Предварительная подготовка компьютера к вводу в домен
Ввод компьютера в домен windows
Список односложных команд для ввода в домен через консоль
Настройка отображения общих ресурсов
Создание кнопки запуска доступа к сетевому ресурсу
Вывод из домена
Предварительная подготовка компьютера к вводу в домен
- Измените имя компьютеру, имя должно содержать домен, т.е должно быть, например client1.wintest.redostest
hostnamectl set-hostname <Имя компьютера>.<домен>
Например:
hostnamectl set-hostname client1.wintest.redostest
- Проверьте имя хоста
hostname
- Для регистрации рабочей станции с РЕД ОС в домене Active Directory с автоматическим обновлением DNS-записей добавьте в файл /etc/hosts строку вида
127.0.0.1 <Имя компьютера>.<домен> <Имя компьютера>
Пример файла /etc/hosts (добавленная строка выделена жирным шрифтом):
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4
::1 localhost localhost.localdomain localhost6 localhost6.localdomain6
127.0.0.1 client1.wintest.redostest client1
- Проверьте настройку сети
ifconfig
- Проверьте работу сети
ping ya.ru -c 4
- Настройте сетевой адаптер и проверьте, что первый DNS — это DNS контроллера домена, и укажите в качестве поискового домена домен MS AD.
Для настройки сетевого адаптера откройте утилиту «Сетевые соединения», выберите доступное соединение и нажмите «Изменить». Утилита находится по адресу:
«Меню» → «Параметры» → «Сетевые соединения»
Перейдите на вкладку «Параметры IPv4». В поле «Метод» выберите «Атоматически (DHCP, только адрес)», укажите нужные значения в полях «Серверы DNS» и «Поисковый домен».
Нажмите сохранить и перезапустите Network Manager.
systemctl restart NetworkManager
Проверьте, что введенные настройки сохранились.
cat /etc/resolv.conf
В выводе команды должна быть запись вида:
# Generated by NetworkManager
search wintest.redostest nameserver <IP контроллера домена>
- Проверьте разрешение имен
nslookup <IP контроллера домена> nslookup <Host name контроллера домена>
Ввод компьютера в домен Windows
Ввод в домен с помощью графической программы
Ввод в домен консольными командами
Ввод в домен с помощью графической программы
Ввести компьютер в домен можно с помощью графической программы domain-join-gui, установка данной программы:
yum install domain-join-gui
После установки зайдите в меню, и в разделе «Параметры» появится новый пункт «Ввод в домен». Кроме того, запустить утилиту domain-join-gui можно из «Центра управления ОС» (Параметры системы).
Ввод в домен консольными командами
- Настройка NTP клиента
Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:
sudo nano /etc/chrony.conf
Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:
server < FQDN имя контроллера домена > iburst
После изменений конфигурационного файла вам надо перезапустить chronyd:
sudo systemctl restart chronyd
Проверьте работу chrony с помощью двух команд::
sudo systemctl status chronyd
sudo chronyc tracking
Пример вывода команды:
$ systemctl status chronyd
chronyd.service - NTP client/server
Loaded: loaded (/usr/lib/systemd/system/chronyd.service; enabled; vendor preset: enabled)
Active: active (running) since Вт 2019-07-09 11:13:49 MSK; 5min ago
Process: 683 ExecStartPost=/usr/libexec/chrony-helper update-daemon (code=exited, status=0/SUCCESS)
Process: 639 ExecStart=/usr/sbin/chronyd $OPTIONS (code=exited, status=0/SUCCESS)
Main PID: 650 (chronyd)
CGroup: /system.slice/chronyd.service
└─650 /usr/sbin/chronyd
Пример вывода команды:
$ chronyc tracking
Reference ID : 10.81.1.200 (dc2.wintest.redostest)
Stratum : 2
Ref time (UTC) : Tue Jul 9 07:21:29 2019
System time : 0.000290295 seconds fast of NTP time
Last offset : +0.000341672 seconds
RMS offset : 0.000341672 seconds
Frequency : 16.091 ppm slow
Residual freq : -598.011 ppm
Skew : 32.710 ppm
Root delay : 0.015626 seconds
Root dispersion : 10.771983 seconds
Update interval : 2.0 seconds
Leap status : Normal
