Справочный центр

Page tree

См. также: Ввод Astra Linux в домен FreeIPA.


Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1 с установленным обновлением Бюллетень № 20201007SE16
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12

Введение

Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:

  1. С использованием инструментария sssd:
    1. графический инструмент fly-admin-ad-sssd-client;
    2. инструмент командной строки astra-ad-sssd-client;

  2. С использованием инструментария winbind:

    Инструментарий winbind не рекомендуется к использованию для ввода компьютеров в домен. Рекомендованным инструментарием для ввода в домен является sssd. При этом winbind является важной подсистемой samba и используется как вспомогательный механизм для работы samba в доменах. См. Сравнение winbind и sssd
    1. графический инструмент fly-admin-ad-client;
    2. инструмент командной строки astra-winbind;

Далее рассматривается установка и использование этих инструментов. Рекомендованным способом ввода в домен является ввод с использованием sssd. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux  использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2.

Конфигурация стенда

Имя компьютера (hostname)Операционная системаРоли компьютераIP-адрес
dc01.example.comWindows Server 2008R2Контроллер домена; DNS серверСтатический (далее для примера используется IP-адрес 192.168.5.7)
astra01Astra Linux Special EditionРабочая станция, член доменаСтатический или динамически назначаемый IP-адрес

Настройка системных часов и сетевых подключений

Для успешного ввода компьютера в домен на вводимом компьютере перед вводом в домен необходимо:

  1. Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux).
  2. Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется  IP-адреса самого контроллера домена. Подробнее про настройку сети см. статьи Настройка разрешения имен и статических IP-адресов и Настройка сетевых подключений в Astra Linux.

Инструменты SSSD

При использовании SSSD пакет libpam-krb5 не требуется и его наличие в ОС ведет к нарушению аутентификации. Если пакет libpam-krb5 установлен, то перед вводом в домен с использованием SSSD:

  • удалить пакет libpam-krb5:
    sudo apt purge libpam-krb5 --autoremove
  • проверить в файлах в каталоге /etc/pam.d наличие строк с упоминанием библиотеки pam_krb5.so, и удалить такие строки.

Графический инструмент fly-admin-ad-sssd-client

Для ввода с помощью SSSD  в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1)  необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.
Для установки пакета:

  1. Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);

  2. Установить пакет:

    sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd-client можно используя графический менеджер пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-sssd-client

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

Ввод в домен с помощью fly-admin-ad-sssd-client

После установки пакет доступен в графическом меню:

  • в Astra Linux Special Edition 1.8: "Пуск" → "Параметры" → "Клиент и сервер" → "Настройка клиента SSSD Fly";
  • в более ранних обновлениях:  "Пуск" → "Панель управления" → "Сеть" → "Настройка клиента SSSD Fly".

Для ввода компьютера Astra Linux в домен Active Directory:

  1. Запустить инструмент:
  2. После запуска инструмента указать:
    1. имя домена, к которому требуется подключиться;
    2. имя и пароль администратора домена;
    3. опционально - IP-адрес, который должен быть назначен клиенту (для Astra Linux Special Edition 1.8, в более ранних обновлениях назначение IP-адреса не поддерживается);
    4. нажать кнопку "Подключиться":

Инструмент командной строки astra-ad-sssd-client

Установка пакетов

Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-ad-sssd-client

Ввод в домен с помощью astra-ad-sssd-client

  1. При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.
  2. При вводе компьютера в домен с помощью astra-ad-sssd-client в файл /etc/hosts может быть добавлена запись, фиксирующая актуальный IP-адрес компьютера. Если для компьютера используется динамическое назначение адресов, то после завершения ввода компьютера в домен и перед перезагрузкой эту запись рекомендуется удалить.
Ввод компьютера в домен может быть выполнен командой:
sudo astra-ad-sssd-client -d example.com -u Администратор

где:

  • -d example.com - указание имени домена;
  • -u Администратор - указание имени администратора домена;

При вводе компьютера в домен пароль администратора домена может быть указан непосредственно в команде с помощью параметра -p (небезопасно). Если пароль содержит спецсимволы, то он должен быть заключен в одинарные кавычки, например:

sudo astra-ad-sssd-client -d example.com -u Администратор -p 'Pas\sword'
Примерный диалог при выполнении команды:

compname = astra01
domain = example.com
username = admin
введите пароль администратора домена:
ok
продолжать ? (y\N)
y
настройка сервисов...
Завершено.
Компьютер подключен к домену.
Для продолжения работы, необходимо перезагрузить компьютер!

