Меню Рубрики

Centos ввод в домен windows

Системное администрирование Linux

2017-11-13 16:53:18 7542 0

Добавление CentOs 7 в домен Windows

В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.

Отключаем SELINUX

sed -i “s/SELINUX=enforcing/SELINUX=disabled/” /etc/selinux/config

Установка iptables

systemctl stop firewalld

systemctl disable firewalld

yum install -y iptables-services

После установки запускаем iptables

systemctl start iptables

systemctl enable iptables

Устанавливаем необходимые пакеты:

yum install -y authconfig samba samba-winbind samba-client \

Настройка DNS

Указываем в качестве DNS сервера наш контроллер домена

Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена

Проверяем что имя домена резолвится

Присоединение сервера к домену

Запускаем утилиту authconfig-tui

Указываем:
Информация пользователя – Использовать Winbind
Аутентификация – Использовать Kerberos

Заполняем следующие поля:

  • Область – область kerberos, совпадает с именем домена в верхнем регистре;
  • KDC(Key Distribution Center ) – kerberos сервер, выступает как сервер по управлению и хранению билетов;
  • Сервер администратор – совпадает с KDC;
  • Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.

Заполняем следующие поля:

  • Модель защиты – выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
  • Домен – вводим NetBios имя домена, без конечно части;
  • Контроллеры домена – указываем адреса контроллеров домена;
  • Область ADS – совпадает с именем домена;
  • Оболочка шаблона – указывает какую оболочку будут иметь доменные пользователи на linux машине.

Запускаем демон Winbind

systemctl start winbind

systemctl enable winbind

Далее производим присоединение к домену

net ads join -U Administrator

Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:

Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки

Для проверки можно использовать утилиту wbinfo и getent

Покажет пользователей домена:

Покажет группы домена:

Команда “getent passwd” и “getent group” отобразит локальные учетные записи + доменные и точно так же группы соответственно

Для использования доменных учетных записей необходимо сделать следующее:

Изменить значение директивы “winbind use default domain” в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.

Добавить директиву “winbind separator” в файл /etc/samba/smb.conf

Что указывает символ отделения имени домена от имени пользователя.

Источник

Системное администрирование Linux

2017-11-13 16:53:18 7541 0

Добавление CentOs 7 в домен Windows

В развитой инфраструктуре, где имеется большое количество рабочих станций и серверов, управлением учетными записями обычно осуществляется посредством Windows Active Directory. Поэтому управление линукс серверами так же удобнее осуществлять через централизованное хранение учетных записей. Рассмотрим пример добавления линуксовой машины с операционной системой CentOs7 в домен Windows.

Отключаем SELINUX

sed -i “s/SELINUX=enforcing/SELINUX=disabled/” /etc/selinux/config

Установка iptables

systemctl stop firewalld

systemctl disable firewalld

yum install -y iptables-services

После установки запускаем iptables

systemctl start iptables

systemctl enable iptables

Устанавливаем необходимые пакеты:

yum install -y authconfig samba samba-winbind samba-client \

Настройка DNS

Указываем в качестве DNS сервера наш контроллер домена

Если на сервере настроен DHCP, то убедитесь что сервер получает правильные настройки dns-сервера и домена

Проверяем что имя домена резолвится

Присоединение сервера к домену

Запускаем утилиту authconfig-tui

Указываем:
Информация пользователя – Использовать Winbind
Аутентификация – Использовать Kerberos

Заполняем следующие поля:

  • Область – область kerberos, совпадает с именем домена в верхнем регистре;
  • KDC(Key Distribution Center ) – kerberos сервер, выступает как сервер по управлению и хранению билетов;
  • Сервер администратор – совпадает с KDC;
  • Остальные два пункта говорят нам использовать DNS для определения имен серверов и KDC для областей.

Заполняем следующие поля:

  • Модель защиты – выбираем ads(означает, что используются протоколы, совместимые со службами ADS Windows 2008R2);
  • Домен – вводим NetBios имя домена, без конечно части;
  • Контроллеры домена – указываем адреса контроллеров домена;
  • Область ADS – совпадает с именем домена;
  • Оболочка шаблона – указывает какую оболочку будут иметь доменные пользователи на linux машине.

Запускаем демон Winbind

systemctl start winbind

systemctl enable winbind

Далее производим присоединение к домену

net ads join -U Administrator

Указываем пользователя под которым будем присоединять сервер и вводим его пароль, должны увидеть следующее:

Для того чтобы пользователи и группы домена отображались на сервере и вы могли получать доступ к ним, необходимо в файле /etc/samba/smb.conf добавить строки

Для проверки можно использовать утилиту wbinfo и getent

Покажет пользователей домена:

Покажет группы домена:

Команда “getent passwd” и “getent group” отобразит локальные учетные записи + доменные и точно так же группы соответственно

Для использования доменных учетных записей необходимо сделать следующее:

Изменить значение директивы “winbind use default domain” в файле /etc/samba/smb.conf с false на true, что говорит использовать домен winbind по-умолчанию. И мы можем указывать доменных пользователей без приставки домена.

Добавить директиву “winbind separator” в файл /etc/samba/smb.conf

Что указывает символ отделения имени домена от имени пользователя.

Источник

Centos ввод в домен windows

Представим ситуацию – есть машина c OC Linux, данную машину необходимо ввести в домен Windows, настроить вход в систему только тем пользователям, которые являются членами определенной группы в AD.

Примечание: ниже в статье все действия будут происходить на примере CentOS.

Установка samba-winbind

Создание А записи в DNS

  • В Windows открываем консоль DNS – Forward Lookup Zones
  • Создаем А запись, указываем имя машины и IP

Ввод в домен CentOS

В открывшемся окне, необходимо выбрать \ указать:

  • User Account Database: Winbind
  • Winbind Domain: DOMAIN
  • Secutity Model: ads
  • Winbind ADS Realm: DOMAIN.LOCAL
  • Winbind Domain Controllers: DC01
  • Template Shell: /bin/shell
  • На вкладке Advanced Options, при необходимости отметить параметр: Create home directories on the first login
  • Перейти на вкладку – Identity & Authentication, нажать кнопку – Join Domain.
  • На запрос сохранения, необходимо нажать Save

Проверка

Для начала необходимо убедиться, что учетная запись создалась, смотрим дефолтную OU Computers в AD

Примечание: перед просмотром не забываем обновить отображение элементов

Если учетная запись существует, пробуем совершить вход в систему посредством учетной записи домена, все хорошо но на данную машину возможно совершать вход под любой учетной записью, здесь нужно немного безопасности.

Вход только членам определенной группы в AD

  • Для этих целей необходимо создать группу или выбрать уже существующую
  • Добавить членов, к примеру – Domain Admins, User1, User2
  • Открыть файл – /etc/security/pam_winbind.conf
  • Раскомментировать параметр – require_membership_of
  • После знака равно, написать имя группы

После проведения всех действий, попробовать совершить вход в систему под различными учетными записями.

Примечание: формат логина должен содержать имя домена т.е. – domain\username

В Fedora пришлось доустановить winbind такой командой: yum -y install samba-winbind samba samba-winbind-krb5-locator

Источник


Adblock
detector