- Установите необходимые пакеты, если они ещё не установлены
yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
- Выполните команду поиска домена
(realm discovery – сервис, позволяющий производить настройку сетевой аутентификации и членства в домене)
realm discover < realm name >
Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:
hosts: files mdns4_minimal [NOTFOUND=return] dns
Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ «не найдено». Mdns кэширует данные и работает с демоном Avahi. Модифицируйте эту «схему» к классическому виду:
hosts: files dns
- Введите компьютер в домен, указав логин и пароль администратора домена
realm join -U -v <имя_администратора_домена> <realm_name>
пример: realm join -U -v Администратор EXAMPLE.COM
При успешном вводе машины в домен, в конце вы увидите сообщение «* Successfully enrolled machine in realm»
- Откройте для редактирования файл
nano /etc/sssd/sssd.conf
Приведите строки к указанному ниже виду:
use_fully_qualified_names = False ad_gpo_access_control = permissive
- Разрешите доменным пользователям создавать домашние директории, для чего введите
authconfig --enablemkhomedir --enablesssdauth --updateall
- Проверьте состояние службы sssd, в ответе должно быть написано среди текста active (running)
# systemctl status sssd
sssd.service - System Security Services Daemon
Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
Active: active (running) since Вт 2019-08-27 11:26:16 MSK; 2h 5min ago
Main PID: 31918 (sssd)
CGroup: /system.slice/sssd.service
├─31918 /usr/sbin/sssd -i --logger=files
├─31919 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files
├─31920 /usr/libexec/sssd/sssd_be --domain wintest.redostest --uid 0 --gid 0 --logger=files
├─31921 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
└─31922 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
Список односложных команд для ввода в домен через консоль
В данном разделе приведены упрощенные команды из раздела Ввод компьютера в домен Windows, подраздела Ввод в домен консольными командами. Описание всех нижеприведенных команд можно посмотреть в вышеуказанном подразделе:
1. Настройте NTP-клиент
sudo sed -i 's/server/#server/g' /etc/chrony.conf && sudo sed -i "3i server dc2008.win2008.redos2008 iburst" /etc/chrony.conf && sudo systemctl restart chronyd
Здесь вместо dc2008.win2008.redos2008 введите свое FDQN имя контроллера домена.
2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.
sudo yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools && realm discover <имя_домена> && realm join -U -v <имя_администратора_домена> <имя_домена>
При успешном вводе машины в домен вы увидите сообщение «* Successfully enrolled machine in realm»
3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние категории.
sudo sed -i 's/use_fully_qualified_names = True/use_fully_qualified_names = False/g' /etc/sssd/sssd.conf && echo "ad_gpo_access_control = permissive" >> /etc/sssd/sssd.conf && sudo authconfig --enablemkhomedir --enablesssdauth --updateall
Если контроллер домена основан на базе Windows Server 2003, то выполните следующую команду:
sudo sed -i '/\[libdefaults\]/a \ default_tkt_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1,DES-CBC-MD5\n default_tgs_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1, DES-CBC-MD5' /etc/krb5.conf
Настройка отображения общих ресурсов
Для отображения в файловом менеджере общих ресурсов, которые расположены в доменах Microsoft Active Directory, нужно отредактировать на клиентском ПК конфигурационный файл samba — /etc/samba/smb.conf, а также включить на сервере службу «Браузер компьютеров».
В качестве примера рассматривается: домен wintest.redostest, имя контроллера домена — dc.wintest.redostest
1) На сервере Windows нужно включить службу «Браузер компьютеров». Укажите «Тип запуска» службы — «Автоматически», после чего произведите запуск службы.
