Alt linux ddjl d ljvty

Домен/Windows

Использование домена для аутентификации компьютеров с Windows. ALT-домен можно использовать для следующих возможностей:

• аутентификация пользователей для входа в систему;
• предоставление файловых ресурсов (общего ресурса и домашней папки с сервера) без ввода дополнительного пароля;

Примечание: в конфигурации по умолчанию не предусмотрена работа с профилями.

Возможность ввода Windows в ALT-домен появилась с alterator-net-domain-0.4-alt13[1] и ldap-user-tools-0.8.1-alt1[2] .

Содержание

Настройка на сервере [ править ]

Создайте домен в модуле «Домен». При показе состояния домена в этом модуле показывается рабочая группа:

В скобках показывается установленное имя домена для Windows.

Права доступа [ править ]

• Для того, чтобы завести пользователей в домен под Windows требуются права администратора домена. Эти права имеют пользователи, входящие в группу admins в модуле «Группы».
• Для пользователей, входящих в группу Domain Users (или группу users в LDAP) имеется доступ на диски
  • S: общая папка на сервере (ресурс share )
  • Z: (домашняя папка пользователя на сервере с создаваемым подкаталогом profile ).

По умолчанию в эту группу добавляются все новые пользователи.

Настройка на клиенте [ править ]

1. Нажмите правой кнопкой мыши по значку «Мой компьютер» и выберите пункт «Свойства» (быстро этот можно сделать, нажав Win+Pause ).

2. В появившемся окне перейдите на вкладку «Имя компьютера» и нажмите кнопку «Изменить…»

3. В окне «Изменение имени компьютера» установите переключатель на пункт Является членом домена и введите имя домена (точное имя домена можно посмотреть у пункта Samba в разделе «Домен» Центра управления сервера ALT Linux). Затем нажмите кнопку «OK» .

4. Для ввода компьютера в домен потребуется указать имя и пароль пользователя, имеющего права вводить в домен. На сервере это пользователи группы admins . Введите имя в поле «Пользователь» и пароль этого пользователя в поле «Пароль». Затем нажмите кнопку «OK» .

5. При указании правильных данных появится диалоговое окно, подтверждающее регистрацию компьютера в домене.

7. В окне входа нажмите кнопку «Параметры >>»

8. В выпадающем списке «Вход в» выберите свой домен.

9. Введите имя зарегистрированного на сервере пользователя в поле «Пользователь» и пароль этого пользователя в поле «Пароль». Затем нажмите кнопку «OK» .

При указании правильного имени пользователя и пароля вы войдёте в систему и можете работать.

Вход в ALT-домен систем на Windows 7/8 [ править ]

Для входа в ALT-домен компьютеров под управлением Windows 7/8 запустите regedit , найдите раздел параметров LanManWorkstation и добавьте два параметра (DWORD 32бита):

Внимание! Перезагрузите Windows или перезапустите службу LanmanWorkstation после добавления этих параметров.

Если вы изменяли параметры Netlogon, проверьте, чтобы было установлено

После этого можно зарегистрироваться штатным способом.

Для снижения времени входа на Windows 7 рекомендуется поправить параметры:

Источник

Alterator-net-domain

Содержание

Название пакета [ править ]

Назначение [ править ]

Модуль Домен предназначен для развертывания доменной структуры.

Поддерживает следующие виды доменов:

• ALT-домен — домен, основанный на OpenLDAP и MIT Kerberos.
• Active Directory — домен для контроллера домена Samba AD. Рекомендуется для аутентификации рабочих станций под управлением и Windows и Linux.
• FreeIPA — домен для контроллера домена FreeIPA. Рекомендуется для аутентификации рабочих станций под управлением Linux.
• DNS — обслуживание только запросов DNS указанного домена сервисом BIND.

Запуск [ править ]

Модуль alterator-net-domain доступен в веб-интерфейсе по адресу https://ip-address:8080 (раздел Система → Домен ):

Использование модуля [ править ]

Имя домена должно соответствовать RFC 1035 и удовлетворять следующим правилам:

1. Имя домена должно состоять из одного или нескольких компонентов, разделённых точками.
2. Компоненты имени домена должны начинаться со строчной или прописной латинской буквы, заканчиваться на латинскую букву или цифру, содержать латинские буквы, цифры и символ «-».
3. Компонент имени домена не должен превышать 63 символов.
4. Имя домена не должно содержать компоненты «localhost», «localdomain» и «local», которые зарезервированы для служебных целей.

Примеры: domain, school-33, department.company

ALT-домен [ править ]

В этой группе настраивается домен LDAP/Kerberos, который позволяет:

• вести централизованную базу пользователей и групп;
• аутентифицировать пользователей и предоставлять им доступ к сетевым службам без повторного ввода пароля;
• использовать единую базу пользователей для файлового сервера, прокси-сервера, веб-приложений (например, MediaWiki);
• автоматически подключать файловых ресурсов с серверов, анонсированных по Zeroconf;
• использовать тонкие клиенты, загружаемые по сети и использующие сетевые домашние каталоги;
• аутентифицировать пользователей как на ALT Linux, так и на Microsoft Windows.

