Calculate linux ввод в домен windows

Установка Calculate Directory Server (CDS)

Загружаемся с установочного диска, затем:

# calculate --disk=/dev/sda --set-lang=ru_RU --set-hostname=server --set-video_resolution=1024x768

После перезагрузки настраиваем сеть, задаем статический адрес.

# mcedit /etc/config.d/net

config_eth0=( "192.168.0.1/24" )
modules_eth0=( "!plug" )

Для второй сетевой карты (внешней) создаем символьную ссылку. Адрес будет назначаться по DHCP.

# cd /etc/init.d/

# ln -s net.lo net.eth1

# rc-update add net.eth1 boot

Устанавливаем сервисы. При установке можно явным образом задать название домена и net-BIOS имя сервера.

# cl-setup ldap

# cl-setup unix

# cl-setup -w WORKGROUP -n SERVER samba

Настройка контроллера домена

Для начала следует задать пароль администратора сервера: пользователя с логином [admin] для ввода клиентских Windows компьютеров в домен, домашней директории этот пользователь не имеет.

# cl-passwd --smb admin samba

Если нужен администратор домена для управления Windows компьютерами, добавьте нового пользователя который будет включен в доменную группу «Domain Admins» и задайте ему пароль.

# cl-useradd -p --gid 'Domain Admins' -c 'Администратор домена' Administrator samba

# cl-passwd Administrator samba

Или включите в эту группу существующего пользователя admin.

# cl-groupmod -a admin 'Domain Admins' samba

Создание встроенной группы «Power Users» — пользователи имеющие дополнительные права.

# cl-groupadd -g 547 --rid 547 -t 5 'Power Users' samba

Меняем настройки Samba, чтобы клиенты Windows могли сами менять пароль (Отсутствует pазpешение на смену паpоля).

# mcedit /etc/samba/smb.conf

unix password sync = no

Подключение к домену рабочей станции MS Windows

При подключении указываем домен [calculate], логин администратора [admin]. Если при включении в домен отображается ошибка «Присоединенное к системе устройство не работает», достаточно повторно ввести имя администратора домена и пароль.

Настройка прокси-сервера

Устанавливаем прокси-сервер. У клиентов в настройках адрес прокси-сервера: 192.168.0.1:8080

# cl-setup proxy

Создадим группу [inet], имеющую доступ ко всем протоколам.

# cl-groupadd -p 1-65535 inet proxy

Теперь создаем пользователя [username] и назначаем ему группу доступа [inet].

# cl-useradd -p -g inet username proxy

Либо предоставляем пользователю доступ к отдельным протоколам.

# cl-usermod -G http,https username proxy

Если не хотим вникать в разграничение доступа, ставим настройки по умолчанию.
Адрес прокси: 192.168.0.1:3128

# cd /etc/squid

# cp squid.conf squid.conf.old

# cp squid.conf.default squid.conf

Маршрутизатор на CDS

Устанавливаем DNS сервер.

# cl-setup dns

Сервис установится сам, но нам придётся кое-что подправить. Эти строки указывают на какие сервера будут перенаправляться DNS запросы. Если не известны адреса DNS провайдера и нет предубеждения против Google, можно вставить адреса Google Public DNS.

# mcedit /etc/bind/named.conf

forward first;
forwarders {
  8.8.8.8;
  8.8.4.4;
};

Теперь установим DNS сервер.

# cl-setup --net 192.168.0.0/24 --router 192.168.0.1 --dnames mydomain.ru

--dnsip 192.168.0.1 --range 192.168.0.100,192.168.0.254 dns

Настроим маршрутизацию, чтобы пользователи внутренней сети могли использовать глобальную сеть. Для этого можно использовать скрипт, приведённый ниже:

#!/bin/bash

#################################################################
# Данный скрипт основан на древнем мануале с сайта gentoo.ru.   #
# За всё время не дал ни одной осечки, если конечно я его хорошо#
# скопировал! ;) Удачи всем!                                    #
#################################################################

#Обнуляем все правила в iptables
iptables -F
iptables -t nat -F

#Установим политики по умолчанию для трафика, не соответствующего ни одному из правил
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP

