Введение

В состав дистрибутивов Astra Linux (ОС ОН Орёл 2.12 и ОС СН Смоленск 1.6) входит пакет программ Samba, обеспечивающий совместимость со средой Microsoft Active Directory (далее - AD).
Samba позволяет компьютерам с ОС Astra Linux выступать как в роли контроллера домена AD, так и в роли клиента домена AD.
Помимо пакета Samba в состав дистрибутивов Astra Linux входят консольные и графические средства, позволяющие быстро инициализировать Active Directory домен или подключиться к уже существующему домену AD.

Возможности Samba

• Служба аутентификации на базе Kerberos v5;
• LDAP-совместимая служба каталогов с поддержкой репликации;
• Поддержка групповых политик;
• Поддержка доверительных отношений;
• DNS-сервер на базе BIND или собственной реализации.

Samba как контроллер домена (инструмент astra-sambadc)

В состав Astra Linux входят инструменты обеспечивающие сценарии автоматизированной настройки и построения нового контроллера домена или включения в существующий домен в роли контроллера домена.

Инструмент командной строки:
astra-sambadc
Графический инструмент:
fly-admin-ad-server

Установить эти инструменты можно с помощью графического менеджера пакетов или из командной строки:

sudo apt install astra-sambadc
sudo apt install fly-admin-ad-server

При установке инструментов автоматически будут автоматически установлены необходимые для работы домена AD пакеты samba, winbind и ntp.
Samba как контроллер домена поддерживает два режима работы с DNS:

с использованием встроенного DNS-сервера Samba;
с использованием DNS-сервера bind9. Если предполагается, что будет использоваться сервер bind9 следует установить его и установить пакет dnsutils:
sudo apt install bind9 dnsutils

Подготовка компьютера

Рекомендуется назначить компьютеру постоянный IP-адрес. Допускается использовать динамическое назначение адресов, но при этом должно быть настроено автоматическое обновление адресов (настрока работы в таком режиме выходит за рамки данной статьи, см. статьи DHCP-сервер ISC-DHCP).
Если используется получение адреса по DHCP, то отдельно следует обеспечить, чтобы вместе с адресом по DHCP не принимались посторонние имя поискового домена и адрес сервера DNS. Общие инструкции по настройка см. в статье Настройка сети в ОС Astra Linux.
Должно быть настроено разрешение имён, а именно: в файле /etc/resolv.conf в качестве адреса сервера DNS (параметр nameserver) должен быть указан собственный IP-адрес компьютера и в качестве поискового домена (параметр search) следует указать используемое имя домена, например:
```
# Generated by NetworkManager
search sambadomain.ru
nameserver 192.168.27.251
```
При использовании службы автоматической настройки сети NetworkManager этот файл нельзя редактировать напрямую, и следует использовать инструменты NetworkManager. Общие инструкции по настройка см. в статье Настройка сети в ОС Astra Linux.
В файле /etc/hosts должно быть настроено разрешение имени компьютера. Инструмент astra-sambadc постарается сделать это сам, однако в сложных файлах возможны ошибки настроки.

Для создания нового домена с помощью инструмента командной строки используется команда:

astra-sambadc -d <имя_домена> -px

или (небезопасно с точки зрения сохранности пароля):

astra-sambadc -d <имя_домена> -p <пароль_администратора_домена>

Для содания нового домена с использованием DDNS следует дополнительно использовать опцию -b, например:

astra-sambadc -d <имя_домена> -px -b

Данные, необходимые для создания домена и не указанные в аргументах команды при выполнении команды будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-sambadc с параметром -h:

astra-sambadc -h

Графический инструмент после установки доступен для запуска из командной строки или через систему меню: «Пуск» - «Панель управления» - «Сеть» - «Настройка сервера Active Directory»

После установки домена Samba AD требуется перазагрузить компьютер.

Ввод клиента Astra Linux в домен AD

В состав дистрибутивов Astra Linux входит графический инструмент:

fly-admin-ad-client

и инструмент командной строки:

astra-winbind

реализующие сценарий автоматизированной настройки компьютера Astra Linux для ввода в существующий домен AD.

При написании этой статьи в качестве контроллера домена Active Directory использовался демонстрационный образ Windows Server 2012 R2, доступный на WEB-сайте Microsoft, в качестве клиентов использовались компьютеры под управлением ОС ОН Орёл 2.12 и ОС СН Смоленск 1.6.

Перед вводом компьютера в домен необходимо настроить на этом компьютере службу разрешения имён (DNS) так, чтобы в качестве сервера DNS использовался сервер DNS этого домена.
Если этого не сделать, то контроллер домена не будет обнаружен.

Для ввода компьютера в домен используется команда:

sudo astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -px

или (небезопасно):

astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -p <пароль_администратора_домена>

Данные, необходимые для ввода в домен и не указанные в аргументах команды, будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-winbind с параметром -h:

astra-winbind -h

Графический инструмент для ввода компьютера в существующий домен AD fly-admin-ad-client после установки доступен для запуска из командной строки или через систему меню:

«Пуск» - «Панель управления» - «Сеть» - «Настройка клиента Active Directory»

Проверка успешности присоединения к домену

Для проверки успешности присоединения к домену рекомендуется использовать команду:

sudo kinit Administrator
sudo net ads testjoin -k

Дополнительно, можно использовать различные варианты команды wbinfo, например проверка регистрации:

sudo wbinfo -t

Список пользователей домена:

wbinfo -u

Список групп домена:

wbinfo -g

Дерево страниц

Инструменты Astra Linux для работы с доменами Samba AD и Windows AD