См. также: Ввод Astra Linux в домен FreeIPA.
Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.8)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7), РУСБ.10015-10
- Astra Linux Special Edition РУСБ.10015-17
- Astra Linux Special Edition РУСБ.10015-37 (очередное обновление 7.7)
- Astra Linux Special Edition РУСБ.10015-03 (очередное обновление 7.6)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6) с установленным обновлением БЮЛЛЕТЕНЬ № 20200327SE16 (оперативное обновление 5)
- Astra Linux Special Edition РУСБ.10015-16 исп. 1 с установленным обновлением Бюллетень № 20201007SE16
- Astra Linux Special Edition РУСБ.10015-16 исп. 2
- Astra Linux Special Edition РУСБ.10265-01 (очередное обновление 8.1)
- Astra Linux Common Edition 2.12
Введение
Ввод компьютера под управлением Astra Linux в домен Windows Active Directory или в домен Samba может быть выполнен двумя способами:
- С использованием инструментария sssd:
- графический инструмент fly-admin-ad-sssd-client;
- инструмент командной строки astra-ad-sssd-client;
С использованием инструментария winbind:
Инструментарий winbind устарел, не поддерживает полной функциональности и не рекомендуется к использованию. Рекомендованным инструментарием является sssd.- графический инструмент fly-admin-ad-client;
- инструмент командной строки astra-winbind;
Далее рассматривается установка и использование этих инструментов. Рекомендованным способом ввода в домен является ввод с использованием sssd. Дополнительную информацию про winbind и sssd см. Сравнение winbind и sssd.
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 и выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена Windows AD рекомендуется использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее см. : Особенности ввода в домен Windows AD 2003.
Конфигурация стенда
| Имя компьютера (hostname) | Операционная система | Роли компьютера | IP-адрес |
|---|---|---|---|
| dc01.example.com | Windows Server 2008R2 | Контроллер домена; DNS сервер | Статический (далее для примера используется IP-адрес 192.168.5.7) |
| astra01 | Astra Linux Special Edition | Рабочая станция, член домена | Статический или динамически назначаемый IP-адрес |
Настройка системных часов и сетевых подключений
Для успешного ввода компьютера в домен на вводимом компьютере перед вводом в домен необходимо:
- Обеспечить синхронизацию часов на контроллере домене и вводимом компьютере (см. Службы синхронизации времени в Astra Linux).
- Указать IP-адрес DNS-сервера. таким образом, чтобы разрешалось имя контроллера домена. Обычно в качестве адреса DNS-сервера используется IP-адреса самого контроллера домена. Подробнее про настройку сети см. Настройка сетевых подключений в Astra Linux.
Инструменты SSSD
Графический инструмент fly-admin-ad-sssd-client
Для ввода с помощью SSSD в домен Windows 2003 компьютера под управлением Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7) без установленных оперативных обновлений или с установленным оперативным обновлением БЮЛЛЕТЕНЬ № 2021-1126SE17 (оперативное обновление 1.7.1) необходимо использовать пакет realmd_0.16.3-2+b1 или пакет realmd с более новой версией. В более поздних обновлениях нужный пакет входит в состав репозиториев, и отдельной установки не требует.
Для установки пакета:
- Скачать пакет с помощью web-браузера (по умолчанию пакет будет сохранен в каталоге Загрузки);
Установить пакет:
sudo apt install Загрузки/realmd_0.16.3-2+b1_amd64.deb
Установка пакетов
Установить графический инструмент fly-admin-ad-sssd-client можно используя графический менеджер пакетов synaptic или из командной строки командой:
При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.
Ввод в домен с помощью fly-admin-ad-sssd-client
После установки пакет доступен в графическом меню:
- в Astra Linux Special Edition 1.8: "Пуск" → "Параметры" → "Клиент и сервер" → "Настройка клиента SSSD Fly";
- в более ранних обновлениях: "Пуск" → "Панель управления" → "Сеть" → "Настройка клиента SSSD Fly".
Для ввода компьютера Astra Linux в домен Active Directory:
- Запустить инструмент:
- После запуска инструмента указать:
- имя домена, к которому требуется подключиться;
- имя и пароль администратора домена;
- опционально - IP-адрес, который должен быть назначен клиенту (для Astra Linux Special Edition 1.8, в более ранних обновлениях назначение IP-адреса не поддерживается);
- нажать кнопку "Подключиться":
Инструмент командной строки astra-ad-sssd-client
Установка пакетов
Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Ввод в домен с помощью astra-ad-sssd-client
- При вводе компьютера в домен с помощью astra-ad-sssd-client также будет настроен сервер samba. См. Samba.
- При вводе компьютера в домен с помощью astra-ad-sssd-client в файл /etc/hosts может быть добавлена запись, фиксирующая актуальный IP-адрес компьютера. Если для компьютера используется динамическое назначение адресов, то после завершения ввода компьютера в домен и перед перезагрузкой эту запись рекомендуется удалить.
где:
- -d example.com - указание имени домена;
- -u Администратор - указание имени администратора домена;
Примерный диалог при выполнении команды:
compname = astra01 domain = example.com username = admin введите пароль администратора домена: ok продолжать ? (y\N) y настройка сервисов... Завершено. Компьютер подключен к домену. Для продолжения работы, необходимо перезагрузить компьютер!