#Для наглядности
export LAN=eth0
export WAN=eth1

#Теперь закроем наши сервисы так, чтобы они могли работать только для LAN
iptables -I INPUT 1 -i ${LAN} -j ACCEPT
iptables -I INPUT 1 -i lo -j ACCEPT
iptables -A INPUT -p UDP --dport bootps -i ! ${LAN} -j REJECT
iptables -A INPUT -p UDP --dport domain -i ! ${LAN} -j REJECT

##Дадим доступ к портам dns(53), почте (995,25) и если хотите, SSH, но это не всегда полезно.
#iptables -A INPUT -p TCP --dport 53 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 995 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 25 -i ${WAN} -j ACCEPT
#iptables -A INPUT -p TCP --dport 22 -i ${WAN} -j ACCEPT

#Отбросим все TCP/UDP-пакеты, обращающиеся к привилегированным портам
iptables -A INPUT -p TCP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP
iptables -A INPUT -p UDP -i ! ${LAN} -d 0/0 --dport 0:1023 -j DROP

#Создадим правила для NAT
iptables -I FORWARD -i ${LAN} -d 192.168.0.0/255.255.255.0 -j DROP
iptables -A FORWARD -i ${LAN} -s 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -A FORWARD -i ${WAN} -d 192.168.0.0/255.255.255.0 -j ACCEPT
iptables -t nat -A POSTROUTING -o ${WAN} -j MASQUERADE

#Сообщаем ядру, что ip-форвардинг разрешен
echo 1 > /proc/sys/net/ipv4/ip_forward
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do echo 1 > $f ; done

#Сохраняем правила, чтоб не запускать больше этот скрипт и добаляем iptables в автозагрузку
/etc/init.d/iptables save
rc-update add iptables default
echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf
echo "net.ipv4.conf.default.rp_filter = 1" >> /etc/sysctl.conf

#Закомментируйте, если у вас статический адрес у провайдера
echo "net.ipv4.ip_dynaddr = 1" >> /etc/sysctl.conf
/etc/init.d/iptables start

################################################
#               end script                     #
################################################

Ссылки

• http://www.calculate-linux.org/main/ru/migration_to_linux
• http://www.calculate-linux.org/main/ru/building_network_using
• http://old.calculate-linux.ru/Документация
• http://www.calculate-linux.org/main/ru/cds_manuals
• Маршрутизатор на CDS

Смена пароля

Ошибка «Отсутствует pазpешение на смену паpоля»
http://forum.shelek.ru/index.php/topic,15506.0.html

unix password sync = no

1. Настройка сети¶

Начальная настройка¶

Перед тем, как настраивать конфигурационный файл, нужно убедиться, что в директории /etc/init.d/ присутствует символическая ссылка на /etc/init.d/net.lo с именем конфигурируемого интерфейса (в примерах упоминается сетевой интерфейс eth0.

Если настройки сети получаем по DHCP, то конфигурационный файл будет иметь вид:

Если используем статический адрес, конфигурационный файл будет иметь вид:

Если настройки не прописаны в конфигурационном файле, то будет предпринята попытка получить настройки сети по DHCP.

Также при запуске системы можно обнаружить такого рода сообщение:

Не пугайтесь. Сеть продолжает подниматься, просто не тормозит загрузку системы. В некоторых случаях это удобно, а в некоторых нет. Те, кому подобная ситуация не нравится, могут дописать в /etc/conf.d/net такую строку:

Но помните, при следующем запуске придется дожидаться окончания загрузки сети.

Расширенные настройки сети¶

Иногда при наличии одной сетевой карты существует необходимость работать в нескольких сетях. Это можно реализовать, присвоив несколько адресов одному сетевому интерфейсу. Например:

MTU для интерфейса прописываем таким способом (актуально для DSL-модемов, в основном используют значение 1000):

Настройки DNS для интерфейса:

Настройка синхронизации с сервером времени (NTP):

Источник

Linuxoid

OpenSource forever

Строим сеть на Calculate Directory Server

Here all my tuxian friends are scared when it comes to gentoo or anything related to it. they say, «hands will be on fire, if you touch it» so much customizable. now everyone is talking of Calculate Linux. its a real blessing, i must say

Из сообщения в IRC проекта Calculate Linux

Принято считать, что управление большим количеством Linux систем очень сложное, разработчики Calculate Linux доказали что это не так.

