icon | false |
---|
Оглавление |
---|
Информация | ||
---|---|---|
|
|
|
Введение
Ввод компьютера под управлением Astra Liniux Linux в домен Windows AD Active Directory или в домен Samba может быть выполнен двумя способами:
- С использованием инструментария sssd:с использованием samba/winbind (
- графический инструмент fly-admin-ad-sssd-client
- ;
- инструмент командной строки astra-
- ad-sssd-client;
С использованием инструментария winbind:
Предупреждение Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. Рекомендованным инструментарием является sssd. - графический инструмент fly-admin-ad-
- client;
- инструмент командной строки astra-
- winbind;
Далее рассмативается рассматривается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.
Предупреждение |
---|
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003. |
Конфигурация стенда
Имя компьютера (hostname) | Операционная система | Роли компьютера | IP-адрес |
---|---|---|---|
dc01.example.com | Windows Server 2008R2 | Контроллер домена; DNS сервер | Статический (далее для примера используется IP-адрес 192.168. |
5. |
7) | |
astra01 | Astra Linux |
Special Edition | Рабочая станция, член домена | Статический или динамически назначаемый IP-адрес |
Настройка
сетисистемных часов и сетевых подключений
Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:
1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения..."
2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.
3) На вкладке "Параметры IPv4" задать ip адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:
4) Нажать "Сохранить"
5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение.
компьютера в домен на вводимом компьютере перед вводом в домен необходимо:
- Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux).
- Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.
Инструменты SSSD
Графический инструмент fly-admin-ad-sssd-client
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой:
Command |
---|
sudo apt install fly-admin-ad-client |
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
Ввод Astra Linux в домен Active Directory
1) Открыть "Панель управления"
2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"
3) Заполнить все поля и нажать кнопку "Подключиться":
Информация |
---|
Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя "username@example.com" или "EXAMPLE\username". |
Информация | ||
---|---|---|
Для ввода с помощью SSSD в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует. Для установки пакета:
|
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic -client можно используя Графический менеджер пакетов synaptic или из командной строки командой:
Command |
---|
sudo apt install fly-admin-ad-sssd-client |
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
Ввод
Astra Linuxв домен
Active Directoryс помощью fly-admin-ad-sssd-client
После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".
Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":
Инструмент командной строки astra-ad-sssd-
winbindclient
Установка пакетов
Инструмент командной строки astra-winbind ad-sssd-client автоматически устанавливается при установке графического инструмента flyинструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Command |
---|
sudo apt install astra-ad-sssd-winbindclient |
Ввод
Astra Linux в домен Active Directoryв домен с помощью astra-ad-sssd-client
Информация |
---|
При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba. |
Ввод компьютера в домен может быть выполнен командой:
Command |
---|
sudo astra-winbind -dc dc01.ad-sssd-client -d example.com com -u Администратор |
где:
- -dc dc01.d example.com - указание контроллера имени домена;
- -u Администратор - указание имени администратора домена;
Примерный диалог при выполнении команды:
Блок кода |
---|
compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (y\N)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер! |
Для завершения подключения требуется перезагрузить компьютер:
Command |
---|
sudo reboot |
Подсказка по команде astra-ad-sssd-client:
Блок кода |
---|
sudo astra-winbindad-sssd-client -h Usage: astra-ad-sssd-winbindclient <ключи> ключи: -h,--help этот текст -dc имя контроллера домена. если FQDN, ключ -d можно опустить -d домен. если отсутствует, берется из hostname.resolv.conf -g группа. если отсутствует, берется из домена -n сервер времени. если нет, используется контроллер домена -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -pxn получает пароль администратора домена из stdinсервер времени. -ppx получает пароль администратора домена (небезопасно) -s от внешнего сценария разрешить и запуститьчерез службуперенаправление подключениястандартного кввода домену(stdin) -Sp запретитьпароль и остановить службу подключения к домену -lадминистратора домена -U удаление --par вывести компьютеруказать изпараметры домена примеры: полное имя контроллера домена и отключение запроса подтверждения astra-winbind -dc astra01.atws.as -u admin -p password -y сторонний сервер времени и запрос пароля в процессе astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin передача пароля через stdin, домен ищется в resolv.conf echo | ./astra-winbind -dc astra01 -u admin -px -y информация о текущем домене astra-winbind -i |