Для завершения подключения требуется перезагрузить компьютер:
sudo astra-ad-sssd-client -h
Usage: astra-ad-sssd-client <ключи>
ключи:
-h,--help этот текст
-d домен. если отсутствует, берется из hostname.resolv.conf
-y отключает запрос подтверждения
-i информация по текущему подключению
-u логин администратора домена
-n сервер времени.
-px получает пароль администратора домена от внешнего сценария
через перенаправление стандартного ввода (stdin)
-p пароль администратора домена
-U удаление
--par <параметры> указать дополнительные параметры вручную (для realm)
-fn, --fullnames использовать полные имена пользователей вида 'admin@domain.ru' (доступно при установке актуального оперативного обновления)
-sn, --shortnames использовать короткие имена пользователей вида 'admin' (по умолчанию) (доступно при установке актуального оперативного обновления)
После перезагрузки проверить статус подключения можно следующими способами:
Получить билет Kerberos от имени администратора домена:
kinit admin@dc01.example.comПроверить статус подключения:
sudo astra-ad-sssd-client -i
Примеры
Подключение к домену domain.net с именем администратора admin и (небезопасным!) указанием пароля администратора, без запроса подтверждения:
Удаление компьютера из домена Windows AD
Для удаления компьютера из домена (удаление механизма авторизации) используйте команду:
Автоматическое обновление пароля доменного компьютера в связке sssd+samba
Службы sssd и samba могут самостоятельно периодически обновлять пароль компьютера. На компьютерах, введенных в домен с помощью инструмента astra-ad-sssd-client, используется обновление пароля только службой sssd. Обновление пароля службой samba по умолчанию отключено в конфигурации этой службы. Обновление пароля службой samba недопустимо и ведет к невозможности работы компьютера в домене. При внесении изменений в конфигурацию службы samba для предотвращения включения обновления пароля необходимо соблюдать следующие требования:
параметр
kerberos methodдолжно иметь значениеsecrets and keytab(это значение присваивается по умолчанию при вводе в домен):kerberos method = secrets and keytab
если параметру
kerberos methodприсвоено иное значение, то должен быть задан параметрmachine password timeoutсо значением0:machine password timeout = 0
Инструменты Winbind
Графический инструмент fly-admin-ad-client
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory с использованием winbind. Установить ее можно с помощью графического менеджера пакетов synaptic или из командной строки командой:
Ввод в домен с помощью fly-admin-ad-client
- Открыть "Панель управления":
- Выбрать раздел "Сеть" → "Настройка клиента Active Directory":
- Заполнить все поля и нажать кнопку "Подключиться":
Инструмент командной строки astra-winbind
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
Ввод в домен с помощью astra-winbind
Операционная система Windows 2003 использует версию v1 протокола SMB (SMBv1) и не поддерживает протоколы SMBv2 выше. В современных обновлениях Astra Linux использование версии протокола SMBv1 по-умолчанию отключено, так как эта версия устарела и небезопасна. В качестве контроллера домена рекомендуется Windows AD использовать версии Windows поддерживающие протокол SMBv2. При невозможности обновления Windows для подключения к домену Windows 2003 следует использовать winbind, подробнее про процедуру см.: Особенности ввода в домен Windows AD 2003.
Ввод компьютера в домен может быть выполнен командой:
где:
- -dc dc01.example.com - указание контроллера домена;
- -u Администратор - указание имени администратора домена;
Подсказка по команде:
sudo astra-winbind -h
Usage: astra-winbind <ключи>
ключи:
-h этот текст
-dc имя контроллера домена. если FQDN, ключ -d можно опустить
-d домен. если отсутствует, берется из файла /etc/resolv.conf
-g группа. если отсутствует, берется из домена
-n сервер времени. если нет, используется контроллер домена
-y отключает запрос подтверждения
-i информация по текущему подключению
-u логин администратора домена
-px получает пароль администратора домена из stdin
-p пароль администратора домена (небезопасно)
-s разрешить и запустить службу подключения к домену
-S запретить и остановить службу подключения к домену
-l вывести компьютер из домена
примеры:
полное имя контроллера домена и отключение запроса подтверждения
astra-winbind -dc astra01.atws.as -u admin -p password -y
сторонний сервер времени и запрос пароля в процессе
astra-winbind -dc astra01 -d atws.as -n 192.168.5.7 -u admin
передача пароля через stdin, домен ищется в resolv.conf
echo | ./astra-winbind -dc astra01 -u admin -px -y
информация о текущем домене
astra-winbind -i
Особенности ввода в домен Windows AD 2003
При вводе в домен Windows AD 2003 первая попытка вода окончится неудачей. Для завершения процедуры ввода:
Сохранить копию созданного при первой попытке ввода в домен конфигурационного файла /etc/samba/smb.conf, например:
cp /etc/samba/smb.conf /tmp/smb.confДобавить в секцию [global] сохраненной копии параметр client min protocol = NT1:
sed -i -e '/^\[global\]/a client min protocol = NT1' "/tmp/smb.conf";Выполнить ввод в домен используя модифицированный файл конфигурации:
sudo astra-winbind -dc dc01.example.com -u Администратор -y --par "--configfile=/tmp/smb.conf"Заменить созданный при второй попытке ввода конфигурационный файл /etc/samba/smb.conf сохраненной модифицированной копией:
sudo mv /tmp/smb.conf /etc/samba/smb.confПерезагрузить компьютер:
sudo systemctl restart