Для ввода рабочей станции в домен произвожу следующие шаги,и все равно не могу залогиниться на машину с линуксом виндовым пользователем.где что нужно поравить,подскажите.
Для ввода рабочей станции в домен нам необходимо наличие в системе следующих пакетов: — krb5-kinit, libkrb5, samba-client-3.x, samba-common-3.x, samba-3.x, openntpd pam_mount. Если чего-то не хватает, то нам нужно будет их скачать и установить. Ниже я привожу список символических параметров настройки, которые нужно будет изменить на свои, согласно вашей конфигурации сети:
имя_контроллера_домена — netbios имя контроллера домена. Например: control
полное_имя_домена — имя домена включая суфикс. Например: mydomain.local
короткое_имя_домена — просто имя домена. Например: mydomain
имя_рабочей_станции — netbios имя нашей рабочей станции. Например: computer1
имя_администратора_домена — говорит само за себя.
пароль_администратора_домена — говорит само за себя.
Примечание: Если в примере что-либо написано с большой буквы (или букв), то именно так нужно писать и нам.
Шаг 1 - Для начала нам нужно доставить необходимые пакеты, часть пакетов в системе уже установлена. Подключаем репозитории и доставляем отсутствующие следующей командой:
# apt-get install krb5-kinit pam_mount
После установки необходимых пакетов, нам нужно включить в автозапуск необходимые службы. Выполним следующие команды:
# chkconfig smb on ; chkconfig winbind on ; chkconfig ntpd on
Шаг 2 - Этим шагом мы проверим, разрешается ли наш контроллер домена через свое доменное имя, а так-же настроим нашу рабочую станцию на разрешение собственного доменного имени. Выполняем команду:
ping имя_контроллера_домена.полное_имя_домена
и смотрим на результат. Если приходит эхо ответ, значит все в порядке. Теперь мы настроим нашу рабочую станцию:
# echo “127.0.0.1 имя_рабочей_станции.полное_имя_домена localhost имя_рабочей_станции” > /etc/hosts
и тоже проверим результат наших трудов:
# ping имя_рабочей_станции.полное_имя_домена
Шаг 3 - Следующим шагом будет настройка синхронизации времени с нашим контроллером домена. Синхронное время — это очень важный момент для доменной рабочей станции и не стоит им пренебрегать. Сперва мы пропишем в файл конфигурации сервиса синхронизации времени, наш контроллер домена:
# echo “servers имя_контроллера_домена.полное_имя_домена” > /etc/ntpd.conf
Затем мы перезапустим сервис синхронизации времени:
# service ntpd restart
Шаг 4 - Пришло время настроить получение билетов авторизации по протоколу Kerberos. Все что нам нужно, так это иметь файл /etc/krb5.conf такого вот вида:
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log
[libdefaults]
ticket_lifetime = 24000
default_realm = ПОЛНОЕ_ИМЯ_ДОМЕНА_например_MYDOMAIN.LOCAL
dns_lookup_realm = true
dns_lookup_kdc = true
[realms]
ПОЛНОЕ_ИМЯ_ДОМЕНА = {
kdc = имя_контроллера_домена.полное_имя_домена:88
admin_server = имя_контроллера_домена.полное_имя_домена:749
default_domain = полное_имя_домена
}
[domain_realm]
.полное_имя_домена = ПОЛНОЕ_ИМЯ_ДОМЕНА
полное_имя_домена = ПОЛНОЕ_ИМЯ_ДОМЕНА
[kdc]
profile = /var/lib/kerberos/krb5kdc/kdc.conf
[pam]
debug = false
ticket_lifetime = 24000
renew_lifetime = 24000
forwardable = true
krb4_convert = false
Сейчас и впредь, мы будем выставлять необходимые права на те файлы, которые создаем. Из-за неправильно выставленных разрешений будут появляться ошибки, а проверять все созданные файлы мы не будем, так как это отнимает время. Поэтому после создания файла мы будем выполнять всего одну команду, которая установит интересующие нас правила. Быстро и наверняка
Нас интересует схема «Запись и чтение для хозяина, чтение для группы, чтение для всех остальных»:
# chmod –f 0644 /etc/krb5.conf
Посмотрим, сможем ли мы получить билет авторизации:
# kinit имя_администратора_домена@ПОЛНОЕ_ИМЯ_ДОМЕНА
На запрос о пароле, вводим пароль_администратора_домена. Если результат будет положительным — мы не получим никаких лишних сообщений на экране. Проверяем наличие билета командой klist. Вывод ее должен быть примерно такой:
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: имя_администратора_домена@ПОЛНОЕ_ИМЯ_ДОМЕНА
Valid starting Expires Service principal
03/25/08 17:49:35 03/26/08 00:29:35 krbtgt/ПОЛНОЕ_ИМЯ_ДОМЕНА@ПОЛНОЕ_ИМЯ_ДОМЕНА
а затем удалим билетик командой kdestroy.
