Rosa linux active directory

Samba

Содержание

Введение и терминология

В этой статье описано создание домена — централизированного хранилища пользователей и их аттрибутов.

Контроллер домена — программное оебспечение, обеспечивающее создание и функционирование сервера домена. В данном случае в качестве контроллера домена используется samba.

AD — Active Directory — домен разработки Microsoft. Samba реализует Samba AD — совместимый с Microsoft Active Directory домен, в который можно вводить и Linux, и Windows-клиенты.

Клиент — конечный член домена или ПО, позволяющее обспечить членство в домене.

В статье описывается создание лабораторной установки, состоящей из 1 сервера и 1 клиента, находящихся в одной подсети 192.168.122.0/24.

Все приведенные консольные команды выполняются от root, если не указано иное. Вход в root-коноль выполняется командой

В качестве образа ОС для развертывания контроллера домена Samba AD можно взять:

По адресу https://abf.io/platforms/rosa2021.1/products имеются иные сборки, в т.ч. для ARMv8 (aarch64).

Настройка контроллера домена

Настройка сети

Важно правильно настроить сеть на клиенте и сервере. В простых случаях, в т.ч. при поднятии тестовых стендов, делайте так, чтобы клиент и сервер находились в одной подсети. Например, чтобы у виртуальной машины с сервером был IP-адрес 192.168.10.2, а у виртуальной машины с клиентом — 192.168.10.3.

Рассмотрим настройку сети на сервере.

Установите полноквалифицированное (FQDN) доменное имя, состоящее из: имя_хоста.домен.зона, например:

Тогда именем хоста будет server1, доменом — samba, доменной зоной — loc, realm — samba.loc.

Избегайте использования зоны .local или выключите или перенастройте Avahi, чтобы использовать ее.

Установим имя хоста на контроллере домена:

Посмотрите IP-адрес командой

В данном примере IPv4-адрес — 192.168.122.12.

В файл /etc/hosts необходимо добавить строку вида:

Как видите, необходимо, чтобы и FQDN, и краткое имя резолвились в IP-адрес контроллера домена. Для этого откройте файл к консольном редакторе:

добавьте указанную строку, сохраните сочетанием клавиш Ctrl+O, Enter, затем закройте консольный редактор сочетанием клавиш Ctrl+X.

проверьте корректность записей в /etc/hosts.

Обратите внимание, что сеть должна запускаться до входа пользователя в систему, если используется WiFi, то настройте его соответствующим образом.

Запуск контроллера домена

Установите необходимые для работы пакеты. На ROSA 2021.1 (>= R12) и rosa2019.05:

На ROSA 2016.1 (R11):

Отключите лишние службы из состава набора программ samba:

Их обособленная работа не требуется и будет мешать контроллеру домена.

Убедитесь, что они действительно выключены, команда

должна ничего не выдать.

Сотрите старые файлы настроек, оставив их резервные копии:

Очистите старые базы данных, путь к которым можно узнать командой

Команда для очистки:

Если эта команда ничего не выдала, то это нормально: у вас не было баз данных от прошлых запусков контроллера домена.

Запустите интерактивную настройку домена:

Ниже приведем ее типовой вывод. В квадратных вкобках ([]) указывается значение по умолчанию, нажимайте Enter, чтобы с ним согласиться, или введите иное значение. Если сеть и имя хоста были настроены верны, то значения по умолчанию не должно потребоваться изменить.

На последнем шаге вводится пароль доменного пользователя Administrator, при вводе пароль не отображается, пароль должен быть сложным. DNS Forwarder — это адрес сервера, к которому перенаправляются DNS-запросу, на которые сам контроллер домена не может ответить, например, запрос DNS yandex.ru будет направлен в него.

Теперь добавьте службу контроллера домена в автозапуск:

Запустите контроллер домена:

И посмотрите его лог, убедитесь, что он запустился без ошибок:

Статус службы должен быть «active» («запущена»), но в конце лога может быть «ошибка»:

Это нормально. Убедимся в этом, запустив:

В подробном логе будет сказано про ошибки «WERR_DNS_ERROR_RECORD_ALREADY_EXISTS», которые означают, что добавляемая запись DNS уже существует. Она была создана при создании домена. Запись «Failed update of 29 entries» означает, что такая ситуация возникла 29 раз, а это количество раз и стало кодом возврата samba_dnsupdate.

Проверьте работу DNS-сервера, на другом компьютере, например, будущем клиенте домена, выполнив:

(подставьте свои адреса). Пример успешного ответа:

Для настройки клиентов будет полезно знать рабочую группу NT, ее можно узнать так:

Убедитесь, что этот сервер способен выдать DNS требуемого домена, выполнив на будущем клиенте домена (не на контроллере):

Возможно, стоит указать 8.8.8.8 или иной сервер. После первоначальной настройки контроллера его можно заменить в файле

перезапустив контроллер после изменения настроек командой

Ввод ROSA-клиента в домен

Настройка сети на Linux-клиенте

На клиенте необходимо:

• добавить адрес контроллера домена в DNS-серверы
• добавить REALM (samba.loc в примере выше) в список доменов поиска

Для настройки через GUI NetworkManager откройте настройки сетевого соединения, вкладку «IPv4». К DNS-серверам добавьте адрес контролера домена, в примере выше это 192.168.122.12. В «Домены поиска» добавьте realm — samba.loc. Ниже приведен скриншот с образцом заполнения настроек.

