...
Редактируем файл /etc/krb5.conf и добавляем недостающую информацию в соответствующие разделы:
| Блок кода | ||
|---|---|---|
| ||
[libdefaults] |
...
default_realm = DEV.LOCAL krb4_config = /etc/krb.conf krb4_realms = /etc/krb.realms kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true v4_instance_resolve = false v4_name_convert = { host = { rcmd = host ftp = ftp } plain = { something = something-else } } fcc-mit-ticketflags = true |
...
[realms] |
...
DEV.LOCAL = { kdc = dc.dev.local admin_server = dc.dev.local default_domain = dev.local |
...
} [domain_realm] |
...
.dev.local = DEV.LOCAL dev.local = DEV.LOCAL |
...
[login] |
...
krb4_convert = true krb4_get_tickets = false |
Редактируем файл /etc/samba/smb.conf. Если каких-то параметров нет, то добавляем:
| Блок кода |
|---|
[global] |
...
workgroup = DEV realm = DEV.LOCAL os level = 0 invalid users = root load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes dns proxy = no security = ads kerberos method = secrets and keytab dedicated keytab file = /etc/krb5.keytab encrypt passwords = true domain logons = no socket options = TCP_NODELAY local master = no domain master = no preferred master = no idmap config * |
...
: range = 10000-20000 idmap config * |
...
: backend = tdb template shell = /bin/bash template homedir = /home/%D/%U winbind enum groups = yes winbind enum users = yes winbind use default domain = yes winbind offline logon = yes winbind refresh tickets = yes |
Проверим нет ли ошибок в конфигурации samba, выполнив команду:
testparm
Редактируем файл /etc/security/limits.conf. Добавляем в конец:
* - nofile 65536
root - nofile 65536
Выполнить команду:
ulimit -n 65536
Радактируем файл /etc/nsswitch.conf:
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
Редактируем файл /etc/pam.d/common-session. Добавляем в конец:
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077
Перезапустим службы:
service samba restart
service winbind restart
service ntp restart
service nscd restart
service nslcd restart
Вводим Astra Linux в домен windows (требуется учётная запись администратора домена):
net ads join -U Administrator
В результате успешного выполнения предыдущей команды должен появиться файл /etc/krb5.keytab. Просмотреть список принципалов в этом файле можно командой:
net ads keytab list
Позволим остальным читать файл /etc/krb5.keytab:
chmod 0744 /etc/krb5.keytab
Добавим в автозапуск:
insserv -v /etc/init.d/apache2
insserv -v /etc/init.d/samba
Проверить установлен ли Postgresql в автозагрузку:
chkconfig --list postgresql
Перезагрузим ОС:
reboot
Проверим загрузились ли требуемые службы:
service samba status
service winbind status
service nscd status
service nslcd status
service apache2 status
service postgresql status
Проверим связь с доменом и работу служб, последовательно выполнив команды:
net ads testjoin
wbinfo –p
wbinfo –t
wbinfo –u
getent passwd | grep DEV
Проверим Kerberos. Попробуем получить tgt для доменного пользователя:
kinit Administrator
klist
kdestroy
...