Основная документация по настройке и использованию домена: http://www.altlinux.org/Домен

Создание домена [ править ]

Создание домена производится путём ввода имени домена, отметки пункта «ALT-домен» и нажатии кнопки «Применить».

После успешного создания домена необходимо перезагрузить компьютер.

Управлять учётными записями пользователей, централизованно хранящимися в LDAP, можно в модуле Пользователи, настраивать группы в модуле Группы.

Настройка рабочих станций [ править ]

Настройка рабочих станций для использования централизованной аутентификации производится в центре управления системы в разделе Аутентификация:

При установке по сети с настроенного сервера домена, централизованная аутентификация настраивается автоматически.

Active Directory [ править ]

Инициализация домена [ править ]

При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:

1. В модуле Ethernet-интерфейсы указать желаемое имя компьютера и DNS 127.0.0.1:
2. В модуле Домен указать имя домена, выбрать пункт «Active Directory», задать пароль администратора домена и нажать кнопку «Применить»:
3. После успешного создания домена, будет выведена информация о домене:
4. Перегрузить сервер.

Настройка рабочих станций [ править ]

Предварительно в модуле Ethernet-интерфейсы необходимо выполнить настройку сети: задать имя компьютера, указать в поле «DNS-серверы» DNS-сервер домена и в поле «Домены поиска» — домен для поиска:

Ввод в домен можно осуществить в разделе Аутентификация:

1. Выбрать пункт «Домен Active Directory», заполнить поля и нажать кнопку «Применить»:
2. В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
3. При успешном подключении к домену, отобразится соответствующая информация:
4. Перезагрузить рабочую станцию.

FreeIPA [ править ]

Инициализация домена [ править ]

При инициализации домена в веб-интерфейсе ЦУС следует выполнить следующие действия:

1. В модуле Ethernet-интерфейсы указать желаемое имя компьютера:
2. В модуле Домен указать имя домена, выбрать пункт «FreeIPA», задать пароль администратора домена и нажать кнопку «Применить»:
3. Дождаться создания домена.
4. Перегрузить сервер.

Настройка рабочих станций [ править ]

Клиентские компьютеры должны быть настроены на использование DNS-сервера, который был сконфигурирован на сервере FreeIPA во время его установки. В сетевых настройках необходимо указать использовать сервер FreeIPA для разрешения имен. Эти настройки можно выполнить в модуле Ethernet-интерфейсы: задать имя компьютера, указать в поле «DNS-серверы» IP-адрес FreeIPA сервера и в поле «Домены поиска» — домен для поиска

Ввод в домен можно осуществить в разделе Аутентификация:

1. Выбрать пункт «Домен FreeIPA», заполнить поля и нажать кнопку «Применить»:
2. В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»:
3. При успешном подключении к домену, отобразится соответствующая информация:
4. Перезагрузить рабочую станцию.

Только DNS [ править ]

Если отмечен пункт «Только DNS» сервер будет обслуживать только запросы DNS.

Источник

#LinuxDay4 — Вводим ALT Linux в домен Windows

Следующий шаг после установки WPS офиса в списке был — ввод Linux в домен Windows

В данной статье будет рассмотрен вопрос 🔥🔥🔥 о том, как нужно вводить компьютер под управлением ALT Linux в домен который находится на Windows Server 2012 ✅ (но версия тут не играет роли) и подготовительные шаги для этого действия, а также до настройка с подключением сетевых дисков и окна с логином ⭐️

подписывайтесь на мой канал Яндекс дзена!Вы будете первым узнавать о новых материалах!

Вводим в домен Alt Linux

Для того что ввести станцию в домен надо сначала подготовить ее к этому, для этого делаем след шаги:

1. Выставляем на станции точное время (или время равное с контроллером домена)
2. Редактируем файл /etc/resolv.conf и прописываем там ДНС контроллера домена

search имяДомена.lcl
nameserver ДНСконтроллераДомена

127.0.0.1 localhost.localdomain localhost
127.0.0.1 имяКомпа.имяДомена имяКомпа

Домен: ИМЯДОМЕНА.LCL
Рабочая группа: ИМЯДОМЕНА
Имя компьютера: имя компьютера

PS соблюдайте регистр.

Сейчас каждый подумает, что это сложно и долго, но если присмотреться, то все эти же действия мы делаем когда вводим в домен нашу станцию под Windows))) так что все не так и сложно!

Окно авторизации с логином

После ввода в домен станции, следующая глобальная проблема была с тем, что постоянно приходилось вводить логин и пароль и это очень не нравилось юзерам, а хотелось, что бы было как в windows , что бы в окне авторизации автоматически стоял логин пользователя и оставалось ввести только пароль.

что бы в В Alt Linux такое сделать нужно сделать след:

1. открыть файл /etc/lightdm/lightdm.conf
2. находим строчку greeter-hide-users и после = пишем false (greeter-hide-users = false)
   

Теперь, после того как вы зайдете в систему под юзером, он запомнит его и при повторном входе у вас уже будет заполнено поле логин. все)

Источник

Домен/Windows/Manual

Предполагается, что домен ALT Linux создан должным образом и работает.