Шаг 5 - Настраиваем сервер SAMBA. Заменяем содержимое /etc/samba/smb.conf приведенным ниже текстом:
# Samba config file created by Alexandr
# Date: 2009/09/02
[global]
dos charset = CP866
unix charset = UTF8
display charset = LOCALE
workgroup = КОРОТКОЕ_ИМЯ_ДОМЕНА_например_MYDOMAIN
netbios name = желаемое_имя_рабочей_станции_например_computer1
security = ads
password server = имя_контроллера_домена.полное_имя_домена_например_controller.mydomain.local
realm = ПОЛНОЕ_ИМЯ_ДОМЕНА
encrypt passwords = yes
winbind refresh tickets = True
winbind offline logon = True
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind use default domain = True
template homedir = /home/%D/%U
template shell = /bin/bash
server string =
printcap name = cups
load printers = yes
printing = cups
log file = /var/log/samba/log.%m
max log size = 50
dns proxy = no
ldap ssl = no
domain master = no
local master = no
preferred master = no
os level = 0
use sendfile = yes
map to guest = Bad User
public = yes
browseable = yes
Затем:
# chmod –f 0644 /etc/samba/smb.conf
Настроить доступ к нашим сетевым папкам и принтерам мы всегда сможем позже, а сейчас главное — это как можно глаже ввести рабочую станцию в домен.
Шаг 6 - Я представляю себе, образно…, что это за файл, но вот сформулировать это на бумаге не могу. Просто наполняем файл /etc/nsswitch.conf таким вот содержимым:
passwd: files winbind nisplus nis
shadow: tcb files winbind nisplus nis
group: files winbind nisplus nis
hosts: files nisplus nis dns
ethers: files
netmasks: files
networks: files
protocols: files
rpc: files
services: files
bootparams: nisplus [NOTFOUND=return] files
netgroup: nisplus
publickey: nisplus
automount: files nisplus
aliases: files nisplus
# chmod –f 0644 /etc/nsswitch.conf
Шаг 7 - А еще мы можем добавлять доменных пользователей, а точнее доменные группы — в локальные. Это достаточно полезно, так как по умолчанию доменный пользователь может только перемещаться в своем каталоге, да читать файлы которые разрешены на чтение для «всех остальных». Делается это с помощью pam_group. Он обычно всегда установлен в системе. Вот пример файла конфигурации /etc/security/group.conf
*;*;*;Al0000-2400;wheel,cdrom,floppy,cdwriter,audio,radio,camera,xgrp,scanner
где:
первый параметр — имя сервиса, на который распространяется данное правило. В примере это любой сервис.
второй параметр — номер консоли с которой осуществляется вход. В примере это 7-я консоль.
третий параметр — имя пользователя. В примере это любой пользователь.
четвертый параметр — время, на которое распространяется правило. У нас — любое время.
пятый параметр — группы, в которые входят наши пользователи. Названия говорят сами за себя.
Тоесть, в примере каждый пользователь с любой консоли и в любое время суток, входит в группы:
wheel,cdrom,floppy,cdwriter,audio,radio,camera,xgrp,scanner
# chmod –f 0644 /etc/security/group.conf
Все настройки сделаны, нам осталось лишь ввести компьютер в домен. Выполним команды:
# service smb restart ; service winbind restart ; net ads join -U имя_администратора_домена
Результатом правильного выполнения команды будет вывод:
Using short domain name – КОРОТКОЕ_ИМЯ_ДОМЕНА
Joined 'имя_рабочей_станции' to realm 'ПОЛНОЕ_ИМЯ_ДОМЕНА'
Сделаем еще одну проверку, выполним команду:
$ wbinfo -t
вывод должен быть примерно такой:
checking the trust secret via RPC calls succeeded
Перезагрузим рабочую станцию и можем пользоваться.