Зачем еще одно “поделие”?

Установка Calculate Linux

Перед загрузкой рекомендую на всякий случай ознакомиться с документом “Структура FTP зеркала”, это снимет ряд вопросов, что и где скачивать. Дистрибутив CDS и CLDX поставляется в виде LiveCD, а CLD — LiveDVD ISO образов. Образы находятся в одноименных каталогах, внутри отдельные подкаталоги со сборками для i686 и x64 систем. Здесь же доступны tar.7z архивы, которые предназначены для обновления дистрибутива и по составу приложений не отличаются от ISO вариантов. Последние версии Calculate поддерживают обновление и из установочных ISO образов, поэтому дополнительно tar.7z файл скачивать уже не обязательно.
Аппаратные требования системы для работы не высоки: процессор класса i686, 256 Мб ОЗУ (512 Мб для CLD) и 3 Гб (6 Гб CLD) места на жестком диске. После перехода в версии 9.6 на использование алгоритма LZMA во время установки требуется не менее 1 Гб ОЗУ, иначе копирование файлов завершается с ошибкой. Решить проблему можно подключив swap раздел командой swapon. Разработчики знают о проблеме, и уже в CLD 9.7 установочный скрипт самостоятельно монтирует swap раздел перед началом копирования файлов (в CDS 9.7 для этого необходимо обновить установщик).
Установка дистрибутива на жесткий диск, обновление, а также сборка загрузочного ISO-образа системы производится при помощи Perl утилиты “calculate” собственной разработки, работающей в консоли. Не смотря на отсутствие, каких либо графических инструментов процесс инсталляции очень прост. Следует загрузиться в Live режиме (при наличии 2 Гб памяти можно выгрузить образ в ОЗУ), обновить скрипт calculate.

В версии 9.6 для этого следовало выполнять:

В релизе 9.7 появилась новая версия calculate 1.1.0, которая не поддерживает параметра —update, поэтому обновлять следует через emerge:

Далее два варианта установки. При наличии жесткого диска размером > 45 Гб (при установке на флэшку достаточно 1/2 Гб), утилита calculate умеет автоматически разбивать пространство и создавать разделы (все разделы будут уничтожены). В этом случае в качестве параметра необходимо указать только диск:

В результате будет установлена система, жесткий диск будет разбит на такие разделы:

Именно такая схема рекомендуется разработчиками и чтобы получить все преимущества Calculate и ее желательно придерживаться (почему объясню чуть позже). Под корневой раздел можно отвести меньшее место (в документации указано 10-20 Гб, но нижний предел можно сделать еще меньше, установка занимает Утилиты Calculate 2 – основа Calculate Directory Server

Утилиты и профили Calculate Linux

Для настройки контролера домена нам понадобится LDAP и Samba, запускаем при помощи “cl-setup”. Команда проста.

Программа выполнит настройку LDAP, администратор получит предупреждение о том, что база данных будет перезаписана (архив сохраняется в /var/calculate/server-backup/ldap). Также сервис будет добавлен в автозагрузку. Теперь аналогично сервисы Unix и Samba.

Этой командой мы подключаем возможность аутентификации учетных записей c системными ID хранящихся в LDAP. И наконец:

Будет запущен сервис Samba и созданы служебные пользователи client и admin, необходимые для ввода соответственно Linux и Windows компьютеров в домен. Последовательность запуска важна. Так как, например, введя перед запуском LDAP команду “cl-setup unix” получим предупреждение:

Список настроенных сервисов можно узнать, просмотрев файл /etc/calculate/calculate.env:

Пароли доступа всех сервисов к LDAP хранятся в /etc/calculate/calculate.ldap (при запуске сервиса они генерируются случайным образом и уникальны для каждой системы).

