Подключаемся к Active Directory при помощи realmd::Журнал СА 1-2.2015
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Наука и технологии
Подписка
Где купить
Авторам
Рекламодателям
Архив номеров
Контакты
   

  Опросы
  Статьи

Учебные центры  

Карьерные мечты нужно воплощать! А мы поможем

Школа Bell Integrator открывает свои двери для всех, кто хочет освоить перспективную

 Читать далее...

Гость номера  

Дмитрий Галов: «Нельзя сказать, что люди становятся доверчивее, скорее эволюционирует ландшафт киберугроз»

Использование мобильных устройств растет. А вместе с ними быстро растет количество мобильных

 Читать далее...

Прошу слова  

Твердая рука в бархатной перчатке: принципы soft skills

Лауреат Нобелевской премии, специалист по рынку труда, профессор Лондонской школы экономики Кристофер

 Читать далее...

Как хорошо вы это знаете  

Портал Инкоманд. Для чего он? Для кого? Какие проблемы решает?

Компания «ЕМДЕВ» – создатель интернет-портала, предлагает всем желающим протестировать себя на

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 10088
Комментарии: 0
Потоковая обработка данных

 Читать далее...

19.03.2018г.
Просмотров: 8296
Комментарии: 0
Релевантный поиск с использованием Elasticsearch и Solr

 Читать далее...

19.03.2018г.
Просмотров: 8389
Комментарии: 0
Конкурентное программирование на SCALA

 Читать далее...

19.03.2018г.
Просмотров: 5336
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 6021
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

Друзья сайта  

 Подключаемся к Active Directory при помощи realmd

Архив номеров / 2015 / Выпуск №1-2 (146-147) / Подключаемся к Active Directory при помощи realmd

Рубрика: Администрирование /  How To

Сергей Яремчук СЕРГЕЙ ЯРЕМЧУК, автор более 800 статей и шести книг. С «СА» с первого номера. Интересы: сетевые технологии, защита информации, свободные ОС, grinder@samag.ru

Подключаемся к Active Directory с помощью realmd

Несмотря на то что Linux и Windows уже не редкость в одной сети, интеграции из коробки до сих пор нет. Как нет и единого решения. Проект realmd упрощает подключение Linux-систем к AD

Что у нас есть сегодня? Microsoft для Windows Server 2008 R2 – 2012 R2 предлагает Identity Management for UNIX (Служба управления идентификацией UNIX), являющийся частью роли контроллера домена и позволяющий использовать для входа в UNIX учетные записи Active Directory. Но сейчас он уже объявлен как устаревший. Большие возможности дает Configuration Manager, хотя, соответственно, требует немалых вложений.

Приверженцы Unix ориентируются на связку Samba (winbind) и Kerberos или на решения сторонних компаний (PowerBroker Identity Services, Centrify Server Suite, Quest Authentication Services).

Первый бесплатен, рекомендуется многими специалистами как более правильный, но требует тщательных настроек. Вторые вмешиваются в схему AD и требуют дополнительного лицензирования (PowerBroker имеет и Open Source-версию).

Realmd (Realm Discovery) [1] – сервис D-Bus, позволяющий производить настройку сетевой аутентификации и членства в домене (AD или IPA/FreeIPA) без сложных настроек. Информация о домене обнаруживается автоматически. Дляаутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) [2] или Winbind. Версия 0.1 была представлена в конце июля 2012 года, на момент написания этих строк актуальной была 0.15.2. В настоящее время realmd интегрирован в kickstart, Центр управления GNOME и другие инструменты.

Покажем подключение к домену example.org с помощью realmd на примере Ubuntu Linux 14.04 LTS, в других дистрибутивах все показанное будет отличаться только особенностями работы менеджера пакетов.

Перед началом настроек необходимо настроить DNS, лучше всего, когда в /etc/resolv.conf прописан сам контролер домена. Все, что необходимо, уже есть в репозитории:

$ sudo apt-get install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli

При конфигурировании krb5-user будет запрошена область по умолчанию, вводим имя домена в верхнем регистре – EXAMPLE.ORG.

Рисунок 1. Конфигурирование пакета krb5-user

Рисунок 1. Конфигурирование пакета krb5-user

Конфигурационный файл /etc/realmd.conf не создается, действуют параметры по умолчанию. В результате может возникнуть конфликт имен, что приведет к ошибке при подключении. Чтобы избежать проблем, следует его создать такого содержания:

$ sudo nano /etc/realmd.conf

[service]

automatic-install = no

[example.org]

fully-qualified-names = no

Файл имеет немало полезных опций, но пока этого достаточно.

Сервисы SSSD (System Security Services Daemon) также требуют настройки. Добавим фильтр учетных записей и количество попыток подключений:

$ sudo nano /etc/sssd/sssd.conf

[nss]

filter_groups = root

filter_users = root

reconnection_retries = 3

[pam]

reconnection_retries = 3

В некоторых ситуациях следует добавить:

use_fully_qualified_names = False

Указываем права доступа:

$ sudo chmod 0600 /etc/sssd/sssd.conf

Пробуем найти доступные домены:

$ sudo realm discover

или

$ sudo realm discover EXAMPLE.ORG

Получаем тикет пользователя, имеющего права администратора домена.

$ kinit -V Administrator@EXAMPLE.ORG

Using default cache: /tmp/krb5cc_1000

Using principal: Administrator@EXAMPLE.ORG

Password for Administrator@EXAMPLE.ORG:

Authenticated to Kerberos v5

Подключаемся (см. рис. 2).

$ sudo realm --verbose join example.org -U Administrator

Рисунок 2. Подключаемся к Active Directory

Рисунок 2. Подключаемся к Active Directory

Для запуска понадобятся права root, иначе получим сообщение:

realm: Couldn't join realm: Not authorized to perform this action

Теперь, если ввести

$ sudo realm list

получим полную информацию о домене (см. рис. 3), а в консоли Active Directory Users and Computers появится новый компьютер (см. рис. 4).

Рисунок 3. Информация о домене

Рисунок 3. Информация о домене

Рисунок 4. Вкладка Active Directory Users and Computers

Рисунок 4. Вкладка Active Directory Users and Computers

Некоторые действия и информацию можно получить с помощью утилиты adsli.

$ adcli info example.org

[domain]

domain-name = example.org

domain-short = EXAMPLE

domain-forest = example.org

domain-controller = WIN-SRV001.example.org

domain-controller-site = Default-First-Site-Name

domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable good-timeserv full-secret ads-web

domain-controller-usable = yes

domain-controllers = WIN-SRV001.example.org

[computer]

computer-site = Default-First-Site-Name

Также стоит добавить новое правило в /etc/sudoers, чтобы доменный пользователь мог получать права администратора локального компьютера:

$ sudo nano /etc/sudoers

%domain\ admins@example.com ALL=(ALL) ALL

Перегружаем систему и регистрируемся как доменный пользователь «пользователь@домен».

  1. Сайт проекта realmd – http://freedesktop.org/software/realmd.
  2. Сайт проекта SSSD – https://fedorahosted.org/sssd.

Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-41
Fax: (499) 277-12-45
E-mail: sa@samag.ru