell = /bin/bashСохраняем файл smb.conf и выполняем следующие команды:
idmap uid = 10000 - 40000
idmap gid = 10000 - 40000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = Yes
winbind enum users = Yes
winbind enum groups = Yes
winbind use default domain = Yes
winbind nested groups = Yes
winbind refresh tickets = yes
winbind offline logon = yes
winbind cache time = 1440
unix extensions = no
sudo /etc/init.d/winbind stopПроверяем, что Winbind “видит” пользователей и группы из Active Directory c помощью команд:
sudo smbd restart
sudo /etc/init.d/winbind start
wbinfo -uДля того, чтобы мы могли назначать пользователей домена владельцами папок и файлов, необходимо указать Ubuntu использовать Winbind как дополнительный источник информации о пользователях и группах.
wbinfo -g
Меняем в файле /etc/nsswitch.conf (sudo gedit /etc/nsswitch.conf):
passwd: compatДля того, чтобы пользователи домена авторизовывались на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.
group: compat
на
passwd: compat winbind
group: compat winbind
Меняем содержимое файла /etc/pam.d/common-session (sudo gedit /etc/pam.d/common-session) путем добавления в конец файла следующей записи:
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077Последним действием переносим запуск Winbind при загрузке системы после всех остальных служб. Выполняем следующие команды:
sudo mv /etc/rc2.d/S20winbind /etc/rc2.d/S99winbindПоздравляю! Мы закончили настройку системы для входа пользователей домена на компьютер с Ubuntu. Перегружаемся и пробуем войти в систему под какой либо учетной записью пользователя домена.
sudo mv /etc/rc3.d/S20winbind /etc/rc3.d/S99winbind
sudo mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind
sudo mv /etc/rc5.d/S20winbind /etc/rc5.d/S99winbind
Далее рассмотрим подключение сетевых ресурсов для пользователей домена.
Комментариев нет:
Отправить комментарий