|
Введение
В состав дистрибутивов Astra Linux входит пакет программ Samba, обеспечивающий совместимость со средой Microsoft Active Directory (далее - AD).
Samba позволяет компьютерам с ОС Astra Linux выступать как в роли контроллера домена AD, так и в роли клиента домена AD.
Помимо пакета Samba в состав дистрибутивов Astra Linux входят консольные и графические средства, позволяющие быстро инициализировать Active Directory домен или подключиться к уже существующему домену AD.
Возможности Samba
• Служба аутентификации на базе Kerberos v5;
• LDAP-совместимая служба каталогов с поддержкой репликации;
• Поддержка групповых политик;
• Поддержка доверительных отношений;
• DNS-сервер на базе BIND или собственной реализации.
Samba как контроллер домена (инструмент astra-sambadc)
В состав Astra Linux входят инструменты обеспечивающие сценарии автоматизированной настройки и построения нового контроллера домена или включения в существующий домен в роли контроллера домена.
Инструмент командной строки:
astra-sambadc Графический инструмент:
fly-admin-ad-server
Установить эти инструменты можно с помощью графического менеджера пакетов или из командной строки:
sudo apt install astra-sambadc |
При установке инструментов автоматически будут установлены необходимые для работы домена AD пакеты samba, winbind и ntp.
Samba как контроллер домена поддерживает два режима работы с DNS:
- с использованием встроенного DNS-сервера Samba;
с использованием DNS-сервера bind9. Если предполагается, что будет использоваться сервер bind9 следует установить его и установить пакет dnsutils:
sudo apt install bind9 dnsutils
Подготовка компьютера
- Рекомендуется назначить компьютеру постоянный IP-адрес. Допускается использовать динамическое назначение адресов, но при этом должно быть настроено автоматическое обновление адресов (настройка работы в таком режиме выходит за рамки данной статьи, см. статьи DHCP-сервер ISC-DHCP).
Если используется получение адреса по DHCP, то отдельно следует обеспечить, чтобы вместе с адресом по DHCP не принимались посторонние имя поискового домена и адрес сервера DNS. Общие инструкции по настройке см. в статье Настройка сетевых подключений в Astra Linux. Должно быть настроено разрешение имён, а именно: в файле /etc/resolv.conf в качестве адреса сервера DNS (параметр nameserver) должен быть указан собственный IP-адрес компьютера и в качестве поискового домена (параметр search) следует указать используемое имя домена, например:
# Generated by NetworkManager search sambadomain.ru nameserver 192.168.27.251
При использовании службы автоматической настройки сети NetworkManager этот файл нельзя редактировать напрямую, и следует использовать инструменты NetworkManager. Общие инструкции по настройка см. в статье Настройка сетевых подключений в Astra Linux.
- В файле /etc/hosts должно быть настроено разрешение имени компьютера. Инструмент astra-sambadc постарается сделать это сам, однако в сложных файлах возможны ошибки настройки.
Для создания нового домена с помощью инструмента командной строки используется команда:
| astra-sambadc -d <имя_домена> -px |
или (небезопасно с точки зрения сохранности пароля):
astra-sambadc -d <имя_домена> -p <пароль_администратора_домена> |
Для создания нового домена с использованием DDNS следует дополнительно использовать опцию -b, например:
| astra-sambadc -d <имя_домена> -px -b |
Данные, необходимые для создания домена и не указанные в аргументах команды при выполнении команды будут запрошены в интерактивном режиме.
Дополнительная информация по использованию команды доступна при выполнении команды astra-sambadc с параметром -h:
astra-sambadc -h |
Графический инструмент после установки доступен для запуска из командной строки или через систему меню: «Пуск» - «Панель управления» - «Сеть» - «Настройка сервера Active Directory»
| После установки домена Samba AD требуется перезагрузить компьютер. |
Ввод клиента Astra Linux в домен AD с помощью winbind
| Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. Рекомендованным инструментарием является sssd. См. статью Ввод Astra Linux в домены Windows Active Directory или Samba. |
В состав дистрибутивов Astra Linux входит графический инструмент:
fly-admin-ad-client |
и инструмент командной строки:
astra-winbind |
реализующие сценарий автоматизированной настройки компьютера Astra Linux для ввода в существующий домен AD.
При написании этой статьи в качестве контроллера домена Active Directory использовался демонстрационный образ Windows Server 2012 R2, доступный на WEB-сайте Microsoft, в качестве клиентов использовались компьютеры под управлением Astra Linux Common Edition и Astra Linux Special Edition.
Перед вводом компьютера в домен необходимо настроить на этом компьютере :
|
Для ввода компьютера в домен используется команда:
sudo astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -px |
или (небезопасно):
| astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -p <пароль_администратора_домена> |
Данные, необходимые для ввода в домен и не указанные в аргументах команды, будут запрошены в интерактивном режиме.
Дополнительная информация по использованию команды доступна при выполнении команды astra-winbind с параметром -h:
astra-winbind -h |
Графический инструмент для ввода компьютера в существующий домен AD fly-admin-ad-client после установки доступен для запуска из командной строки или через систему меню:
| «Пуск» - «Панель управления» - «Сеть» - «Настройка клиента Active Directory» |
Проверка успешности присоединения к домену
Для проверки успешности присоединения к домену рекомендуется использовать команду:
| sudo kinit Administrator sudo net ads testjoin -k |
Дополнительно, можно использовать различные варианты команды wbinfo, например проверка регистрации:
| sudo wbinfo -t |
Список пользователей домена:
| wbinfo -u |
Список групп домена:
| wbinfo -g |