Системное администрирование Linux
2017-11-13 16:53:18 7546 0
Добавление CentOs 7 в домен Windows
В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.
Отключаем SELINUX
sed -i «s/SELINUX=enforcing/SELINUX=disabled/» /etc/selinux/config
Установка iptables
systemctl stop firewalld
systemctl disable firewalld
yum install -y iptables-services
После установки запускаем iptables
systemctl start iptables
systemctl enable iptables
Устанавливаем необходимые пакеты:
yum install -y authconfig samba samba-winbind samba-client \
Настройка DNS
Указываем в качестве DNS сервера наш контроллер домена
Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена
Проверяем что имя домена резолвится
Присоединение сервера к домену
Запускаем утилиту authconfig-tui
Указываем:
Информация пользователя — Использовать Winbind
Аутентификация — Использовать Kerberos
Заполняем следующие поля:
- Область — область kerberos, совпадает с именем домена в верхнем регистре;
- KDC(Key Distribution Center ) — kerberos сервер, выступает как сервер по управлению и хранению билетов;
- Сервер администратор — совпадает с KDC;
- Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.
Заполняем следующие поля:
- Модель защиты — выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
- Домен — вводим NetBios имя домена, без конечно части;
- Контроллеры домена — указываем адреса контроллеров домена;
- Область ADS — совпадает с именем домена;
- Оболочка шаблона — указывает какую оболочку будут иметь доменные пользователи на linux машине.
Запускаем демон Winbind
systemctl start winbind
systemctl enable winbind
Далее производим присоединение к домену
net ads join -U Administrator
Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:
Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки
Для проверки можно использовать утилиту wbinfo и getent
Покажет пользователей домена:
Покажет группы домена:
Команда «getent passwd» и «getent group» отобразит локальные учетные записи + доменные и точно так же группы соответственно
Для использования доменных учетных записей необходимо сделать следующее:
Изменить значение директивы «winbind use default domain» в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.
Добавить директиву «winbind separator» в файл /etc/samba/smb.conf
Что указывает символ отделения имени домена от имени пользователя.
Vladimir Drach. Official Web-Site. — Личный сайт Владимира Драча
Самба 4: Установка контроллера домена на CentOS 7
Понедельник, 10 Апрель 2017 20:56
Начиная с версии 4.0, Самба может работать как контроллер домена (ДК) Active Directory (AD). В этой статье показано, как настроить Samba 4 в качестве контроллера домена с Windows 10 в CentOS 7 и CentOS 6.
Понадобится 3 операционные системы, первая сервер CentOS 7, вторая Windows 10 клиент для удаленного управления, и CentOS 7 (CentOS 6).
Статья является более углублённым материалом по сравнению с опубликованной ранее методикой.
192.168.1.190 Samba4 AD centos7 Пульт дистанционного управления 192.168.1.191 win 10 192.168.1.22 — клиент Аутентификация — CentOS 7 192.168.1.192 — Аутентификация клиента Samba 4 на CentOS 6
192.168.1.190 Samba4 AD centos7
Основой является система CentOS 7 с минимальной установкой и отключенным selinux.
Сделайте запись в /etc/hosts-файле.
Установите epel repo.
Установите все пакеты, необходимые для компиляции базы Samba 4.
Теперь скачайте пакет Samba 4 . Я использую samba-4.6.0, которая является последней версией на момент загрузки.
Теперь установите Samba 4.
Установка займет около 10 минут в зависимости от скорости системы.
Теперь мы начнем подготавливать домен.
Во время подготовки домена могут возникнуть ошибки.
Чтобы исправить их, пожалуйста, закомментируйте строку ниже ,в файле /etc/krb5.conf.
Повторите запуск домена инициализации, теперь домен будет создан без ошибок.
Убедитесь, что порты в брандмауэре открыты.
Создайте сценарий автозапуска службы во время перезагрузки.
Добавление узла Windows к домену
Пульт дистанционного управления 192.168.1.191 win 10
Убедитесь, что хост добавлен статическим IP-адресом..
Добавление хоста к домену.
Для управления samba4 с помощью Windows, мы должны иметь установленные инструменты Microsoft Remote Server (RSAT)..
Установка инструментов RSAT в Windows 10
После перезагрузки перейдите к введению dsa.msc
Выберите домен my.domain и щелкните правой кнопкой мыши новый -> Пользователи.
Создание тестового пользователя.
Аутентификация клиента Samba 4 на CentOS 7
192.168.1.22 — клиент Аутентификация — CentOS 7
Проверьте соединение с Samba 4:
Присоединение к домену.
Проверьте, способны ли мы получить пользователя от samba4..
Получите пользователя без имени домена.
Аутентификация клиента с Samba 4 на CentOS 6
192.168.1.192 — Аутентификация клиента Samba 4 на CentOS 6.
Измените файл конфигурации Kerberos..
Мы будем использовать adcli команду, для того,чтобы присоединиться к домену..
Убедитесь, что билет kerberos создан.
Изменение конфигурации SSSD , проверка подлинности..
Centos 7 windows domain
Представим ситуацию — есть машина c OC Linux, данную машину необходимо ввести в домен Windows, настроить вход в систему только тем пользователям, которые являются членами определенной группы в AD.
Примечание: ниже в статье все действия будут происходить на примере CentOS.
Установка samba-winbind
Создание А записи в DNS
- В Windows открываем консоль DNS — Forward Lookup Zones
- Создаем А запись, указываем имя машины и IP
Ввод в домен CentOS
В открывшемся окне, необходимо выбрать \ указать:
- User Account Database: Winbind
- Winbind Domain: DOMAIN
- Secutity Model: ads
- Winbind ADS Realm: DOMAIN.LOCAL
- Winbind Domain Controllers: DC01
- Template Shell: /bin/shell
- На вкладке Advanced Options, при необходимости отметить параметр: Create home directories on the first login
- Перейти на вкладку — Identity & Authentication, нажать кнопку — Join Domain.
- На запрос сохранения, необходимо нажать Save
Проверка
Для начала необходимо убедиться, что учетная запись создалась, смотрим дефолтную OU Computers в AD
Примечание: перед просмотром не забываем обновить отображение элементов
Если учетная запись существует, пробуем совершить вход в систему посредством учетной записи домена, все хорошо но на данную машину возможно совершать вход под любой учетной записью, здесь нужно немного безопасности.
Вход только членам определенной группы в AD
- Для этих целей необходимо создать группу или выбрать уже существующую
- Добавить членов, к примеру — Domain Admins, User1, User2
- Открыть файл — /etc/security/pam_winbind.conf
- Раскомментировать параметр — require_membership_of
- После знака равно, написать имя группы
После проведения всех действий, попробовать совершить вход в систему под различными учетными записями.
Примечание: формат логина должен содержать имя домена т.е. — domain\username
В Fedora пришлось доустановить winbind такой командой: yum -y install samba-winbind samba samba-winbind-krb5-locator