#LinuxDay4 — Вводим ALT Linux в домен Windows

Следующий шаг после установки WPS офиса в списке был — ввод Linux в домен Windows

В данной статье будет рассмотрен вопрос 🔥🔥🔥 о том, как нужно вводить компьютер под управлением ALT Linux в домен который находится на Windows Server 2012 ✅ (но версия тут не играет роли) и подготовительные шаги для этого действия, а также до настройка с подключением сетевых дисков и окна с логином ⭐️

подписывайтесь на мой канал Яндекс дзена!Вы будете первым узнавать о новых материалах!

Вводим в домен Alt Linux

Для того что ввести станцию в домен надо сначала подготовить ее к этому, для этого делаем след шаги:

1. Выставляем на станции точное время (или время равное с контроллером домена)
2. Редактируем файл /etc/resolv.conf и прописываем там ДНС контроллера домена

search имяДомена.lcl
nameserver ДНСконтроллераДомена

127.0.0.1 localhost.localdomain localhost
127.0.0.1 имяКомпа.имяДомена имяКомпа

Домен: ИМЯДОМЕНА.LCL
Рабочая группа: ИМЯДОМЕНА
Имя компьютера: имя компьютера

PS соблюдайте регистр.

Сейчас каждый подумает, что это сложно и долго, но если присмотреться, то все эти же действия мы делаем когда вводим в домен нашу станцию под Windows))) так что все не так и сложно!

Окно авторизации с логином

После ввода в домен станции, следующая глобальная проблема была с тем, что постоянно приходилось вводить логин и пароль и это очень не нравилось юзерам, а хотелось, что бы было как в windows , что бы в окне авторизации автоматически стоял логин пользователя и оставалось ввести только пароль.

что бы в В Alt Linux такое сделать нужно сделать след:

1. открыть файл /etc/lightdm/lightdm.conf
2. находим строчку greeter-hide-users и после = пишем false (greeter-hide-users = false)
   

Теперь, после того как вы зайдете в систему под юзером, он запомнит его и при повторном входе у вас уже будет заполнено поле логин. все)

Подключение к домену Windows с компьютера под управлением Linux

Большинству пользователей Linux и в голову не приходит, что они могут подключаться со своих компьютеров к домену Microsoft Windows. До сих пор это было невозможно. Приносить на работу ноутбуки под управлением Linux не запрещалось, но работать на них в домене было нельзя. Однако теперь, после очередного обновления целого ряда дистрибутивов Linux, такая возможность появилась, причем подключиться к домену Windows оказывается не так уж сложно — придется только немного отредактировать конфигурационные файлы.

В этой статье я расскажу, как подключиться к домену Windows с компьютера под управлением Linux при помощи утилиты Likewise-Open .

Скачать Likewise-Open можно с официального сайта . Выберите версию, подходящую для вашего дистрибутива. Если вы предпочитаете работать с графическим интерфейсом — выбирайте GUI-вариант.

Утилита распространяется в виде скомпилированного исполняемого двоичного файла. Чтобы ее установить, откройте окно терминала, перейдите в каталог, где хранится скачанный файл Likewise-Open и выполните следующую команду:

Затем выполните еще одну команду с правами администратора (используйте su или sudo).

Для GUI-приложения команда выглядит иначе:

XXX здесь — номер версии, YYY — архитектура вашего компьютера, а ZZZ — тип скачанного файла. Если вы выбрали GUI-приложение, завершить процесс установки вам поможет простой мастер.

Для использования этой утилиты на компьютере должен быть установлен компонент winbind. Если его нет, установите его с помощью Менеджера программ или командой sudo apt-get install winbind.

Редактирование файла «/etc/hosts»

Теперь нужно добавить данные контроллера домена в конфигурационный файл «/etc/hosts» в формате «IP_ADDRESS FDQN» (без кавычек), где «IP_ADDRESS» — это реальный IP-адрес контроллера домена, а «FDQN» — полностью определенное имя домена.

Это самый сложный момент: нужно настроить KRB5 и добавить в конфигурационный файл правильные сведения об области в следующем формате:

В этот раздел нужно добавить адрес своего контроллера домена. Учтите, что заглавные буквы используются здесь не случайно — без них конфигурация работать не будет.

После этого нужно отредактировать еще пару разделов. Во-первых, небольшой раздел над указателем [realms]. Если в файле «krb5.conf» раздела [libdefaults] нет, добавьте его:

Во-вторых, раздел [domain_realm]. Добавьте в него следующий текст:

На этом настройка KRB5 закончена.