В rosa2019.05, rosa2021.1 и новее имеется интерактивный консольный интерфейс nmtui для редактирования настроек NetworkManager. Также имеется утилита nmcli.

Утилиты NetworkManager редактируют файл /etc/resolv.conf. Если у вас не используется NetworkManager, то можно отредактировать этот файл напрямую, написав в нем:

проверьте сетевую доступность контроллера домена.

Подключение компьютера с ОС ROSA к домену

Установите необходимые пакеты. Для rosa2021.1 и rosa2019.05:

Запустите утилиту drakauth:

Если установлена переменная окружения $DISPLAY, запустится графическая утилита, иначе псевдографическая.

Выберите способ аутентификации «Домен Windows»

Выберите тип домена Active Directory

В предлагаемой лабораторной установке и большинстве типовых конфигураций все необходимые параметры должны оказаться автоматически заполнены правильно на следующем шаге. Проверьте значения.

Укажите желаемое имя Netbios. Поле «Описание компьютера» заполнять не обязательно.

Введите логина администратора домена и пароль.

Нажмите «Далее». В случае успешного ввода в домен будет предложено перезагрузить систему.

Источник

Подключение ROSA Desktop к домену Windows AD

Содержание

Применимость

В этой инструкции описано подключение рабочей станции под управлением ОС ROSA Enterprise Desktop/ROSA Fresh к домену Active Direcotry

Настройка рабочей станции перед подключением

Рабочая станция должна иметь имя, соответствующее имени домена AD. Например:

Имя рабочей станции указывается при установке. После оно может быть изменено командой

после изменения имени необходима перезагрузка!

Для правильного подключения рабочей станции к контроллеру домена AD настройте параметры сетевого соединения следующим образом:

При правильной настройке сети на рабочей станции проходит ping до сервера-контроллера домена:

Установка времени на рабочей станции должно совпадать с сервером домена. Это можно проверить командой

и не забудьте про часовые пояса!

Также для правильного подключения к домену сетевое соединение на рабочей станции должно быть активно на момент авторизации. Для подключения «по проводу» этот режим включён по умолчанию, но если вы используете подключение через Wi-Fi, вам нужно установить флажок «Все пользователи могут подключаться к этой сети» вручную

Ввод рабочей станции в домен Windows AD

Откройте окно Параметры системы и выберите Аутентификация, в открывшемся окне выберите подключение к домену Windows посредством winbind

Далее укажите домен и его контроллер (если вы правильно установили настройки сети на предыдущих шагах, все поля, кроме имени и пароля заполнятся автоматически)

И имя своей рабочей станции

Далее понадобится ввести имя и пароль пользователя с правами для присоединения рабочей станции к домену, после чего система должна сказать, что соединение установлено и машина подключена. После перезагрузки можно будет уже войти под доменным пользователем!

Возможные ошибки

Ошибки ввода станции в домен в основном связаны с неправильной настройкой времени, время на станции и на контроллере домена должно совпадать

Источник

Samba

Содержание

Введение и терминология

В этой статье описано создание домена — централизированного хранилища пользователей и их аттрибутов.

Контроллер домена — программное оебспечение, обеспечивающее создание и функционирование сервера домена. В данном случае в качестве контроллера домена используется samba.

AD — Active Directory — домен разработки Microsoft. Samba реализует Samba AD — совместимый с Microsoft Active Directory домен, в который можно вводить и Linux, и Windows-клиенты.

Клиент — конечный член домена или ПО, позволяющее обспечить членство в домене.

В статье описывается создание лабораторной установки, состоящей из 1 сервера и 1 клиента, находящихся в одной подсети 192.168.122.0/24.

Все приведенные консольные команды выполняются от root, если не указано иное. Вход в root-коноль выполняется командой

В качестве образа ОС для развертывания контроллера домена Samba AD можно взять:

По адресу https://abf.io/platforms/rosa2021.1/products имеются иные сборки, в т.ч. для ARMv8 (aarch64).

Настройка контроллера домена

Настройка сети

Важно правильно настроить сеть на клиенте и сервере. В простых случаях, в т.ч. при поднятии тестовых стендов, делайте так, чтобы клиент и сервер находились в одной подсети. Например, чтобы у виртуальной машины с сервером был IP-адрес 192.168.10.2, а у виртуальной машины с клиентом — 192.168.10.3.

Рассмотрим настройку сети на сервере.

Установите полноквалифицированное (FQDN) доменное имя, состоящее из: имя_хоста.домен.зона, например:

Тогда именем хоста будет server1, доменом — samba, доменной зоной — loc, realm — samba.loc.