2) В файле /etc/samba/smb.conf в секции [global] на клиенте нужно изменить параметры. По умолчанию в файле указываются параметры workgroup = SAMBA и security = user. Измените значения параметров или закомментируйте данные строки, добавив нужные (если в конфигурационном файле один и тот же параметр указан несколько раз, то используется последний):
[global]
workgroup = WINTEST
security = ADS
realm = WINTEST.REDOSTEST
client max protocol = NT1
idmap config * : range = 3000-7999
3) В файле /etc/krb5.conf закомментировать строку
default_ccache_name = KEYRING:persistent:%{uid}
а вместо нее вставить параметр:
default_ccache_name = FILE:/tmp/krb5cc_%{uid}
4) Перезагрузите ПК
После выполнения данных действий общие ресурсы будут отображаться в файловом менеджере.
В файловом менеджере Caja (Mate) в боковой панели слева нужно выбрать пункт «Просмотреть сеть»; в файловом менеджере Nemo (Cinnamon) в боковой панели слева нужно выбрать пункт «Сеть»
Создание кнопки запуска доступа к сетевому ресурсу
В графическом окружении MATE и Cinnamon процесс создания немного отличается.
В MATE
Для создания кнопки запуска на рабочем столе нужно нажать правой кнопкой мыши на рабочем столе и выбрать пункт «Создать кнопку запуска…».
В открывшемся окне в поле «Имя» впишите отображаемое имя под кнопкой. В поле «Команда» впишите caja и через пробел путь к сетевому каталогу. Его можно скопировать в адресной строке в файловом менеджере находясь в нужном сетевом каталоге. Общий вид команды может быть например таким: caja smb://SHARE/k1. После всех действий нажмите кнопку «ОК».
В Cinnamon
Для создание кнопки запуска на рабочем столе нужно нажать правой кнопкой мыши на рабочем столе и выбрать пункт «Создать кнопку запуска здесь…»
В открывшемся окне в поле «Имя» впишите отображаемое имя под кнопкой. В поле «Команда» впишите nemo и через пробел путь к сетевому каталогу. Его можно скопировать в адресной строке в файловом менеджере находясь в нужном сетевом каталоге. Общий вид команды может быть например таким: nemo smb://SHARE/k1. После всех действий нажмите кнопку «ОК».
Вывод из домена
Вывод из домена с помощью графической программы
Вывод из домена консольными командами
Вывод из домена с помощью графической программы
Вывести компьютер из домена можно с помощью графической программы domain-join-gui, установка данной программы:
yum install domain-join-gui
После установки зайдите в меню, и в разделе «Параметры» появится новый пункт «Ввод в домен». Кроме того, запустить утилиту domain-join-gui можно из «Центра управления ОС» (Параметры системы).
Если ПК находится в домене, то при запуске утилиты она предложит вывести компьютер из домена. Для вывода из домена нужно подтвердить выполнение, дождаться окончания процесса и перезагрузить ПК,
Вывод из домена консольными командами
Для получения списка сконфигурированных доменов выполните:
realm list
Если в выводе присутствует одна запись:
realm leave -v -U <username>@<domain>
Если в выводе присутствует две записи (две записи присутствуют при использовании двух client-software — winbind и sssd), тогда нужно выполнить две команды:
realm leave -v --client-software=winbind -U <username>@<domain>
realm leave -v --client-software=sssd -U <username>@<domain>
Нужно ввести пароль <username>@<domain>, который является Администратором домена. Для вывода из домена требуются права администратора. Поэтому при запросе пароля привилегированного пользователя нужно ввести пароль локального пользователя с правами администратора.
В конце вывода команды должно выдаваться сообщение об успешном выводе из домена:Successfully unenrolled machine from realm
Проверить, успешно ли ПК был выведен из домена, можно командой realm list — в выводе не должно быть никаких записей
sss_cache -E
