 |
|
|
|
Подключаемся к Active Directory при помощи realmd
Подключаемся к Active Directory с помощью realmd Несмотря на то что Linux и Windows уже не редкость в одной сети, интеграции из коробки до сих пор нет. Как нет и единого решения. Проект realmd упрощает подключение Linux-систем к AD Что у нас есть сегодня? Microsoft для Windows Server 2008 R2 – 2012 R2 предлагает Identity Management for UNIX (Служба управления идентификацией UNIX), являющийся частью роли контроллера домена и позволяющий использовать для входа в UNIX учетные записи Active Directory. Но сейчас он уже объявлен как устаревший. Большие возможности дает Configuration Manager, хотя, соответственно, требует немалых вложений. Приверженцы Unix ориентируются на связку Samba (winbind) и Kerberos или на решения сторонних компаний (PowerBroker Identity Services, Centrify Server Suite, Quest Authentication Services). Первый бесплатен, рекомендуется многими специалистами как более правильный, но требует тщательных настроек. Вторые вмешиваются в схему AD и требуют дополнительного лицензирования (PowerBroker имеет и Open Source-версию). Realmd (Realm Discovery) [1] – сервис D-Bus, позволяющий производить настройку сетевой аутентификации и членства в домене (AD или IPA/FreeIPA) без сложных настроек. Информация о домене обнаруживается автоматически. Дляаутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) [2] или Winbind. Версия 0.1 была представлена в конце июля 2012 года, на момент написания этих строк актуальной была 0.15.2. В настоящее время realmd интегрирован в kickstart, Центр управления GNOME и другие инструменты. Покажем подключение к домену example.org с помощью realmd на примере Ubuntu Linux 14.04 LTS, в других дистрибутивах все показанное будет отличаться только особенностями работы менеджера пакетов. Перед началом настроек необходимо настроить DNS, лучше всего, когда в /etc/resolv.conf прописан сам контролер домена. Все, что необходимо, уже есть в репозитории: $ sudo apt-get install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli При конфигурировании krb5-user будет запрошена область по умолчанию, вводим имя домена в верхнем регистре – EXAMPLE.ORG.
Рисунок 1. Конфигурирование пакета krb5-user Конфигурационный файл /etc/realmd.conf не создается, действуют параметры по умолчанию. В результате может возникнуть конфликт имен, что приведет к ошибке при подключении. Чтобы избежать проблем, следует его создать такого содержания: $ sudo nano /etc/realmd.conf [service] automatic-install = no [example.org] fully-qualified-names = no Файл имеет немало полезных опций, но пока этого достаточно. Сервисы SSSD (System Security Services Daemon) также требуют настройки. Добавим фильтр учетных записей и количество попыток подключений: $ sudo nano /etc/sssd/sssd.conf [nss] filter_groups = root filter_users = root reconnection_retries = 3 [pam] reconnection_retries = 3 В некоторых ситуациях следует добавить: use_fully_qualified_names = False Указываем права доступа: $ sudo chmod 0600 /etc/sssd/sssd.conf Пробуем найти доступные домены: $ sudo realm discover или $ sudo realm discover EXAMPLE.ORG Получаем тикет пользователя, имеющего права администратора домена. $ kinit -V Administrator@EXAMPLE.ORG Using default cache: /tmp/krb5cc_1000 Using principal: Administrator@EXAMPLE.ORG Password for Administrator@EXAMPLE.ORG: Authenticated to Kerberos v5 Подключаемся (см. рис. 2). $ sudo realm --verbose join example.org -U Administrator
Рисунок 2. Подключаемся к Active Directory Для запуска понадобятся права root, иначе получим сообщение: realm: Couldn't join realm: Not authorized to perform this action Теперь, если ввести $ sudo realm list получим полную информацию о домене (см. рис. 3), а в консоли Active Directory Users and Computers появится новый компьютер (см. рис. 4).
Рисунок 3. Информация о домене
Рисунок 4. Вкладка Active Directory Users and Computers Некоторые действия и информацию можно получить с помощью утилиты adsli. $ adcli info example.org [domain] domain-name = example.org domain-short = EXAMPLE domain-forest = example.org domain-controller = WIN-SRV001.example.org domain-controller-site = Default-First-Site-Name domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable good-timeserv full-secret ads-web domain-controller-usable = yes domain-controllers = WIN-SRV001.example.org [computer] computer-site = Default-First-Site-Name Также стоит добавить новое правило в /etc/sudoers, чтобы доменный пользователь мог получать права администратора локального компьютера: $ sudo nano /etc/sudoers %domain\ admins@example.com ALL=(ALL) ALL Перегружаем систему и регистрируемся как доменный пользователь «пользователь@домен».
|
СЕРГЕЙ ЯРЕМЧУК, автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС, 
Комментарии отсутствуют
| Добавить комментарий |
|
Комментарии могут оставлять только зарегистрированные пользователи |
|
