2.1 Ввод РЕД ОС в MS Active Directory

ПРЕДВАРИТЕЛЬНАЯ ПОДГОТОВКА КОМПЬЮТЕРА К ВВОДУ В ДОМЕН

Описывается ввод в домены, организованные на версиях Windows Server 2008r2 и выше. Для ввода в домен на Windows  server 2003 смотрите дополнительные примечания в тексте.
  1. Измените имя компьютеру, имя не должно содержать домен, т.е должно быть redos, а не redos.ad.test.
hostnamectl set-hostname <Имя компьютера>

Например:

hostnamectl set-hostname client1
Если вы используете домен local, или возникли проблемы с входом под доменным пользователем после ввода машины в домен, используйте полное имя компьютера с указанием домена. Например redos.ad.local
  1. Проверьте имя хоста
hostname
  1. Проверьте настройку сети
ifconfig
  1. Проверьте работу сети
ping ya.ru -c 4
  1. Проверьте, что первый DNS- DNS контроллера домена и укажите в качестве поискового домена, домен MS AD.
cat /etc/resolv.conf

должны увидеть запись:

search ad.test
nameserver <IP контроллера домена>

Информацию по настройке сетевого адаптера вы можете прочитать на странице Настройка сетевого адаптера

  1. Проверьте разрешение имен
nslookup <IP контроллера домена>
nslookup <Host name контроллера домена>

ВВОД КОМПЬЮТЕРА В ДОМЕН WINDOWS

  1. Настройка NTP клиента
    Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:
sudo nano /etc/chrony.conf

          Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:

server < FQDN имя контроллера домена > iburst

          После изменений конфигурационного файла вам надо перезапустить chronyd:

sudo systemctl restart chronyd

          Проверьте работу chrony с помощью двух команд::   

sudo systemctl status chronyd
sudo chronyc tracking

          Пример вывода команды:

$ systemctl status chronyd
● chronyd.service - NTP client/server
Loaded: loaded (/usr/lib/systemd/system/chronyd.service; enabled; vendor preset: enabled)
Active: active (running) since Вт 2019-07-09 11:13:49 MSK; 5min ago
Process: 683 ExecStartPost=/usr/libexec/chrony-helper update-daemon (code=exited, status=0/SUCCESS)
Process: 639 ExecStart=/usr/sbin/chronyd $OPTIONS (code=exited, status=0/SUCCESS)
Main PID: 650 (chronyd)
CGroup: /system.slice/chronyd.service
└─650 /usr/sbin/chronyd

          Пример вывода команды:

$ chronyc tracking
Reference ID : 10.81.1.200 (dc2.wintest.redostest)
Stratum : 2
Ref time (UTC) : Tue Jul 9 07:21:29 2019
System time : 0.000290295 seconds fast of NTP time
Last offset : +0.000341672 seconds
RMS offset : 0.000341672 seconds
Frequency : 16.091 ppm slow
Residual freq : -598.011 ppm
Skew : 32.710 ppm
Root delay : 0.015626 seconds
Root dispersion : 10.771983 seconds
Update interval : 2.0 seconds
Leap status : Normal
  1. Установите необходимые пакеты
yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
  1. Выполните команду поиска домена

(realm discovery – сервис, позволяющий производить настройку сетевой аутентификации и членства в домене)

realm discover < realm name >
Важно
!!! Не рекомендовано использовать домен .local !!! Он зарезервирован для автоматически конфигурируемых сетей.
При использовании домена local

Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

hosts:          files mdns4_minimal [NOTFOUND=return] dns

Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ «не найдено». Mdns кэширует данные и  работает с демоном Avahi. Модифицируйте эту «схему» к классическому виду:

hosts:          files dns
  1. Введите компьютер в домен, указав логин и пароль администратора (при вводе пароля ничего не отображается!!!)
realm join -U <имя пользователя администратора> < realm name >
Важно
Для Windows Server 2003 имя пользователя, которому разрешено добавлять компьютеры в домен должно быть на английском языке. Для этого создайте на контроллере домена пользователя с английским именем и предоставьте ему необходимые права.

Никаких сообщений не выводиться, определить, что все хорошо можно в оснастке «Пользователи и компьютеры»

  1. Откройте для редактирования файл
nano /etc/sssd/sssd.conf

Приведите строки к указанному ниже виду:

use_fully_qualified_names = False
ad_gpo_access_control = permissive
  1. Разрешите доменным пользователям создавать домашние директории, для чего введите
    authconfig --enablemkhomedir --enablesssdauth --updateall
    Для контроллера домена на базе Windows Server 2003 выполните дополнительные действия

             В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

    [libdefaults]
    ...
    default_tkt_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1,DES-CBC-MD5
    default_tgs_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1, DES-CBC-MD5


           Перезагрузите компьютер и попробуйте зайти под учетной записью домена.

  2. Проверьте состояние службу sssd, в ответе должно быть написано среди текста active (running)

    systemctl status sssd

Настройка отображения общих ресурсов

Данная инструкция применима для файловых ресурсов, находящихся в домене и развернутых на базе Windows Server 2008r2 или Windows Server 2012.

Для отображения в файловом менеджере общих ресурсов, которые расположены в доменах Microsoft Active Directory, нужно отредактировать на клиентском ПК конфигурационный файл samba — /etc/samba/smb.conf, а также включить на сервере службу «Браузер компьютеров».

В качестве примера рассматривается: домен win2012.redos, имя контроллера домена — dc.win2012.redos

1) На сервере Windows нужно включить службу «Браузер компьютеров». Укажите «Тип запуска» службы — «Автоматически», после чего произведите запуск службы.

2) В файле /etc/samba/smb.conf в секции [global] на клиенте в этом случае нужно указать следующие параметры:

[global]
workgroup = WIN2012
security = ADS
realm = WIN2012.REDOS
client max protocol = NT1
idmap config * : range = 3000-7999

3) Перезагрузите ПК

После выполнения данных действий общие ресурсы будут отображаться в файловом менеджере.
В файловом менеджере Caja (Mate) в боковой панели слева нужно выбрать пункт «Просмотреть сеть»; в файловом менеджере Nemo (Cinnamon) в боковой панели слева нужно выбрать пункт «Сеть»

Создание кнопки запуска доступа к сетевому ресурсу

В графическом окружении MATE и Cinnamon процесс создания немного отличается.

В MATE

Для создания кнопки запуска на рабочем столе нужно нажать правой кнопкой мыши на рабочем столе и выбрать пункт «Создать кнопку запуска…».

В открывшемся окне в поле «Имя» впишите отображаемое имя под кнопкой. В поле «Команда» впишите caja и через пробел путь к сетевому каталогу. Его можно скопировать в адресной строке в файловом менеджере находясь в нужном сетевом каталоге. Общий вид команды может быть например таким: caja smb://SHARE/k1. После всех действий нажмите кнопку «ОК».

В Cinnamon

Для создание кнопки запуска на рабочем столе нужно нажать правой кнопкой мыши на рабочем столе и выбрать пункт «Создать кнопку запуска здесь…»

В открывшемся окне в поле «Имя» впишите отображаемое имя под кнопкой. В поле «Команда» впишите nemo и через пробел путь к сетевому каталогу. Его можно скопировать в адресной строке в файловом менеджере находясь в нужном сетевом каталоге. Общий вид команды может быть например таким: nemo smb://SHARE/k1. После всех действий нажмите кнопку «ОК».

Вывод из домена

Для вывода из домена выполните команду:

realm leave -v -U <username>@<domain>

 

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.