Установим пароль для учетных записей client и admin, которые используются для ввода в домен соответственно Linux и Windows машин:

Подключение Linux клиента к домену

Регистрируемся на клиентской Linux системе, как root и вводим ее в домен, указав в качестве параметра cl-client имя сервера CDS или его IP-адрес. По ходу будет запрошен пароль учетной записи client:

Саму команду рекомендуется вводить в локальной или удаленной (через SSH) консоли, а не под Х. И вот почему. При успешном входе в домен будет выполнено ряд действий. Изменятся настройки файлов — /etc/pam.d/system-auth, /etc/nsswitch.conf в которых будет подключены пользователи Samba сервера. В /var/calculate/remote будет смонтирован сетевой ресурс.

Пока в указанном каталоге находится файл /var/calculate/remote/calculate.env настройками LDAP:

Можно его скорректировать вписав в поле ur_organization название организации, а в ur_signature — подпись в почтовом сообщении. Чтобы исключить конфликты с локальными пользователями поверх /home будет смонтирован локальный каталог /var/calculate/client-home. Именно поэтому на подключаемой системе лучше пока не работать.

Сами разработчики не рекомендуют заводить локальные учетные записи (кроме стандартных root и guest, которые после ввода в домен будут недоступны), чтобы их ID не совпадали с ID пользователя в LDAP.
Чтобы вывести компьютер из домена достаточно дать команду, зарегистрировавшись через SSH как локальный root:

Введенный пароль для подключения к домену на клиентской системе кэшируется в файле calculate.env.

Как подключить Windows систему хорошо расписано в документе “Переход на использование Linux”, но Calculate/Gentoo Linux является предпочтительными при работе с CDS. Чтобы предоставить доступ пользователей к определенным ресурсам компьютера, системные Unix группы из /etc/group необходимо продублировать в LDAP сервере при помощи команды “cl-groupadd”. Например:

Кроме этого учетная запись должна быть включена, хотя в одну пользовательскую группу. Группы являются средством разграничения прав, поэтому в организации их может быть несколько. Например создадим группу it.

Полностью команда для создания учетной записи выглядит так.

Вводим два раза пароль и получаем:

После входа пользователя на клиентской системе будет скопирован профиль, а на рабочем столе выведены ярлыки для доступа к его домашнему каталогу, ресурсам Samba и FTP (если настроен). Если перейти на другой компьютер, даже находящимся в другой под сети домена, то все настройки перекочуют за пользователем.
Все группы, в которые должен быть включен пользователь, уже должны быть созданы, иначе получаем ошибку:

Удаляется учетная запись при помощи cl-userdel, но его домашние каталоги на сервере не удаляются (это нужно делать вручную). Поэтому при повторном использовании логина получаем сообщение:

Для поучения информации об учетных записях Samba используется cl-info. Например выведем данные обо всех пользователях:

Информация о пользователе Unix

Теперь по конкретной учетной записи:

Получаем информацию о пользователе домена

Чтобы запустить после настройки сервисы, не поддерживаемые утилитами Calculate 2 (вроде Apache 2), следует ввести:

Настройка почтового (Postfix/Dovecot), Jabber и Squid хорошо расписаны на сайте проекта, команды для добавления сервиса и учетной записи аналогичны. В документации можно найти скрипт при помощи которого пользователь подключается ко всем сервисам. Поэтому подробно останавливаться на этом не буду.

На рабочем столе пользователя зарегистрированного в домене будут выведены ярлыки для доступа к Samba и FTP ресурсам.

Признаться после стольких лет администрированием Linux, возможности Calculate Directory Server более, чем впечатлили. Процесс построения домена и поддержания его в работоспособном состоянии весьма продуман, логичен и не займет много времени.

Источник

5. Краткое руководство по установке¶

Благодарим за использование Calculate Linux!¶

Мы постарались сделать для вас максимально удобную для работы систему, используя оригинальный установщик, переработанный интерфейс, шаблоны настройки, утилиты Calculate и Gentoo Portage. Дистрибутив распространяется в виде установочного образа, содержащего лучшее программное обеспечение. Большая часть программ имеет свободную лицензию, позволяющую не только устанавливать и распространять, но и модифицировать исходный код.

