Введение

Ввод компьютера под управлением Astra Liniux Linux в домен Windows AD Active Directory или в домен Samba может быть выполнен двумя способами:

1. С использованием инструментария sssd:с использованием samba/winbind (
   1. графический инструмент fly-admin-ad-sssd-client
   и
   1. ;
   2. инструмент командной строки astra
   -winbind)
   1. -ad-sssd-client;
   с использованием sssd (

   1. С использованием инструментария winbind:

      Предупреждение
      Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. Рекомендованным инструментарием является sssd.

      
      

      1. графический инструмент fly-admin-ad-
      sssd и
      1. client;
      2. инструмент командной строки astra-
      ad-sssd-client)
      1. winbind;

   Далее рассмативается рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Рекомендованным способом ввода в домен является ввод с использованием sssd. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.
   

   Предупреждение

   Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003.

   Конфигурация стенда

   Имя компьютера (hostname)	Операционная система	Роли компьютера	IP-адрес
   dc01.example.com	Windows Server 2008R2	Контроллер домена; DNS сервер	Статический (далее для примера используется IP-адрес 192.168.

   0

   5.

   1

   7)
   astra01	Astra Linux

   SE релиз Смоленск 1.6

   Special Edition

   Рабочая станция, член домена

   Статический или динамически назначаемый IP-адрес

   
   

Настройка

системных часов и сетевых подключений

Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:

1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения..."

Image Removed

2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.

3) На вкладке "Параметры IPv4" задать ip адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:

Image Removed

4) Нажать "Сохранить"

5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение. 

Image Removed

компьютера в домен на вводимом компьютере перед вводом в домен необходимо:

1. Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux).
2. Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется  IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.

Инструменты SSSD

Графический инструмент fly-admin-ad-sssd-client

Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой:

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

Ввод Astra Linux в домен Active Directory

1) Открыть "Панель управления"

Image Removed

2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"

Image Removed

3) Заполнить все поля и нажать кнопку "Подключиться":

Image Removed

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic -client можно используя Графический менеджер пакетов synaptic или из командной строки командой:

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

Ввод

в домен

с помощью fly-admin-ad-sssd-client

После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".

Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":

Инструмент командной строки astra-

ad-sssd-client

Установка пакетов

Инструмент командной строки astra-ad-sssd-winbind client автоматически устанавливается при установке графического инструмента flyинструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

Ввод в домен с помощью astra-ad-sssd-client

Ввод компьютера в домен может быть выполнен командой:

где:

• -dc dc01.d example.com - указание контроллера имени домена;
• -u Администратор - указание имени администратора домена;

Примерный диалог при выполнении команды:

compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (y\N)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер!

Для завершения подключения требуется перезагрузить компьютер:

Подсказка по команде astra-ad-sssd-client:

sudo astra-winbindad-sssd-client -h
Usage: astra-winbindad-sssd-client <ключи>
ключи:
-h,--help   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из hostname.resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-pxn  получает пароль администратора домена из stdinсервер времени.
-ppx  получает пароль администратора домена (небезопасно)
-s от внешнего сценария
   разрешить и запуститьчерез службуперенаправление подключениястандартного кввода домену(stdin)
-Sp   запретитьпароль и остановить службу подключения к домену
-lадминистратора домена
-U   удаление
--par    вывести компьютеруказать изпараметры домена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
    astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-winbind -i

вручную

После перезагрузки проверить статус подключения можно следующими способами:

1. Получить билет Kerberos от имени администратора домена:

   Command
   kinit admin@dc01.example.com

   
   

2. Проверить статус подключения:

   Command
   sudo astra-ad-sssd-client -i

   
   

Примеры

Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:

Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:

Подключение к домену domain.net без запроса подтверждения:

Получение информации о текущем домене

Удаление данных подключения:

Удаление компьютера из домена Windows AD

Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:

Автоматическое обновление пароля доменного компьютера в связке sssd+samba

Службы sssd и samba могут самостоятельно периодически обновлять пароль компьютера. На компьютерах, введенных в домен с помощью инструмента astra-ad-sssd-client, используется обновление пароля только службой sssd.  Обновление пароля службой samba по умолчанию отключено в конфигурации этой службы.  Обновление пароля службой samba недопустимо и ведет к невозможности работы компьютера в домене. При внесении изменений в конфигурацию службы samba для предотвращения включения обновления пароля необходимо соблюдать следующие требования:

• параметр kerberos method должно иметь значение secrets and keytab (это значение присваивается по умолчанию при вводе в домен):
  

  Блок кода
  kerberos method = secrets and keytab

   

• если параметру kerberos method присвоено иное значение, то должен быть задан параметр machine password timeout со значением 0:
  

  Блок кода
  machine password timeout = 0

   

Инструменты Winbind

sudo astra-

winbind -h
Usage: astra-

winbind <ключи>
ключи:
-h

   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из 

файла /etc/resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-

px  получает пароль администратора домена из stdin
-p   пароль администратора домена 

(небезопасно)
-s   разрешить и 

запустить 

службу 

подключения 

к 

домену
-

S   

запретить и 

остановить службу подключения к домену
-l   вывести компьютер 

из 

домена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-

winbind -

dc 

astra01.atws.

as -u admin -p 

password -y
сторонний сервер времени и 

запрос пароля в процессе
    astra-

winbind -dc astra01 -d 

atws.

as -

n 192.168.5.7 -

u admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-

winbind -i