Содержание

Настройка сервера [ править ]

1. В секции [global] файла /etc/samba/smb.conf добавьте:

Внимание! При использовании домена в Windows будет использоваться имя рабочей группы WORKGROUP (параметр workgroup в /etc/samba/smb.conf). Вы можете поменять его на имя ALT-домена:

Если хотите автоматически подключать общую папку (ресурс share на сервере как диск S: ), то выполните следующее:

2. Перезапустите службу smb и запустите службу nmb:

Службу nmb нужно добавить в автоматический запуск:

3. Обновите ldap-user-tools до версии 0.8.0 или более позднее.

Создание групп и выдача административных привилегий [ править ]

1. Сначала нужно назначить пользователя-администратора. Для прав на выдачу привилегий у него должен быть uid равный 0. Тогда он может назначать привилегии через net rpc rights . Заведите временно пользователя в LDAP (например, admin), задайте ему пароль и поменяйте uidNumber так:

2. В LDAP создайте группы через веб-интерфейс или из командной строки:

Эти группы понадобятся для привязки к группам домена согласно таблице:

Группа LDAP	Группа Windows	Идентификатор в Windows
Admins	Domain Admins	512
Users	Domain Users	513
Guests	Domain Guests	514
Computers	Domain Computers	515

Добавьте туда пользователей через веб-интерфейс или из командной строки:

3. Привяжите группы LDAP к группам домена

Примечание: Обратите внимание, пароль можно указывать у имени пользоватeля через «%».

4. Выдайте привилегии для группы Domain Admins :

Проверка (просмотр всех привилегий по группам):

Примечание: обратите внимание, что для заведения компьютера в домен нужно входить в группу с привилегией SeMachineAccountPrivilege.

5. Чтобы не было коллизий с системным пользователем root, после операции по назначению группы и привилегий этого пользователя нужно удалить или восстановить его UID:

6. Проверяем вход в домен администратора cas:

Примечание: проверять вход в домен на сервере следует от пользователя, входящего в группу ‘Domain Admins’. Остальным это запрещено. Список зарегистрированных компьютеров можно посмотреть командой:

Всё в порядке, можно вводить компьютеры с Windows в наш домен.

Права доступа [ править ]

По умолчанию разрешено входить всех доступным пользователям. Посмотреть их список на сервере можно командой:

Для пользователей, входящих в группу Domain Users (или группу Users в LDAP) имеется доступ на диск Z: (домашняя папка пользователя на сервере с создаваемым подкаталогом profile ).

Список входящих в эту группу:

Скрипт при входе [ править ]

При входе можно запускать скрипт в формате bat. Для этого в /etc/samba/smb.conf нужно добавить раздел описания ресурса netlogon :

Подразумевается, что скрипт netlogon.bat помещается в созданный каталог /etc/samba/netlogon . Сам скрипт объявляется в разделе [global] файла /etc/samba/smb.conf так:

Примечание: концы строк в файле bat должны быть в стиле dos (\r\n) (режим :set ff=dos в vim).

Решение проблем [ править ]

Если что-то пошло не так. [ править ]

Если в результате экспериментов сломались привилегии или что-нибудь ещё, нужно очистить внутренние базы Samba. Выполните

Отладка Samba [ править ]

Полезно включить уровень отладки 5 в /etc/samba/smb.conf:

После этого необходимо перечитать конфигурацию:

Подробный журнал работы Samba вы можете найти в файле /var/log/samba/log.main .

Смена имени сервера Samba [ править ]

Так как при создании нового пользователя в домене для него прописывается SID, при смене имени сервера серверная часть SID меняется и пользователи со старыми SID уже недоступны, показывается примерно такое

При этом новые пользователи заводятся уже с правильным SID. Для исправления ситуации со старыми пользователями нужно выполнить следующий скрипт:

После этого команда

должна показать имена всех пользователей.

Нюансы реализации [ править ]

1. Для заведения компьютеров в домен потребовалось добавить тип posixAccount (для поиска имени компьютера используется getent passwd , хотя это совершенно странно), заводить одноимённую группу и сделать её основной для posixAccount . Более того, при указании при создании рабочей станции типа sambaSAMAccount вход в домен с первой попытке не сработает, потребуется второй раз входить.
2. Для заведения доверенных компьютеров необходимо использовать ldap-useradd -w -i . Имя компьютера в таком случае содержит в конце символ $ .
3. Длина имени workgroup не должна превышать 15 символов (см. http://en.wikipedia.org/wiki/NetBIOS#NetBIOS_name)

Известные проблемы [ править ]

1. Windows 7 сообщает о том, что невозможно сменить имя DNS основного контроллера домена для компьютера, вводимого в домен
2. net sam listmem ‘Domain Users’ не показывает пользователей, хотя они находятся в группе
3. При добавлении пользователя

Пользователь при этом создаётся, пароль не устанавливается.

Ещё проблема+решение ниже: при попытке подключения к samba-шаре по из-под Windows XP и с МФУ (т.н. сканирование в папку SMB) логин и пароль не принимаются, возникает ошибка:

Источник