вручную
|
После перезагрузки проверить статус подключения можно следующими способами:
Получить билет Kerberos от имени администратора домена:
Command kinit admin@dc01.example.com Проверить статус подключения:
Command sudo astra-ad-sssd-client -i
Примеры
Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:
Command |
---|
sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y |
Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:
Command |
---|
cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y |
Подключение к домену domain.net без запроса подтверждения:
Command |
---|
sudo astra-ad-sssd-client -d domain.net -y |
Получение информации о текущем домене
Command |
---|
sudo astra-ad-sssd-client -i |
Удаление данных подключения:
Command |
---|
sudo astra-ad-sssd-client -U |
Удаление компьютера из домена Windows AD
Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:
Command |
---|
sudo astra-ad-sssd-client -U |
Установка пакетов
Инструменты Winbind
Предупреждение |
---|
Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. |
Графический инструмент fly-admin-ad-client
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory с использованием winbind. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:
Command |
---|
sudo apt install fly-admin-ad-client |
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
Ввод в домен с помощью fly-admin-ad-client
- Открыть "Панель управления":
- Выбрать раздел "Сеть" → "Настройка клиента Active Directory":
- Заполнить все поля и нажать кнопку "Подключиться":
Информация |
---|
Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя "username@example.com" или "EXAMPLE\username". |
Инструмент командной строки astra-winbind
Установка пакетов
Инструмент командной строки astra-winbind Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Command |
---|
sudo apt install astra-ad-sssd-client |
winbind |
Ввод в домен с помощью astra-winbind
Предупреждение |
---|
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см. : Особенности ввода в домен Windows AD 2003. |
Ввод компьютера в домен может быть выполнен командой:
Command |
---|
sudo astra-ad-sssd-client -d winbind -dc dc01.example.com com -u Администратор |
где:
- -d dc dc01.example.com - указание контроллера домена;
- -u Администратор - указание имени администратора домена;
Подсказка по команде:
Блок кода |
---|
sudo astra-ad-sssd-clientwinbind -h Usage: astra-ad-sssd-clientwinbind <ключи> ключи: -h,--help этот текст -dc имя контроллера домена. если FQDN, ключ -d можно опустить -d домен. если отсутствует, берется из hostname.файла /etc/resolv.conf -g группа. если отсутствует, берется из домена -n сервер времени. если нет, используется контроллер домена -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -n сервер времени. -px получаетpx получает пароль администратора домена из stdin -p пароль администратора домена от внешнего сценария (небезопасно) -s разрешить и череззапустить перенаправлениеслужбу стандартногоподключения вводак (stdin)домену -pS парользапретить и администратора домена -U удаление --parостановить службу подключения к домену -l вывести компьютер указатьиз параметры вручнуюдомена примеры: полное имя контроллера домена и отключение запроса подтверждения astra-ad-sssd-clientwinbind -ddc domainastra01.atws.netas -u admin -p 12345678password -y сторонний сервер времени и запрос пароля cat /root/pass |в процессе astra-ad-sssd-serverwinbind -dc astra01 -d domainatws.netas -pxn 192.168.5.7 -y имя и отключение запроса подтвержденияu admin передача пароля через stdin, домен ищется в resolv.conf echo | ./astra-ad-sssd-client -d domain.netwinbind -dc astra01 -u admin -px -y информация о текущем домене astra-ad-sssd-client -i удаление данных подключения astra-ad-sssd-client -Uwinbind -i |
Якорь | ||||
---|---|---|---|---|
|
При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:
Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:
Command cp /etc/samba/smb.conf /tmp/smb.conf Добавить в секцию [global] сохраненной копии параметр client min protocol = NT1:
Command sed -i -e '/^\[global\]/a client min protocol = NT1' "/tmp/smb.conf"; Выполнить ввод в домен используя модифицированный файл конфигурации:
Command sudo astra-winbind -dc dc01.example.com -u Администратор -y --par "--configfile=/tmp/smb.conf" Заменить созданный при второй попытке ввода конфигурационный файл /etc/samba/smb.conf сохраненной модифицированной копией:
Command sudo mv /tmp/smb.conf /etc/samba/smb.conf Перезагрузить компьютер:
Command sudo systemctl restart