Данная статья применима к:

  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
  • Astra Linux Special Edition РУСБ.10015-17
  • Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
  • Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
  • Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
  • Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
  • Astra Linux Special Edition РУСБ.10015-16 исп. 1
  • Astra Linux Special Edition РУСБ.10015-16 исп. 2
  • Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
  • Astra Linux Common Edition 2.12


Введение

В состав дистрибутивов Astra Linux входит пакет программ Samba, обеспечивающий совместимость со средой Microsoft Active Directory (далее - AD).
Samba позволяет компьютерам с ОС Astra Linux выступать как в роли контроллера домена AD, так и в роли клиента домена AD.
Помимо пакета Samba в состав дистрибутивов Astra Linux входят консольные и графические средства, позволяющие быстро инициализировать Active Directory домен или подключиться к уже существующему домену AD.

Возможности Samba

• Служба аутентификации на базе Kerberos v5;
• LDAP-совместимая служба каталогов с поддержкой репликации;
• Поддержка групповых политик;
• Поддержка доверительных отношений;
• DNS-сервер на базе BIND или собственной реализации.

Samba как контроллер домена (инструмент astra-sambadc)

В состав Astra Linux входят инструменты обеспечивающие сценарии автоматизированной настройки и построения нового контроллера домена или включения в существующий домен в роли контроллера домена.

  • Инструмент командной строки:

    astra-sambadc

  • Графический инструмент:

    fly-admin-ad-server

Установить эти инструменты можно с помощью графического менеджера пакетов или из командной строки:

sudo apt install astra-sambadc
sudo apt install fly-admin-ad-server
При установке инструментов автоматически будут установлены необходимые для работы домена AD пакеты samba, winbind и ntp.

Samba как контроллер домена поддерживает два режима работы с DNS:

  • с использованием встроенного DNS-сервера Samba;
  • с использованием DNS-сервера bind9. Если предполагается, что будет использоваться сервер bind9 следует установить его и установить пакет dnsutils:

    sudo apt install bind9 dnsutils

Подготовка компьютера

  1. Рекомендуется назначить компьютеру постоянный IP-адрес. Допускается использовать динамическое назначение адресов, но при этом должно быть настроено  автоматическое обновление адресов (настройка работы в таком режиме выходит за рамки данной статьи, см. статьи DHCP-сервер ISC-DHCP).
    Если используется получение адреса по DHCP, то отдельно следует обеспечить, чтобы вместе с адресом по DHCP не принимались посторонние имя поискового домена и адрес сервера DNS. Общие инструкции по настройке см. в статье Настройка сетевых подключений в Astra Linux.

  2. Должно быть настроено разрешение имён, а именно:  в файле /etc/resolv.conf в качестве адреса сервера DNS (параметр nameserver) должен быть указан собственный IP-адрес компьютера и в качестве поискового домена  (параметр search) следует указать используемое имя домена, например:

    # Generated by NetworkManager
    search sambadomain.ru
    nameserver 192.168.27.251

    При использовании службы автоматической настройки сети NetworkManager этот файл нельзя редактировать напрямую, и следует использовать инструменты NetworkManager. Общие инструкции по настройка см. в статье Настройка сетевых подключений в Astra Linux.

  3. В файле /etc/hosts должно быть настроено разрешение имени компьютера. Инструмент astra-sambadc постарается сделать это сам, однако в сложных файлах возможны ошибки настройки.


Для создания нового домена с помощью инструмента командной строки используется команда:

astra-sambadc -d <имя_домена> -px
или (небезопасно с точки зрения сохранности пароля):
astra-sambadc -d <имя_домена> -p <пароль_администратора_домена>
Для создания нового домена с использованием DDNS следует дополнительно использовать опцию -b, например:
astra-sambadc -d <имя_домена> -px -b
Данные, необходимые для создания домена и не указанные в аргументах команды при выполнении команды будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-sambadc с параметром -h:

astra-sambadc -h
Графический инструмент после установки доступен для запуска из командной строки или через систему меню: «Пуск» - «Панель управления» - «Сеть» - «Настройка сервера Active Directory»

После установки домена Samba AD требуется перезагрузить компьютер.

Ввод клиента Astra Linux в домен AD с помощью winbind

Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. Рекомендованным инструментарием является sssd. См. статью Ввод Astra Linux в домены Windows Active Directory или Samba.

В состав дистрибутивов Astra Linux входит графический инструмент:

fly-admin-ad-client
и инструмент командной строки:
astra-winbind
реализующие сценарий автоматизированной настройки компьютера Astra Linux для ввода в существующий домен AD.

При написании этой статьи в качестве контроллера домена Active Directory использовался демонстрационный образ Windows Server 2012 R2, доступный на WEB-сайте Microsoft, в качестве клиентов использовались компьютеры под управлением  Astra Linux Common Edition и Astra Linux Special Edition.

Перед вводом компьютера в домен необходимо настроить на этом компьютере :

  • службу разрешения имён (DNS) так, чтобы в качестве сервера DNS использовался сервер DNS этого домена. Если этого не сделать, то контроллер домена не будет обнаружен;
  • службу времени, чтобы обеспечить точные показания часов. При некорректных показаниях часов невозможна доменная аутентификация с использованием Kerberos. Если из-за скачков времени в кеш попадают записи из будущего то даже при синхронизированных часах аутентификация остается невозможной, и при входе пользователя выдается предупреждение вида "Failed to establish your Kerberos Ticket cache due time differences with the domain controller. Please verify the system time.". Для устранения этой ошибки необходимо очистить кеш командой:

    sudo net cache flush

Для ввода компьютера в домен используется команда:

sudo astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -px
или (небезопасно):
astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -p <пароль_администратора_домена>
Данные, необходимые для ввода в домен и не указанные в аргументах команды, будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-winbind с параметром -h:

astra-winbind -h

Графический инструмент для ввода компьютера в существующий домен AD fly-admin-ad-client после установки доступен для запуска из командной строки или через систему меню:

«Пуск» - «Панель управления» - «Сеть» - «Настройка клиента Active Directory»

Проверка успешности присоединения к домену

Для проверки успешности присоединения к домену рекомендуется использовать команду:

sudo kinit Administrator
sudo net ads testjoin -k

Дополнительно, можно использовать различные варианты команды wbinfo, например проверка регистрации:

sudo wbinfo -t

Список пользователей домена:

wbinfo -u
Список групп домена:
wbinfo -g