Для получения прав администратора системы, запущенной с LiveCD, либо находясь в графическом режиме, выполните su в виртуальном терминале, либо перейдите в одну их текстовых консолей нажатием Ctrl+Alt+F5. Доступ к рабочему столу CLD, CLDM и CLDX выполняется пользователем guest с паролем guest.

Настройка сети¶

Подробнее см. в разделе Настройка сети.

Разбивка диска¶

Перед установкой вам может понадобиться изменить разделы жесткого диска. Для установки CLD, CLDM и CLDX мы рекомендуем использовать раздел не менее 10 Гб. Более подробно аппаратные требования можно узнать здесь. Раздел подкачки (swap), как правило, выделяется вдвое большим размера оперативной памяти. Если раздел под swap уже существует, система будет использовать его. Полезно иметь отдельный раздел для личных файлов ( /home ). Наши рекомендации по разбиению диска описаны здесь.

В CLD, CLDM и CLDX для изменения разделов диска используется программа Gparted. В CDS, CSS и CLS входят только консольные утилиты: fdisk,gdisk или cfdisk.

Чтобы просмотреть список существующих разделов, откройте консоль с правами пользователя root и наберите:

Варианты установки¶

Сервер утилит, консольный и графический клиенты входят в состав Calculate Linux, но могут быть установлены из оверлея Calculate в любом Gentoo-совместимом дистрибутиве.

Первый запуск¶

Если вы не указали других пользователей, после установки CLD, CLDM и CLDX в системе будут заведены две учётные записи, root и guest. Доступ к графическому сеансу может получить любой пользователь, кроме root. По умолчанию у пользователя guest установлен пароль guest.

После установки в CLS нет графического приглашения к вводу пароля. Для запуска оконного менеджера выполните:

По умолчанию вы можете зайти в систему удалённо (по протоколу ssh) только как пользователь root. В файле /etc/ssh/sshd_config в значение параметра AllowUsers можно добавить другие учётные записи. Мы рекомендуем убрать права удалённого доступа к системе для пользователя root.

Обновление¶

Calculate Linux использует модель обновлений rolling release. Вы можете обновлять систему практически неограниченное количество раз, используя утилиту обновления системы cl-update.

Для выполнения синхронизации списка пакетов и обновления программ выполните:

Если вы хотите только обновить список пакетов, то выполните:

После этого вы можете установить новые программы при помощи менеджера пакетов emerge. Краткая справка приведена здесь. Ознакомьтесь также с Руководством по обновлению системы.

Помощь¶

Если установка системы вызвала сложности или если вы хотите поделиться своим впечатлением, зайдите на IRC канал #calculate-ru (сервер FreeNode) сообщества пользователей Calculate Linux. Для этого достаточно воспользоваться иконкой Hexchat на вашем рабочем столе.

Приятной работы!
Команда разработчиков Calculate Linux.

Источник

Установка Calculate в LXC

Обновлено 12 мая 2022

Установка пакетов

Для работы с LXC-контейнерами вам понадобится установить пакет :

Установка системы в контейнер

Для установки Calculate Linux Container выполните:

В дальнейшем описании в командах и путях вместо calculate используйте выбранное вами имя контейнера.

Настройка сети

Настройка сети хост-машины

Для настройки сети в контейнере LXC понадобится настроить сетевой мост на хост-машине. Для этого выберите один из двух сценариев настройки:

Настройка сети контейнера

Выполните настройки сети установленного контейнера:

Запуск контейнера

Запустите контейнер, выполнив:

Проверьте, что контейнер запущен:

Добавьте запуск контейнера в автозагрузку:

rc-update add lxc. calculate

Для того, чтобы система в контейнере корректно стартовала после поднятия сети, создайте файл со следующим правилом:

Настройка системы в контейнере

Подключитесь к контейнеру для выполнения дальнейших настроек.

Настройки в контейнере вы можете выполнять и из хостовой машины, используя конструкцию:

Настройка сети при использовании общей сети

В случае использования общей сети (с IP-адресами локальной сети) вы можете настроить сеть с использованием DHCP или указав свободный IP-адрес и IP маршрутизатора.

