ПРЕДВАРИТЕЛЬНАЯ ПОДГОТОВКА КОМПЬЮТЕРА К ВВОДУ В ДОМЕН

1. Измените имя компьютеру, имя должно содержать домен, т.е должно быть, например client1.wintest.redostest

hostnamectl set-hostname <Имя компьютера>.<домен>

Например:

hostnamectl set-hostname client1.wintest.redostest

2. Проверьте имя хоста

hostname

3. Для регистрации рабочей станции с РЕД ОС в домене Active Directory с автоматическим обновлением DNS-записей добавьте в файл /etc/hosts строку вида

127.0.0.1 <Имя компьютера>.<домен> <Имя компьютера>

Также желательно добавить через пробел короткое имя ПК в конец первых двух строк.

Пример файла /etc/hosts (изменения выделены жирным шрифтом):

127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 client1
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6 client1
127.0.0.1  client1.wintest.redostest client1

4. Проверьте настройку сети

ifconfig

5. Проверьте работу сети

ping ya.ru -c 4

6. Проверьте, что первый DNS — это DNS контроллера домена, и укажите в качестве поискового домена домен MS AD.

cat /etc/resolv.conf

В выводе команды должна быть запись:

search ad.test
nameserver <IP контроллера домена>

Информацию по настройке сетевого адаптера вы можете прочитать на страницах:

Настройка сети

Настройка сетевого адаптера

7. Проверьте разрешение имен

nslookup <IP контроллера домена>
nslookup <Host name контроллера домена>

ВВОД КОМПЬЮТЕРА В ДОМЕН WINDOWS

Ввод в домен с помощью графической программы
Ввести компьютер в домен можно с помощью графической программы domain-join-gui, установка данной программы:

yum install domain-join-gui

После установки зайдите в меню, и в разделе «Параметры» появится новый пункт «Ввод в домен». Кроме того, запустить утилиту domain-join-gui можно из «Центра управления ОС» (Параметры системы).

Ввод в домен консольными командами

1. Настройка NTP клиента
   Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:

sudo nano /etc/chrony.conf

          Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:

server < FQDN имя контроллера домена > iburst

          После изменений конфигурационного файла вам надо перезапустить chronyd:

sudo systemctl restart chronyd

          Проверьте работу chrony с помощью двух команд::   

sudo systemctl status chronyd

sudo chronyc tracking

          Пример вывода команды:

$ systemctl status chronyd
● chronyd.service - NTP client/server
   Loaded: loaded (/usr/lib/systemd/system/chronyd.service; enabled; vendor preset: enabled)
   Active: active (running) since Вт 2019-07-09 11:13:49 MSK; 5min ago
  Process: 683 ExecStartPost=/usr/libexec/chrony-helper update-daemon (code=exited, status=0/SUCCESS)
  Process: 639 ExecStart=/usr/sbin/chronyd $OPTIONS (code=exited, status=0/SUCCESS)
 Main PID: 650 (chronyd)
   CGroup: /system.slice/chronyd.service
           └─650 /usr/sbin/chronyd

          Пример вывода команды:

$ chronyc tracking
Reference ID    : 10.81.1.200 (dc2.wintest.redostest)
Stratum         : 2
Ref time (UTC)  : Tue Jul  9 07:21:29 2019
System time     : 0.000290295 seconds fast of NTP time
Last offset     : +0.000341672 seconds
RMS offset      : 0.000341672 seconds
Frequency       : 16.091 ppm slow
Residual freq   : -598.011 ppm
Skew            : 32.710 ppm
Root delay      : 0.015626 seconds
Root dispersion : 10.771983 seconds
Update interval : 2.0 seconds
Leap status     : Normal

2. Установите необходимые пакеты, если они ещё не установлены

yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools

3. Выполните команду поиска домена

(realm discovery – сервис, позволяющий производить настройку сетевой аутентификации и членства в домене)

realm discover < realm name >

hosts:          files mdns4_minimal [NOTFOUND=return] dns

hosts:          files dns

4. Введите компьютер в домен, указав логин и пароль администратора домена

realm join -U -v <имя_администратора_домена> <realm_name>

пример: realm join -U -v Администратор EXAMPLE.COM

При успешном вводе машины в домен, в конце вы увидите сообщение «* Successfully enrolled machine in realm»

5. Откройте для редактирования файл

nano /etc/sssd/sssd.conf

Приведите строки к указанному ниже виду:

use_fully_qualified_names = False
ad_gpo_access_control = permissive

6. Разрешите доменным пользователям создавать домашние директории, для чего введите
   

   authconfig --enablemkhomedir --enablesssdauth --updateall

   Для контроллера домена на базе Windows Server 2003 выполните дополнительные действия

            В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

   [libdefaults]
   ...
   default_tkt_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1,DES-CBC-MD5
   default_tgs_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1, DES-CBC-MD5

   
          Перезагрузите компьютер и попробуйте зайти под учетной записью доменного пользователя.