Откройте файл «/etc/nsswitch» и добавьте в него следующие строки:

Возможно, сами строки в файле уже есть, но без «lsass». Если так — просто допишите «lsass» (без кавычек) в каждую строку.

Подключение к домену

Прежде чем запускать GUI-утилиту Likewise-Open для подключения к домену, необходимо установить сертификат на своем хост-компьютере. Для этого выполните следующую команду:

где ADMIN_ACCOUNT — имя учетной записи администратора на контроллере домена, а DOMAIN.INTERNAL — домен, к которому вы хотите подключиться. Для выполнения команды нужно ввести пароль от административной учетной записи. Чтобы убедиться, что сертификат установлен, выполните команду klist.

После этого можно запускать утилиту для подключения к домену. Для этого выполните команду sudo domainjoin-gui.

Указав необходимые регистрационные данные, нажмите кнопку «Подключиться к домену» (Join Domain). После успешного подключения выйдите и снова войдите в систему. Учтите, что имя пользователя в домене будет иметь формат «DOMAIN\username», и не забывайте, что имя пользователя в домене — это не то же самое, что имя пользователя на локальном компьютере.

Со времени своего возникновения Linux прошел большой путь, и возможность подключения к доменам Windows недвусмысленно свидетельствует о зрелости платформы. И хотя на первый взгляд, процедура выглядит довольно утомительно, подключаться посредством Samba еще труднее.

Включаем Ubuntu в состав домена Windows

Встала задача подключить ноутбук с ОС Ubuntu к домену Windows. Если в ОС Windows это сделать проще простого, то в линуксе нужно проделать небольшие манипуляции.

И так, для примера привожу нужную для дальнейшего мануала информацию:

• Компьютер-сервер с ОС Windows Server 2008 R2:
  • Имя: Server2008R2
  • Домен: myserver.com
  • Роль: контроллер домена ActiveDirectory, DNS-сервер
  • IP-адрес: 172.17.1.3
  • Маска сети: 255.255.255.0
  • Шлюз: 172.17.1.1
• Виртуальная машина с ОС Windows Server 2008 R2:
  • Имя: FileServer
  • Домен: myserver.com
  • Роль: вторичный контроллер домена ActiveDirectory с настроенной реплекацией
  • IP-адрес: 172.17.1.6
  • Маска сети: 255.255.255.0
  • Шлюз: 172.17.1.1
• Ноутбук с ОС Ubuntu 11.04:
  • Имя: LaptopUbuntu
  • Сетевые настройки: через DHCP (получает от роутера с IP-адресом 172.17.1.1)

Т.к. нашей задачей является подключить ноутбук к домену mydomain.com, то необходимо проделать следующие действия:

sudo apt-get install krb5-user ntp samba winbind

krb5-user — пакет для протокола Kerberos, который используется для аутентификации в Windows;
ntp — позволяет синхронизировать время в контроллером домена;
samba — позволяет стать членом домена;
winbind — позволяет использовать учетную запись пользователя из ActiveDirectory.

Теперь перейдем непосредственно к настройкам:

sudo gedit /etc/resolv.conf

Изменить содержимое на следующее:

domain myserver.com
search myserver.com
nameserver 172.17.1.3

Задаем нужное имя ноутбука (LaptopUbuntu) в следующем файле:

sudo gedit /etc/hostname

sudo gedit /etc/hostname

Меняем так, чтобы было (секцию IPv6 не трогаем):

127.0.0.1 localhost
172.17.1.2 LaptopUbuntu.myserver.com LaptopUbuntu

Теперь для применения изменений необходимо перезагрузить ноутбук. После перезагрузки у меня, почему-то, все отредактированные выше файлы сбросились в первоначальное содержимое. Немного подумав, я понял, что виноват тому значащийся в сетевых настройках включенный DHCP. Через Network Manager я отключил DHCP, выбрал пункт «ручная настройка», а затем опять проделал то, что написано выше. Хотя, часть значений параметров можно вписать через все тот же Network Manager.