При использовании DHCP сервера в локальной сети достаточно выполнить:

rc-update add net.eth0

Настройка сети при использовании трансляции сетевых адресов

При использовании трансляцией сетевых адресов в настройках хост-машины выполните следующие настройки сети:

rc-update add net.eth0

Прочие настройки

Настройте локализацию и укажите пароль пользователя :

Вы можете также указать полное сетевое имя машины:

Если вы хотите проверить изменения, выполните:

Установка дополнительных программ в контейнере

Выполните обновление Portage в контейнере:

При первом запуске утилита скачает дерево Portage и подключённые оверлеи.

Для логирования и выполнения задач cron установите необходимые пакеты:

По завершению настроек выйдите из контейнера:

Обновление до версии 4.0

Для работы программ, использующих путь (например PostgreSQL), добавьте в конфигурационный файл контейнера монтирование tmpfs по этому пути:

Заключение

Контейнеры удобны своей изоляцией от основной системы. Вы можете экспериментировать с ними и даже запускать Calculate Linux из других систем!

Источник

Установка системы на жёсткий диск в консоли

Обновлено 2 февраля 2020

Введение

Для установки Calculate Linux скачайте загрузочный Live USB образ, запишите его на флешку и загрузитесь с неё. Воспользуйтесь утилитой cl-install для установки системы на ваш компьютер. Программа сама определит жёсткий диск компьютера, если он один, разобьёт его на разделы, установит дистрибутив и выполнит настройку по аналогии с загруженной с флешки системой:

По умолчанию программа создаст на диске раздел подкачки, раздел для системы, раздел для обновлений и раздел для данных, включая домашние директории пользователей. Подробнее про разметку диска можно прочитать здесь.

При наличии раздела для обновления утилита cl-install может выполнить обновление установленной системы из предварительно скачанного ISO образа. Программа выполнит установку системы в раздел для обновления, перенеся основные настройки системы, такие как локализация, точки монтирования, настройки сети, пользователи и пароли.

Язык и локаль

Во время установки программа переносит из текущей системы настройки языка, локали, раскладку клавиатуры и настройки часового пояса. Если вы загрузились с Live USB, настроив локализацию из меню загрузки, программа будет использовать эти значения. В противном случае вы можете указать значения опционально:

Используйте ключевое слово для отображения возможных значений.

Выбор дистрибутива

Тип установки

Пример установки системы на один раздел /dev/sda2 :

Параметр может использовать несколько значений, разделённых двоеточием: раздел, точка монтирования, файловая система и форматирование.

Пример установки системы с использованием раздела подкачки и раздела для данных:

Во время установки системный раздел форматируется всегда, пусть даже параметр не указан.
При явном указании файловой системы раздел будет отформатирован в том случае, если она не совпадает с файловой системой раздела.

Разметка диска

Для указания файловой системы при использовании функции разбиения диска используйте опции для системного раздела и для раздела данных. Пример установки офисной системы с выбором файловой системы btrfs, менеджера сети OpenRC:

Сетевые настройки

Другие настройки сети:

Если сетевой интерфейс один, то его можно не указывать в параметрах для настройки сети.

Пользователи

Группы и предоставляют доступ к системе с правами root при помощи утилит sudo и su соответственно.

Аудио

Пример установки системы с использованием по умолчанию звукового устройства HD-Audio Generic :

Видео

В меню загрузки Live USB вы можете сменить видеодрайвер и разрешение экрана. При выборе проприетарного Nvidia драйвера необходимый пакет будет установлен в системе во время загрузки. Это лучший способ для того, чтобы протестировать работу системы и выбрать видеодрайвер ещё до установки системы на жёсткий диск. Тем не менее вы всегда можете сменить видеодрайвер и разрешение экрана во время установки. Для этого используйте следующие параметры:

Используйте для отображения возможных значений. Пример:

Обновление

Как и большинство современных систем, Calculate Linux умеет регулярно выполнять проверку обновлений. Чтобы пользователь получал уведомления на экране и мог выполнять обновление, у него должен быть соответствующий доступ. По умолчанию такой доступ есть у пользователя и должен быть явно назначен новому пользователю, если вы его создаёте вместо guest. Этот процесс описан в главе «Пользователи».

