2.1 Ввод РЕД ОС в MS Active Directory

ПРЕДВАРИТЕЛЬНАЯ ПОДГОТОВКА КОМПЬЮТЕРА К ВВОДУ В ДОМЕН

Описывается ввод в домены, организованные на версиях Windows Server 2008r2 и выше. Для ввода в домен на Windows  server 2003 смотрите дополнительные примечания в тексте.
  1. Измените имя компьютеру, имя не должно содержать домен, т.е. должно быть redos, а не redos.ad.test.
Если вы используете домен local, или возникли проблемы с входом под доменным пользователем после ввода машины в домен, используйте полное имя компьютера с указанием домена. Например redos.ad.local
hostnamectl set-hostname <Имя компьютера>.<имя домена>

Например

hostnamectl set-hostname client1.ad.test

где ad.test – имя домена.

  1. Проверьте имя хоста
hostname
  1. Проверьте настройку сети
ifconfig
  1. Проверьте работу сети
ping ya.ru -c 4
  1. Проверьте, что первый DNS- DNS контроллера домена и укажите в качестве поискового домена, домен MS AD.
cat /etc/resolv.conf

должны увидеть запись:

search ad.test
nameserver <IP контроллера домена>

Информацию по настройке сетевого адаптера вы можете прочитать на странице Настройка сетевого адаптера

  1. Проверьте разрешение имен
nslookup <IP контроллера домена>
nslookup <Host name контроллера домена>

ВВОД КОМПЬЮТЕРА В ДОМЕН WINDOWS

  1. Откройте файл для редактирования командой
nano /etc/chrony.conf

Удалите все остальные строки, начинающиеся на server
Вставьте следующую строку в файл

server <Host name контроллера домена> iburst
  1. Перезапустите службу времени командой
systemctl restart chronyd && systemctl enable chronyd
  1. Проверьте состояние службы времени, ответ active (running)
systemctl status chronyd
  1. Проверьте автозагрузку службы времени, ответ enabled
systemctl is-enabled chronyd
  1. Установите необходимые пакеты
yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools
  1. Выполните команду поиска домена

(realm discovery – сервис, позволяющий производить настройку сетевой аутентификации и членства в домене)

realm discover < realm name >
Важно
!!! Не рекомендовано использовать домен .local !!! Он зарезервирован для автоматически конфигурируемых сетей.
При использовании домена local

Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

hosts:          files mdns4_minimal [NOTFOUND=return] dns

Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ “не найдено”. Mdns кэширует данные и  работает с демоном Avahi. Модифицируйте эту “схему” к классическому виду:

hosts:          files dns
  1. Введите компьютер в домен, указав логин и пароль администратора (при вводе пароля ничего не отображается!!!)
realm join -U <имя пользователя администратора> < realm name >
Важно
Для Windows Server 2003 имя пользователя, которому разрешено добавлять компьютеры в домен должно быть на английском языке. Для этого создайте на контроллере домена пользователя с английским именем и предоставьте ему необходимые права.

Никаких сообщений не выводиться, определить, что все хорошо можно в оснастке “Пользователи и компьютеры”

  1. Откройте для редактирования файл
nano /etc/sssd/sssd.conf

Приведите строки к указанному ниже виду:

use_fully_qualified_names = False
ad_gpo_access_control = permissive
  1. Разрешите доменным пользователям создавать домашние директории, для чего введите
authconfig --enablemkhomedir --enablesssdauth --updateall
  1. Добавьте в автозагрузку службу sssd и перезапустите ее
systemctl enable sssd.service && systemctl restart sssd
Для контроллера домена на базе Windows Server 2003 выполните дополнительные действия

16.1 В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

[libdefaults]
...
default_tkt_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1,DES-CBC-MD5
default_tgs_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1, DES-CBC-MD5

16.2 Проверьте, получает ли машина тикет керберос. Для этого выполните kinit вписав доменного пользователя и пароль. А потом проверьте полученный тикет.

kinit admin
klist

Если билет для этого пользователя получен, значит можно идти дальше.
16.3 Перезагрузите компьютер и попробуйте зайти под учетной записью домена.

  1. Проверьте состояние службу sssd, в ответе должно быть написано среди текста active (running)
systemctl status sssd
  1. Проверьте автозагрузку sssd, ответ должен быть enabled
systemctl is-enabled sssd
  1. Проверьте, получает ли машина тикет керберос. Для этого выполните kinit вписав доменного пользователя и пароль. А потом проверьте полученный тикет.
kinit 

admin klist

Вывод из домена

Для вывода из домена выполните команду:

realm leave -v -U <username> <domain>

Если вы нашли ошибку, выделите текст и нажмите Ctrl+Enter.