Инструменты SSSD
Графический инструмент fly-admin-ad-sssd-client
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой:
Command |
---|
sudo apt install fly-admin-ad-client |
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
Ввод Astra Linux в домен Active Directory
1) Открыть "Панель управления"
Image Removed
2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"
Image Removed
3) Заполнить все поля и нажать кнопку "Подключиться":
Image Removed
Информация |
---|
Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя "username@example.com" или "EXAMPLE\username". |
Информация |
---|
Для ввода с помощью SSSD в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует. Для установки пакета: - Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);
Установить пакет: Command |
---|
sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb |
|
Графический инструмент fly-admin-ad-sssd
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic -client можно используя Графический менеджер пакетов synaptic или из командной строки командой:
Command |
---|
sudo apt install fly-admin-ad-sssd-client |
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
Ввод
Astra Linux в домен
Active Directoryс помощью fly-admin-ad-sssd-client
После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".
Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":
Инструмент командной строки astra-
winbindad-sssd-client
Установка пакетов
Инструмент командной строки astra-ad-sssd-winbind client автоматически устанавливается при установке графического инструмента flyинструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Command |
---|
sudo apt install astra-ad-sssd-winbind |
Ввод Astra Linux в домен Active DirectoryВвод в домен с помощью astra-ad-sssd-client
Информация |
---|
- При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.
- При вводе компьютера в домен с помощью astra-ad-sssd-client в файл /etc/hosts может быть добавлена запись, фиксирующая актуальный IP-адрес компьютера. Если для компьютера используется динамическое назначение адресов, то после завершения ввода компьютера в домен и перед перезагрузкой эту запись рекомендуется удалить.
|
Ввод компьютера в домен может быть выполнен командой:
Command |
---|
sudo astra-winbind -dc dc01.ad-sssd-client -d example.com com -u Администратор |
где:
- -dc dc01.d example.com - указание контроллера имени домена;
- -u Администратор - указание имени администратора домена;
Примерный диалог при выполнении команды:
Блок кода |
---|
compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (y\N)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер! |
Для завершения подключения требуется перезагрузить компьютер:
Подсказка по команде astra-ad-sssd-client:
Блок кода |
---|
sudo astra-winbindad-sssd-client -h
Usage: astra-winbindad-sssd-client <ключи>
ключи:
-h,--help этот текст
-dc имя контроллера домена. если FQDN, ключ -d можно опустить
-d домен. если отсутствует, берется из hostname.resolv.conf
-g группа. если отсутствует, берется из домена
-n сервер времени. если нет, используется контроллер домена
-y отключает запрос подтверждения
-i информация по текущему подключению
-u логин администратора домена
-pxn получает пароль администратора домена из stdinсервер времени.
-ppx получает пароль администратора домена (небезопасно)
-s от внешнего сценария
разрешить и запуститьчерез службуперенаправление подключениястандартного кввода домену(stdin)
-Sp запретитьпароль и остановить службу подключения к домену
-lадминистратора домена
-U удаление
--par вывести компьютеруказать изпараметры домена
примеры:
полное имя контроллера домена и отключение запроса подтверждения
astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
echo | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
astra-winbind -i |
Инструмент командной строки astra-ad-sssd-clientПосле перезагрузки проверить статус подключения можно следующими способами:
Получить билет Kerberos от имени администратора домена:
Command |
---|
kinit admin@dc01.example.com |
Проверить статус подключения:
Command |
---|
sudo astra-ad-sssd-client -i |
Примеры
Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:
Command |
---|
sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y |
Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:
Command |
---|
cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y |
Подключение к домену domain.net без запроса подтверждения:
Command |
---|
sudo astra-ad-sssd-client -d domain.net -y |
Получение информации о текущем домене
Command |
---|
sudo astra-ad-sssd-client -i |
Удаление данных подключения:
Command |
---|
sudo astra-ad-sssd-client -U |
Удаление компьютера из домена Windows AD
Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:
Command |
---|
sudo astra-ad-sssd-client -U |
Автоматическое обновление пароля доменного компьютера в связке sssd+samba
Службы sssd и samba могут самостоятельно периодически обновлять пароль компьютера. На компьютерах, введенных в домен с помощью инструмента astra-ad-sssd-client, используется обновление пароля только службой sssd. Обновление пароля службой samba по умолчанию отключено в конфигурации этой службы. Обновление пароля службой samba недопустимо и ведет к невозможности работы компьютера в домене. При внесении изменений в конфигурацию службы samba для предотвращения включения обновления пароля необходимо соблюдать следующие требования:
параметр kerberos method
должно иметь значение secrets and keytab
(это значение присваивается по умолчанию при вводе в домен):
Блок кода |
---|
kerberos method = secrets and keytab |
если параметру kerberos method
присвоено иное значение, то должен быть задан параметр machine password timeout
со значением 0
:
Блок кода |
---|
machine password timeout = 0 |