Мы настоятельно рекомендуем выполнять обновления системы хотя бы раз в месяц. В идеале каждую неделю. По прошествии большого периода времени обновление системы может вызвать сложности. Максимальный срок, который мы стараемся поддерживать для беспроблемного обновления, равен одному году. При этом Calculate Linux имеет непрерывную систему обновлений. Это значит, что, установив систему один раз, вы можете использовать её сколь угодно долго.

Источник

В этой статье будет описан процесс добавления Linux-машины (Ubuntu 20.04) в домен Windows AD.

Шаг 1. Установка пакетов и подготовка

sudo apt updatesudo apt upgrade

sudo apt -y install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekit

Шаг 2. Настройка DNS

sudo nano /etc/netplan/*.yaml

network:ethernets:enp0s3:addresses:- 192.168.0.15/24gateway4: 192.168.0.10nameservers:addresses: [192.168.0.1, 192.168.0.2]search:- office.localoptional: trueversion: 2

• addresses — это IP, назначаемый сетевой карте;
• gateway4 — IP роутера;
• nameservers — DNS-сервера;
• search — целевой домен.

sudo netplan apply

Шаг 3. Обнаружение домена, присоединение к нему и проверка результата.

realm discover office.local

office.localtype: kerberosrealm-name: OFFICE.LOCALdomain-name: office.localconfigured: no...

realm join -U admin1 office.localPassword for admin1:

id user1@office.localuid=687821651(user1@office.local) gid=687800512(user1@office.local) groups=687800512(domain users@office.local)

Шаг 4. Последние настройки и авторизация.

sudo nano /etc/sssd/sssd.conf

sudo systemctl restart sssdid useruid=687821651(user1@office.local) gid=687800512(user1@office.local) groups=687800512(domain users@office.local)

sudo nano /etc/pam.d/common-session#add this line in the end of filesession optional pam_mkhomedir.so skel=/etc/skel umask=077

su – userPassword:Creating directory '/home/user1@office.local'.user1@ubuntu-server:~$

Это означает, что вы успешно вошли в систему как пользователь AD.

sudo realm deny –allsudo realm permit user0@office.local user1@office.localsudo realm permit -g 'Main Admins'

sudo nano /etc/sudoers.d/admins

user ALL=(ALL) ALL%Domain\ Admins ALL=(ALL) ALL

191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99

ООО «ИТГЛОБАЛКОМ ЛАБС»

191028
Санкт-Петербург
Литейный пр., д. 26, Лит. А

+7 (812) 403-06-99

ООО «ИТГЛОБАЛКОМ ЛАБС»

Введение

sudo aptitude update
sudo aptitude upgrade

sudo aptitude install krb5-user samba winbind 

sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind

Настройка DNS

domain domain.com
search domain.com
nameserver 192.168.0.1
nameserver 192.168.0.2

supersede domain-name "domain.com";

prepend domain-name-servers 192.168.0.2;

/etc/init.d/networking restart

smbsrv01

# Имена этого компьютера
127.0.0.1	localhost
127.0.1.1	smbsrv01.domain.com	smbsrv01

ping dc
ping dc.domain.com

Настройка синхронизации времени

sudo net time set dc

ntpdate ntp.mobatime.ru

sudo aptitude install ntp

# You do need to talk to an NTP server or two (or three).
server dc.domain.com

sudo /etc/init.d/ntp restart

Настройка авторизации через Kerberos

[libdefaults]
	default_realm = DOMAIN.COM
	kdc_timesync = 1
	ccache_type = 4
	forwardable = true
	proxiable = true
	v4_instance_resolve = false
	v4_name_convert = {
		host = {
			rcmd = host
			ftp = ftp
		}
		plain = {
			something = something-else
		}
	}
	fcc-mit-ticketflags = true

[realms]
	DOMAIN.COM = {
		kdc = dc
		kdc = dc2
		admin_server = dc
		default_domain = DOMAIN.COM
	}