Открываем следующий файл:

sudo gedit /etc/ntp.conf

и вписываем в него следующее:

sudo /etc/init.d/ntp restart

Далее приступим к настройке Kerberos. Редактируем файл:

sudo gedit /etc/krb5.conf

Заполняем его следующей информацией:

[libdefaults]
default_realm = MYSERVER.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true

[realms]
MYSERVER.COM = <
kdc = SERVER2008R2
kdc = FILESERVER
admin_server = SERVER2008R2
default_domain = MYSERVER.COM
>

[domain_realm]
.domain.com = MYSERVER.COM
domain.com = MYSERVER.COM
[login]
krb4_convert = false
krb4_get_tickets = false

Теперь настраиваем Samba:

sudo gedit /etc/samba/smb.conf

Приводим секцию [global] к следующему содержанию:

workgroup = MYSERVER.COM
realm = MYSERVER.COM
security = ADS
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY
domain master = no
local master = no
preferred master = no
os level = 0
domain logons = no
load printers = no
show add printer wizard = no
printcap name = /dev/null
disable spoolss = yes

Для проверки правильности заполнения конфигурационного файла Samba, можно выполнить команду testparm, которая выведет информацию о том, что в конфигурации ошибок нет, либо они есть.

Теперь перейдем к настройке Winbind, если мы хотим использовать учетные записи из ActiveDirectory у себя на ноутбуке.

Опять редактируем файл:

sudo gedit /etc/samba/smb.conf

И в секцию [global] добавляем:

idmap uid = 10000 — 40000
idmap gid = 10000 — 40000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
template shell = /bin/bash
winbind refresh tickets = yes
winbind offline logon = yes
winbind cache time = 1440

После чего необходимо перезапустить демоны:

sudo /etc/init.d/winbind stop
sudo smbd restart
sudo /etc/init.d/winbind start

Далее идем и редактируем следующий файл:

sudo gedit /etc/nsswitch.conf

Добавляем в конец строк passwd и group слово winbind, т.е. файл должнен выглядеть так:

passwd: compat winbind
group: compat winbind

И самое последнее: в файл /etc/pam.d/common-session добавить следующую строчку:

session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

Демонстрация всего того, что описано выше, будет в одной из следующих заметок.

Как подключить компьютер Linux к домену Active Directory

Организации с установленной инфраструктурой AD, которые хотят обеспечивать компьютеры Linux, могут привязать эти устройства к существующему домену.

Большинство ИТ-специалистов стараются выполнять свои задачи удаленно. Это не означает, что они не хотят пачкать руки, а скорее говорит о том, что у ИТ-шников обычно много работы, поэтому работать с умом всегда лучше, чем тратить все свои ресурсы.

Практически любая административная задача, которую вы хотите выполнить, осуществима при помощи мощного и надежного интерфейса командной строки (CLI). Это одна из областей, в которой Linux на высоте. Независимо от того, вводятся ли команды вручную, удаленно через SSH или автоматически с помощью сценариев — способность управлять хостами Linux изначально не имеет себе равных. Вооружившись этими новыми знаниями, мы направляемся непосредственно в CLI для решения этой проблемы.

Прежде чем углубляться в суть того, как выполнить эту привязку к домену, обратите внимание, что для выполнения этой задачи в статье показаны два разных (хотя и довольно похожих) процесса. Используемый процесс будет зависеть от того, какая версия ядра Linux основана на выбранном вами дистрибутиве: Debian или Red Hat (RHEL).

Присоединение дистрибутивов на основе Debian к Active Directory

Запустите терминал и введите следующую команду:

После успешной установки realmd введите следующую команду для присоединения к домену:

Введите пароль учетной записи с разрешениями для подключения устройств к домену и нажмите клавишу ввода. Если в настоящее время зависимости не загружены на хост Linux, процесс привязки инициирует их автоматическую установку.

Присоединение дистрибутивов на основе RHEL к Active Directory

Запустите терминал и введите следующую команду:

После успешной установки зависимостей введите следующую команду для присоединения к домену:

После проверки подлинности в первый раз Linux автоматически создаст файлы /etc/sssd/sssd.conf и /etc/krb.conf, а также /etc/krb5.keytab, которые управляют подключением системы и коммуникацией с Kerberos (протокол аутентификации, используемый Active Directory Microsoft).

Примечание: Зависимости устанавливаются с настройками по умолчанию. Это может работать, как корректно, так и совсем не работать в зависимости с конкретной настройкой вашей среды. Может потребоваться дополнительная настройка, прежде чем учетные записи домена могут быть аутентифицированы.

Подтвердите, что домен успешно присоединен

В Терминале введите следующую команду для получения списка домена вместе с набором информации о конфигурации:

Кроме того, вы всегда можете проверить свойства объекта компьютера в «Active Directory — пользователи и компьютеры», чтобы убедиться, что он был создан и имеет правильные доверительные отношения, установленные между хостом и AD.