Введение

Ввод компьютера под управлением Astra Liniux Linux в домен Windows AD Active Directory или в домен Samba может быть выполнен двумя способами:

1. С использованием инструментария sssd:с использованием samba/winbind (
   1. графический инструмент fly-admin-ad-sssd-client
   и
   1. ;
   2. инструмент командной строки astra
   -winbind)
   1. -ad-sssd-client;
   с использованием sssd (

   1. С использованием инструментария winbind:

      Предупреждение
      Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. Рекомендованным инструментарием является sssd.

      
      

      1. графический инструмент fly-admin-ad-
      sssd и
      1. client;
      2. инструмент командной строки astra-
      ad-sssd-client)
      1. winbind;

   Далее рассмативается рассматривается установка и использование этих инструментов.   Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.
   

   Предупреждение

   Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003.

   Конфигурация стенда

   Имя компьютера (hostname)	Операционная система	Роли компьютера	IP-адрес
   dc01.example.com	Windows Server 2008R2	Контроллер домена; DNS сервер	Статический (далее для примера используется IP-адрес 192.168.

   0

   5.

   1

   7)
   astra01	Astra Linux Special Edition

   РУСБ.10015-01 (очередное обновление 1.6)

   Рабочая станция, член домена

   Статический или динамически назначаемый IP-адрес

   
   

Настройка

системных часов и сетевых подключений

Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:

1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения..."

Image Removed

2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.

3) На вкладке "Параметры IPv4" задать ip адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:

Image Removed

4) Нажать "Сохранить"

5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение. 

Image Removed

компьютера в домен на вводимом компьютере перед вводом в домен необходимо:

1. Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux).
2. Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется  IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.

Инструменты SSSD

Графический инструмент fly-admin-ad-sssd-client

Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой:

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

Ввод Astra Linux в домен Active Directory

1) Открыть "Панель управления"

Image Removed

2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"

Image Removed

3) Заполнить все поля и нажать кнопку "Подключиться":

Image Removed

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic -client можно используя Графический менеджер пакетов synaptic или из командной строки командой:

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

Ввод

в домен

с помощью fly-admin-ad-sssd-client

После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".

Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":

Инструмент командной строки astra-ad-sssd-

client

Установка пакетов

Инструмент командной строки astra-winbind ad-sssd-client автоматически устанавливается при установке графического инструмента flyинструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

Ввод в домен с помощью astra-ad-sssd-client

Ввод компьютера в домен может быть выполнен командой:

где:

• -dc dc01.d example.com - указание контроллера имени домена;
• -u Администратор - указание имени администратора домена;

Примерный диалог при выполнении команды:

compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (y\N)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер!

Для завершения подключения требуется перезагрузить компьютер:

Подсказка по команде astra-ad-sssd-client:

sudo astra-winbindad-sssd-client -h
Usage: astra-ad-sssd-winbindclient <ключи>
ключи:
-h,--help   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из hostname.resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-pxn  получает пароль администратора домена из stdinсервер времени.
-ppx  получает пароль администратора домена (небезопасно)
-sот внешнего сценария
   разрешить и запуститьчерез службуперенаправление подключениястандартного кввода домену(stdin)
-Sp   запретитьпароль и остановить службу подключения к домену
-lадминистратора домена
-U   удаление
--par    вывести компьютеруказать изпараметры домена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
    astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-winbind -i

Инструмент командной строки astra-ad-sssd-client

Установка пакетов

вручную

После перезагрузки проверить статус подключения можно следующими способами:

1. Получить билет Kerberos от имени администратора домена:

   Command
   kinit admin@dc01.example.com

   
   

2. Проверить статус подключения:

   Command
   sudo astra-ad-sssd-client -i

   
   

Примеры

Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:

Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:

Подключение к домену domain.net без запроса подтверждения:

Получение информации о текущем домене

Удаление данных подключения:

Удаление компьютера из домена Windows AD

Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:

Инструменты Winbind

Графический инструмент fly-admin-ad-client

Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory с использованием winbind. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

Ввод в домен с помощью fly-admin-ad-client

1. Открыть "Панель управления":
   Image Added
   
   
2. Выбрать раздел "Сеть" → "Настройка клиента Active Directory":
   Image Added
   
   
3. Заполнить все поля и нажать кнопку "Подключиться":
   Image Added

Инструмент командной строки astra-winbind

Установка пакетов

Инструмент командной строки astra-winbind Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

Ввод в домен с помощью astra-winbind

Ввод компьютера в домен может быть выполнен командой:

где:

• -d dc dc01.example.com - указание контроллера домена;
• -u Администратор - указание имени администратора домена;

Подсказка по команде:

sudo astra-ad-sssd-clientwinbind -h
Usage: astra-ad-sssd-clientwinbind <ключи>
ключи:
-h,--help   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из hostname.файла /etc/resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-npx  получает пароль сервер времени.администратора домена из stdin
-pxp  получает пароль администратора домена от внешнего сценария
(небезопасно)
-s   разрешить и череззапустить перенаправлениеслужбу стандартногоподключения вводак (stdin)домену
-pS   запретить парольи администратора домена
-U   удаление
--parостановить службу подключения к домену
-l   вывести компьютер указатьиз параметры вручнуюдомена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-ad-sssd-clientwinbind -ddc domainastra01.atws.netas -u admin -p 12345678password -y
сторонний сервер времени и запрос пароля в процессе
 cat /root/pass | astra-ad-sssd-serverwinbind -dc astra01 -d domainatws.netas -pxn 192.168.5.7 -y
имя и отключение запроса подтвержденияu admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-ad-sssd-client -d domain.netwinbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-ad-sssd-client -i
удаление данных подключения
    astra-ad-sssd-client -Uwinbind -i

Якорь
w2003 w2003

Особенности ввода в домен Windows AD 2003

При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:

1. Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:

   Command
   cp /etc/samba/smb.conf /tmp/smb.conf

   
   

2. Добавить в секцию [global] сохраненной копии параметр client min protocol = NT1:

   Command
   sed -i -e '/^\[global\]/a client min protocol = NT1' "/tmp/smb.conf";

   
   

3. Выполнить ввод в домен используя модифицированный файл конфигурации:

   Command
   sudo astra-winbind -dc dc01.example.com -u Администратор -y --par "--configfile=/tmp/smb.conf"

   
   

4. Заменить созданный при второй попытке ввода конфигурационный файл  /etc/samba/smb.conf сохраненной модифицированной копией:

   Command
   sudo mv /tmp/smb.conf /etc/samba/smb.conf

   
   

5. Перезагрузить компьютер:

   Command
   sudo systemctl restart