[domain_realm]
	.domain.com = DOMAIN.COM
	domain.com = DOMAIN.COM
[login]
	krb4_convert = false
	krb4_get_tickets = false

kinit username@DOMAIN.COM

klist

kdestroy

Распространённые ошибки kinit

kinit(v5): Clock skew too great while getting initial credentials

kinit(v5): Preauthentication failed while getting initial credentials

kinit(v5): KDC reply did not match expectations while getting initial credentials

DOMAIN.COM = {
# ...

kinit username@DOMAIN.COM

kinit(v5): Client not found in Kerberos database while getting initial credentials

Настройка Samba и вход в домен

[global]
   # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
   # последней секции после точки, а realm - полное имя домена 
   workgroup = DOMAIN
   realm = DOMAIN.COM

   # Эти две опции отвечают как раз за авторизацию через AD
   security = ADS
   encrypt passwords = true
   # Просто важные 
   dns proxy = no 
   socket options = TCP_NODELAY

   # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
   # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде
   domain master = no
   local master = no
   preferred master = no
   os level = 0
   domain logons = no

   # Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes

testparm

# testparm
Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Server role: ROLE_DOMAIN_MEMBER
Press enter to see a dump of your service definitions

net ads join -U username -D DOMAIN

# net ads join -U username -D DOMAIN
Enter username's password:
Using short domain name -- DOMAIN
Joined 'SMBSRV01' to realm 'domain.com'

Используемые параметры команды net

net ads testjoin

#net ads testjoin
Join is OK

DNS update failed!

sudo aptitude install smbclient

smbclient -k -L workstation

Настройка Winbind

   # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
   # Диапазоны идентификаторов для виртуальных пользователей и групп.
   idmap uid = 10000 - 40000
   idmap gid = 10000 - 40000
   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes
   # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
   # будут использоваться с доменом, т.е. вместо username - DOMAINusername.
   # Возможно именно это вам и нужно, однако обычно проще этот параметр включить. 
   winbind use default domain = yes
   # Если вы хотите разрещить использовать командную строку для пользователей домена, то
   # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash
   # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку
   winbind refresh tickets = yes

sudo /etc/init.d/winbind stop
sudo smbd restart
sudo /etc/init.d/winbind start 

sudo testparm

ulimit -n 16384

# Добавить в конец файла строки:
*               -    nofile            16384
root            -    nofile            16384

# wbinfo -t
checking the trust secret for domain DCN via RPC calls succeeded

wbinfo -u
wbinfo -g

Добавление Winbind в качестве источника пользователей и групп

passwd:         compat
group:          compat

passwd:         compat winbind
group:          compat winbind

files:          dns mdns4_minimal[NotFoud=return] mdns4

getent passwd
getent group 

Авторизация в Ubuntu через пользователей домена

Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.

Он-лайн авторизация

session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077

greeter-show-manual-login=true

auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so

account     sufficient    pam_winbind.so
account     required      pam_unix.so

session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ck_connector.so nox11
session     required      pam_limits.so
session     required      pam_env.so
session     required      pam_unix.so

password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_winbind.so
password    required      pam_deny.so

sudo bash -c "for i in 2 3 4 5; do mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind; done"

mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind

Офф-лайн авторизация

[global]
   # Возможность оффлайн-авторизации при недоступности доменконтроллера
   winbind offline logon = yes
   # Период кэширования учетных записей, по умолчанию равен 300 секунд
   winbind cache time = 300
   # Необязательная настройка, но избавляет от нудных пауз, указываем контроллер домена dc, 
   # можно указать и ip, но это является плохим тоном
   password server = dc

#
# pam_winbind configuration file
#
# /etc/security/pam_winbind.conf
#
[global]
  # turn on debugging
  debug = no
  # request a cached login if possible
  # (needs "winbind offline logon = yes" in smb.conf)
  cached_login = yes
  # authenticate using kerberos
  krb5_auth = yes
  # when using kerberos, request a "FILE" krb5 credential cache type
  # (leave empty to just do krb5 authentication but not have a ticket
  # afterwards)
  krb5_ccache_type = FILE
  # make successful authentication dependend on membership of one SID
  # (can also take a name)
  ;require_membership_of =
  silent = yes

auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so

Ссылки