Vladimir Drach. Official Web-Site. — Личный сайт Владимира Драча
Самба 4: Установка контроллера домена на CentOS 7
Понедельник, 10 Апрель 2017 20:56
Начиная с версии 4.0, Самба может работать как контроллер домена (ДК) Active Directory (AD). В этой статье показано, как настроить Samba 4 в качестве контроллера домена с Windows 10 в CentOS 7 и CentOS 6.
Понадобится 3 операционные системы, первая сервер CentOS 7, вторая Windows 10 клиент для удаленного управления, и CentOS 7 (CentOS 6).
Статья является более углублённым материалом по сравнению с опубликованной ранее методикой.
192.168.1.190 Samba4 AD centos7 Пульт дистанционного управления 192.168.1.191 win 10 192.168.1.22 — клиент Аутентификация — CentOS 7 192.168.1.192 — Аутентификация клиента Samba 4 на CentOS 6
192.168.1.190 Samba4 AD centos7
Основой является система CentOS 7 с минимальной установкой и отключенным selinux.
Сделайте запись в /etc/hosts-файле.
Установите epel repo.
Установите все пакеты, необходимые для компиляции базы Samba 4.
Теперь скачайте пакет Samba 4 . Я использую samba-4.6.0, которая является последней версией на момент загрузки.
Теперь установите Samba 4.
Установка займет около 10 минут в зависимости от скорости системы.
Теперь мы начнем подготавливать домен.
Во время подготовки домена могут возникнуть ошибки.
Чтобы исправить их, пожалуйста, закомментируйте строку ниже ,в файле /etc/krb5.conf.
Повторите запуск домена инициализации, теперь домен будет создан без ошибок.
Убедитесь, что порты в брандмауэре открыты.
Создайте сценарий автозапуска службы во время перезагрузки.
Добавление узла Windows к домену
Пульт дистанционного управления 192.168.1.191 win 10
Убедитесь, что хост добавлен статическим IP-адресом..
Добавление хоста к домену.
Для управления samba4 с помощью Windows, мы должны иметь установленные инструменты Microsoft Remote Server (RSAT)..
Установка инструментов RSAT в Windows 10
После перезагрузки перейдите к введению dsa.msc
Выберите домен my.domain и щелкните правой кнопкой мыши новый -> Пользователи.
Создание тестового пользователя.
Аутентификация клиента Samba 4 на CentOS 7
192.168.1.22 — клиент Аутентификация — CentOS 7
Проверьте соединение с Samba 4:
Присоединение к домену.
Проверьте, способны ли мы получить пользователя от samba4..
Получите пользователя без имени домена.
Аутентификация клиента с Samba 4 на CentOS 6
192.168.1.192 — Аутентификация клиента Samba 4 на CentOS 6.
Измените файл конфигурации Kerberos..
Мы будем использовать adcli команду, для того,чтобы присоединиться к домену..
Убедитесь, что билет kerberos создан.
Изменение конфигурации SSSD , проверка подлинности..
Авторизация по SSH в Centos 7 для группы доменных пользователей
Авторизация по SSH в Centos 7
Необходимо настроить авторизацию по SSH в CentOS 7 определенной группы пользователей контроллера домена, а так же дать права sudo для этой группы пользователей
Подготовка linux сервера
Ставим утилиту для синхронизации времени
Настраиваем chrony. Оставляем только наш контроллер домена
Запускаем её и добавляем в автозагрузку
Добавляем адреса основного и резервного контроллера домена в /etc/hosts
Правим файл resolv.conf, добавляем директиву search
Подключаем CentOS 7 к контроллеру домена
Устанавливаем необходимый софт и перезагружаемся
Водим сервер с CentOS 7 в домен
Проверяем наш контроллер домена. В списке компьютеров должен появиться наш linux сервер
Что бы при подключении к серверу не надо было вводить польное имя домена (%username%@domain.local), а только %username%, меняем конфиг утилиты sssd.
Так же меняем название создаваемой директории пользователя
Разрешаем доменным пользователям создавать домашние директории
Добавляем утилиту sssd в автозагрузку и перезапускаем её
Чтобы проверить в каких группах пользователь
Чтобы заново считать данные о пользователе с контроллера домена ( почистить весь кэш), например после добавления пользователя в др. группу.
Или только для определенного пользователя
Разрешаем подключение только для группы linux_adm на контроллере домена (создали её заранее), и для пользователя user
Перезапускаем службу sssd
Для проверки ограничения доступа для пользователей контроллера домена мониторим лог-файл /var/log/secure
Ограничение доступа к sudo по доменным группам
Создаем файл (имя файла должно быть без точек)
где domain — название нашего домена, без «.local«
КАК ПРИСОЕДИНИТЬ СЕРВЕРЫ CENTOS 7 / RHEL 7 К домену Active Directory
В большинстве сред домен Active Directory является центральным центром информации для пользователя, а это значит, что для систем Linux необходимо каким-то образом получить доступ к этой пользовательской информации для запросов на аутентификацию.
В этой статье мы покажем вам, как присоединить системы CentOS 7 / RHEL 7 в домен Active Directory.
Прежде чем присоединиться к домену AD, нам необходимо убедиться, что мы установили службы времени (NTP) и DNS.
При наличии этих инфраструктурных служб нам понадобятся следующие пакеты, установленные на сервере CentOS / RHEL:
- realmd: управляет регистрацией и членством в доменах Active Directory
- samba: служба samba
- samba-common: общие инструменты для серверов и клиентов
- oddjob: Это служба D-bus, которая запускает odds задания для клиентов
- oddjob-mkhomedir: используется odds службами задания для создания домашних каталогов для учетных записей AD, если это необходимо
- sssd: демон System Security Services
- adcli: : Это инструменты для присоединения и управления доменами AD
— Используйте следующую команду для установки необходимых пакетов:
— Чтобы обнаружить идентификатор домена, мы будем использовать команду обнаружения области, которая вернет полную конфигурацию домена и список пакетов, которые должны быть установлены для системы, которая будет зарегистрирована в домене.
— Чтобы присоединиться к домену AD, добавьте компьютер в папку по умолчанию в домене AD, используя следующую команду:
— Если вы хотите добавить его в назначенный организационный блок в Active Directory, вам сначала необходимо создать подразделение или, по крайней мере, обеспечить его существование.
Следующей командой мы присоединяем сервер к домену AD и добавим учетную запись компьютера в подразделение Linux:
Если у вас есть эта ошибка:
” realm: Couldn’t join realm: Joining the domain YALLALABS.LOCAL failed“
просто перезапустите realmd и повторите попытку
— Для тестирования системы успешно присоединился домен, используя следующую команду:
— Чтобы отобразить информацию о пользователе из домена, выполните следующую команду:
— Чтобы разрешить вход в систему только определенным учетным записям из домена, используйте следующую команду:
эта команда изменит режим, чтобы разрешить доступ только к учетным записям по определенным учетным записям, а затем добавить указанные учетные записи в список разрешенных
— Чтобы разрешить только одной группе Active Directory используйте следующую команду: в этом примере мы разрешим группе ADAD LinuxAdmins войти в систему
— Чтобы предоставить разрешения sudo для группы Active Directory, в этом примере мы добавим группу ADAddins ActiveWorks в sudoers, запустив команду visudo и добавив следующую строку:
— Чтобы покинуть домен Active Directory, вы можете использовать следующую команду:
— Если вы хотите покинуть домен и удалить учетную запись компьютера, вы можете использовать дополнительный параметр -remove в конце команды