Избегайте использования зоны .local или выключите или перенастройте Avahi, чтобы использовать ее.

Установим имя хоста на контроллере домена:

Посмотрите IP-адрес командой

В данном примере IPv4-адрес — 192.168.122.12.

В файл /etc/hosts необходимо добавить строку вида:

Как видите, необходимо, чтобы и FQDN, и краткое имя резолвились в IP-адрес контроллера домена. Для этого откройте файл к консольном редакторе:

добавьте указанную строку, сохраните сочетанием клавиш Ctrl+O, Enter, затем закройте консольный редактор сочетанием клавиш Ctrl+X.

проверьте корректность записей в /etc/hosts.

Обратите внимание, что сеть должна запускаться до входа пользователя в систему, если используется WiFi, то настройте его соответствующим образом.

Запуск контроллера домена

Установите необходимые для работы пакеты. На ROSA 2021.1 (>= R12) и rosa2019.05:

На ROSA 2016.1 (R11):

Отключите лишние службы из состава набора программ samba:

Их обособленная работа не требуется и будет мешать контроллеру домена.

Убедитесь, что они действительно выключены, команда

должна ничего не выдать.

Сотрите старые файлы настроек, оставив их резервные копии:

Очистите старые базы данных, путь к которым можно узнать командой

Команда для очистки:

Если эта команда ничего не выдала, то это нормально: у вас не было баз данных от прошлых запусков контроллера домена.

Запустите интерактивную настройку домена:

Ниже приведем ее типовой вывод. В квадратных вкобках ([]) указывается значение по умолчанию, нажимайте Enter, чтобы с ним согласиться, или введите иное значение. Если сеть и имя хоста были настроены верны, то значения по умолчанию не должно потребоваться изменить.

На последнем шаге вводится пароль доменного пользователя Administrator, при вводе пароль не отображается, пароль должен быть сложным. DNS Forwarder — это адрес сервера, к которому перенаправляются DNS-запросу, на которые сам контроллер домена не может ответить, например, запрос DNS yandex.ru будет направлен в него.

Теперь добавьте службу контроллера домена в автозапуск:

Запустите контроллер домена:

И посмотрите его лог, убедитесь, что он запустился без ошибок:

Статус службы должен быть «active» («запущена»), но в конце лога может быть «ошибка»:

Это нормально. Убедимся в этом, запустив:

В подробном логе будет сказано про ошибки «WERR_DNS_ERROR_RECORD_ALREADY_EXISTS», которые означают, что добавляемая запись DNS уже существует. Она была создана при создании домена. Запись «Failed update of 29 entries» означает, что такая ситуация возникла 29 раз, а это количество раз и стало кодом возврата samba_dnsupdate.

Проверьте работу DNS-сервера, на другом компьютере, например, будущем клиенте домена, выполнив:

(подставьте свои адреса). Пример успешного ответа:

Для настройки клиентов будет полезно знать рабочую группу NT, ее можно узнать так:

Убедитесь, что этот сервер способен выдать DNS требуемого домена, выполнив на будущем клиенте домена (не на контроллере):

Возможно, стоит указать 8.8.8.8 или иной сервер. После первоначальной настройки контроллера его можно заменить в файле

перезапустив контроллер после изменения настроек командой

Ввод ROSA-клиента в домен

Настройка сети на Linux-клиенте

На клиенте необходимо:

• добавить адрес контроллера домена в DNS-серверы
• добавить REALM (samba.loc в примере выше) в список доменов поиска

Для настройки через GUI NetworkManager откройте настройки сетевого соединения, вкладку «IPv4». К DNS-серверам добавьте адрес контролера домена, в примере выше это 192.168.122.12. В «Домены поиска» добавьте realm — samba.loc. Ниже приведен скриншот с образцом заполнения настроек.

В rosa2019.05, rosa2021.1 и новее имеется интерактивный консольный интерфейс nmtui для редактирования настроек NetworkManager. Также имеется утилита nmcli.

Утилиты NetworkManager редактируют файл /etc/resolv.conf. Если у вас не используется NetworkManager, то можно отредактировать этот файл напрямую, написав в нем:

проверьте сетевую доступность контроллера домена.

Подключение компьютера с ОС ROSA к домену

Установите необходимые пакеты. Для rosa2021.1 и rosa2019.05:

Запустите утилиту drakauth:

Если установлена переменная окружения $DISPLAY, запустится графическая утилита, иначе псевдографическая.

Выберите способ аутентификации «Домен Windows»

Выберите тип домена Active Directory

В предлагаемой лабораторной установке и большинстве типовых конфигураций все необходимые параметры должны оказаться автоматически заполнены правильно на следующем шаге. Проверьте значения.

Укажите желаемое имя Netbios. Поле «Описание компьютера» заполнять не обязательно.

Введите логина администратора домена и пароль.

Нажмите «Далее». В случае успешного ввода в домен будет предложено перезагрузить систему.

Источник