7. Проверьте состояние службу sssd, в ответе должно быть написано среди текста active (running)

   # systemctl status sssd
   ● sssd.service - System Security Services Daemon
      Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
      Active: active (running) since Вт 2019-08-27 11:26:16 MSK; 2h 5min ago
    Main PID: 31918 (sssd)
      CGroup: /system.slice/sssd.service
              ├─31918 /usr/sbin/sssd -i --logger=files
              ├─31919 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files
              ├─31920 /usr/libexec/sssd/sssd_be --domain wintest.redostest --uid 0 --gid 0 --logger=files
              ├─31921 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
              └─31922 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files

Настройка отображения общих ресурсов

Для отображения в файловом менеджере общих ресурсов, которые расположены в доменах Microsoft Active Directory, нужно отредактировать на клиентском ПК конфигурационный файл samba — /etc/samba/smb.conf, а также включить на сервере службу «Браузер компьютеров».

В качестве примера рассматривается: домен win2012.redos, имя контроллера домена — dc.win2012.redos

1) На сервере Windows нужно включить службу «Браузер компьютеров». Укажите «Тип запуска» службы — «Автоматически», после чего произведите запуск службы.

2) В файле /etc/samba/smb.conf в секции [global] на клиенте нужно изменить параметры. По умолчанию в файле указываются параметры workgroup = SAMBA и security = user. Измените значения параметров или закомментируйте данные строки, добавив нужные:

[global]
workgroup = WIN2012
security = ADS
realm = WIN2012.REDOS
client max protocol = NT1
idmap config * : range = 3000-7999

3) В файле /etc/krb5.conf  закомментировать строку

default_ccache_name = KEYRING:persistent:%{uid}

а вместо нее вставить параметр:

default_ccache_name = FILE:/tmp/krb5cc_%{uid}

4) Перезагрузите ПК

После выполнения данных действий общие ресурсы будут отображаться в файловом менеджере.
В файловом менеджере Caja (Mate) в боковой панели слева нужно выбрать пункт «Просмотреть сеть»; в файловом менеджере Nemo (Cinnamon) в боковой панели слева нужно выбрать пункт «Сеть»

Создание кнопки запуска доступа к сетевому ресурсу

В графическом окружении MATE и Cinnamon процесс создания немного отличается.

В MATE

Для создания кнопки запуска на рабочем столе нужно нажать правой кнопкой мыши на рабочем столе и выбрать пункт «Создать кнопку запуска…».

В открывшемся окне в поле «Имя» впишите отображаемое имя под кнопкой. В поле «Команда» впишите caja и через пробел путь к сетевому каталогу. Его можно скопировать в адресной строке в файловом менеджере находясь в нужном сетевом каталоге. Общий вид команды может быть например таким: caja smb://SHARE/k1. После всех действий нажмите кнопку «ОК».

В Cinnamon

Для создание кнопки запуска на рабочем столе нужно нажать правой кнопкой мыши на рабочем столе и выбрать пункт «Создать кнопку запуска здесь…»

В открывшемся окне в поле «Имя» впишите отображаемое имя под кнопкой. В поле «Команда» впишите nemo и через пробел путь к сетевому каталогу. Его можно скопировать в адресной строке в файловом менеджере находясь в нужном сетевом каталоге. Общий вид команды может быть например таким: nemo smb://SHARE/k1. После всех действий нажмите кнопку «ОК».

Вывод из домена

Для получения списка сконфигурированных доменов выполните:

realm list

Если в выводе присутствует одна запись:

realm leave -v -U <username>@<domain>

Если в выводе присутствует две записи (две записи присутствуют при использовании двух client-software — winbind и sssd), тогда нужно выполнить две команды:

realm leave -v --client-software=winbind -U <username>@<domain>
realm leave -v --client-software=sssd -U <username>@<domain>

Нужно ввести пароль <username>@<domain>, который является Администратором домена. Для вывода из домена требуются права администратора. Поэтому при запросе пароля привелегированного пользователя нужно ввести пароль локального пользователя с правами администратора.

В конце вывода команды должно выдаваться сообщение об успешном выводе из домена:
Successfully unenrolled machine from realm

Проверить, успешно ли ПК был выведен из домена, можно командой realm list — в выводе не должно быть никаких записей

sss_cache -E