Системное администрирование Linux
2017-11-13 16:53:18 7542 0
Добавление CentOs 7 в домен Windows
В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.
Отключаем SELINUX
sed -i «s/SELINUX=enforcing/SELINUX=disabled/» /etc/selinux/config
Установка iptables
systemctl stop firewalld
systemctl disable firewalld
yum install -y iptables-services
После установки запускаем iptables
systemctl start iptables
systemctl enable iptables
Устанавливаем необходимые пакеты:
yum install -y authconfig samba samba-winbind samba-client \
Настройка DNS
Указываем в качестве DNS сервера наш контроллер домена
Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена
Проверяем что имя домена резолвится
Присоединение сервера к домену
Запускаем утилиту authconfig-tui
Указываем:
Информация пользователя — Использовать Winbind
Аутентификация — Использовать Kerberos
Заполняем следующие поля:
- Область — область kerberos, совпадает с именем домена в верхнем регистре;
- KDC(Key Distribution Center ) — kerberos сервер, выступает как сервер по управлению и хранению билетов;
- Сервер администратор — совпадает с KDC;
- Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.
Заполняем следующие поля:
- Модель защиты — выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
- Домен — вводим NetBios имя домена, без конечно части;
- Контроллеры домена — указываем адреса контроллеров домена;
- Область ADS — совпадает с именем домена;
- Оболочка шаблона — указывает какую оболочку будут иметь доменные пользователи на linux машине.
Запускаем демон Winbind
systemctl start winbind
systemctl enable winbind
Далее производим присоединение к домену
net ads join -U Administrator
Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:
Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки
Для проверки можно использовать утилиту wbinfo и getent
Покажет пользователей домена:
Покажет группы домена:
Команда «getent passwd» и «getent group» отобразит локальные учетные записи + доменные и точно так же группы соответственно
Для использования доменных учетных записей необходимо сделать следующее:
Изменить значение директивы «winbind use default domain» в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.
Добавить директиву «winbind separator» в файл /etc/samba/smb.conf
Что указывает символ отделения имени домена от имени пользователя.
Системное администрирование Linux
2017-11-13 16:53:18 7541 0
Добавление CentOs 7 в домен Windows
В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.
Отключаем SELINUX
sed -i «s/SELINUX=enforcing/SELINUX=disabled/» /etc/selinux/config
Установка iptables
systemctl stop firewalld
systemctl disable firewalld
yum install -y iptables-services
После установки запускаем iptables
systemctl start iptables
systemctl enable iptables
Устанавливаем необходимые пакеты:
yum install -y authconfig samba samba-winbind samba-client \
Настройка DNS
Указываем в качестве DNS сервера наш контроллер домена
Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена
Проверяем что имя домена резолвится
Присоединение сервера к домену
Запускаем утилиту authconfig-tui
Указываем:
Информация пользователя — Использовать Winbind
Аутентификация — Использовать Kerberos
Заполняем следующие поля:
- Область — область kerberos, совпадает с именем домена в верхнем регистре;
- KDC(Key Distribution Center ) — kerberos сервер, выступает как сервер по управлению и хранению билетов;
- Сервер администратор — совпадает с KDC;
- Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.
Заполняем следующие поля:
- Модель защиты — выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
- Домен — вводим NetBios имя домена, без конечно части;
- Контроллеры домена — указываем адреса контроллеров домена;
- Область ADS — совпадает с именем домена;
- Оболочка шаблона — указывает какую оболочку будут иметь доменные пользователи на linux машине.
Запускаем демон Winbind
systemctl start winbind
systemctl enable winbind
Далее производим присоединение к домену
net ads join -U Administrator
Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:
Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки
Для проверки можно использовать утилиту wbinfo и getent
Покажет пользователей домена:
Покажет группы домена:
Команда «getent passwd» и «getent group» отобразит локальные учетные записи + доменные и точно так же группы соответственно
Для использования доменных учетных записей необходимо сделать следующее:
Изменить значение директивы «winbind use default domain» в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.
Добавить директиву «winbind separator» в файл /etc/samba/smb.conf
Что указывает символ отделения имени домена от имени пользователя.
Centos ввод в домен windows
Представим ситуацию — есть машина c OC Linux, данную машину необходимо ввести в домен Windows, настроить вход в систему только тем пользователям, которые являются членами определенной группы в AD.
Примечание: ниже в статье все действия будут происходить на примере CentOS.
Установка samba-winbind
Создание А записи в DNS
- В Windows открываем консоль DNS — Forward Lookup Zones
- Создаем А запись, указываем имя машины и IP
Ввод в домен CentOS
В открывшемся окне, необходимо выбрать \ указать:
- User Account Database: Winbind
- Winbind Domain: DOMAIN
- Secutity Model: ads
- Winbind ADS Realm: DOMAIN.LOCAL
- Winbind Domain Controllers: DC01
- Template Shell: /bin/shell
- На вкладке Advanced Options, при необходимости отметить параметр: Create home directories on the first login
- Перейти на вкладку — Identity & Authentication, нажать кнопку — Join Domain.
- На запрос сохранения, необходимо нажать Save
Проверка
Для начала необходимо убедиться, что учетная запись создалась, смотрим дефолтную OU Computers в AD
Примечание: перед просмотром не забываем обновить отображение элементов
Если учетная запись существует, пробуем совершить вход в систему посредством учетной записи домена, все хорошо но на данную машину возможно совершать вход под любой учетной записью, здесь нужно немного безопасности.
Вход только членам определенной группы в AD
- Для этих целей необходимо создать группу или выбрать уже существующую
- Добавить членов, к примеру — Domain Admins, User1, User2
- Открыть файл — /etc/security/pam_winbind.conf
- Раскомментировать параметр — require_membership_of
- После знака равно, написать имя группы
После проведения всех действий, попробовать совершить вход в систему под различными учетными записями.
Примечание: формат логина должен содержать имя домена т.е. — domain\username
В Fedora пришлось доустановить winbind такой командой: yum -y install samba-winbind samba samba-winbind-krb5-locator