Для завершения подключения требуется перезагрузить компьютер:

sudo reboot
Подсказка по команде astra-ad-sssd-client:

sudo astra-ad-sssd-client -h
Usage: astra-ad-sssd-client <ключи>
ключи:
-h,--help   этот текст
-d   домен. если отсутствует, берется из hostname.resolv.conf
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-n   сервер времени.
-px  получает пароль администратора домена от внешнего сценария
     через перенаправление стандартного ввода (stdin)
-p   пароль администратора домена
-U   удаление
--par <параметры>   указать дополнительные параметры вручную (для realm)
-fn,  --fullnames   использовать полные имена пользователей вида 'admin@domain.ru' (доступно при установке актуального оперативного обновления)
-sn,  --shortnames  использовать короткие имена пользователей вида 'admin' (по умолчанию) (доступно при установке актуального оперативного обновления)

После перезагрузки проверить статус подключения можно следующими способами:

  1. Получить билет Kerberos от имени администратора домена:

    kinit admin@dc01.example.com

  2. Проверить статус подключения:

    sudo astra-ad-sssd-client -i

Примеры

Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:

sudo astra-ad-sssd-client -d domain.net -u admin -p 12345678 -y
Подключение к домену domain.net с именем администратора admin и с использованием пароля администратора из файла /root/pass, без запроса подтверждения:
cat /root/pass | sudo astra-ad-sssd-client -d domain.net -u admin -px -y
Подключение к домену domain.net без запроса подтверждения:
sudo astra-ad-sssd-client -d domain.net -y
Получение информации о текущем домене
sudo astra-ad-sssd-client -i
Удаление данных подключения:
sudo astra-ad-sssd-client -U

Удаление компьютера из домена Windows AD

Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:

sudo astra-ad-sssd-client -U

Автоматическое обновление пароля доменного компьютера в связке sssd+samba

Службы sssd и samba могут самостоятельно периодически обновлять пароль компьютера. На компьютерах, введенных в домен с помощью инструмента astra-ad-sssd-client, используется обновление пароля только службой sssd.  Обновление пароля службой samba по умолчанию отключено в конфигурации этой службы.  Обновление пароля службой samba недопустимо и ведет к невозможности работы компьютера в домене. При внесении изменений в конфигурацию службы samba для предотвращения включения обновления пароля необходимо соблюдать следующие требования:

  • параметр kerberos method должно иметь значение secrets and keytab (это значение присваивается по умолчанию при вводе в домен):

    kerberos method = secrets and keytab

  • если параметру kerberos method присвоено иное значение, то должен быть задан параметр machine password timeout со значением 0:

    machine password timeout = 0

Особенности ввода в домены Windows AD 2008

При вводе компьютеров Astra Linux в домены Windows AD тип домена определяется автоматически. В соответствии с типом домена выбирается ПО для подключения. При работе со старыми версиями Windows AD (в частности, при работе с Windows AD 2008) автоматически выбираемое ПО может работать некорректно. В таких случаях для устранения ошибок ввода может потребоваться принудительно задать тип домена adcli (опция --par "-membership-software=adcli"). Пример команды:

sudo astra-ad-sssd-client -d <имя_домена> -u <имя_администратора_домена> --par "--membership-software=adcli"

Инструменты Winbind

Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию.

Графический инструмент fly-admin-ad-client

Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory с использованием winbind. Установить ее можно с помощью графического менеджера пакетов synaptic или из командной строки командой:

sudo apt install fly-admin-ad-client
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

Ввод в домен с помощью fly-admin-ad-client

  1. Открыть "Панель управления":
  2. Выбрать раздел "Сеть" → "Настройка клиента Active Directory":
  3. Заполнить все поля и нажать кнопку "Подключиться":
Для входа в систему доменным пользователем можно использовать формат имени доменного пользователя "username@example.com" или "EXAMPLE\username".

Инструмент командной строки astra-winbind

Установка пакетов

Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

sudo apt install astra-winbind

Ввод в домен с помощью astra-winbind

Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2.

Ввод компьютера в домен может быть выполнен командой:

sudo astra-winbind -dc dc01.example.com -u Администратор

где:

  • -dc dc01.example.com - указание контроллера домена;
  • -u Администратор - указание имени администратора домена;

Подсказка по команде:

sudo astra-winbind -h
Usage: astra-winbind <ключи>
ключи:
-h   этот текст
-dc  имя контроллера домена. если FQDN, ключ -d можно опустить
-d   домен. если отсутствует, берется из файла /etc/resolv.conf
-g   группа. если отсутствует, берется из домена
-n   сервер времени. если нет, используется контроллер домена
-y   отключает запрос подтверждения
-i   информация по текущему подключению
-u   логин администратора домена
-px  получает пароль администратора домена из stdin
-p   пароль администратора домена (небезопасно)
-s   разрешить и запустить службу подключения к домену
-S   запретить и остановить службу подключения к домену
-l   вывести компьютер из домена

примеры:
полное имя контроллера домена и отключение запроса подтверждения
    astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
    astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
    echo  | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
    astra-winbind -i