Присъединявана на Debian Linux сървър към Active Directory домейн

Нека си представим, че управлявате един или повече Debian Linux сървъри в Active Directory (AD DS). Вашата цел е да присъедините Linux системите към домейна, за да направите възможно наистина централизирано управлението на потребители, групи, устройства и ресурси.
Днес ще ви покажа как да присъединявате Debian Linux машини към AD, като използвате само вградените(native) инструменти. Хубавото на тази процедура е, че е безплатна; Недостатъкът е, че трябва ръчно да изпълнявате всички задачи по поддръжка и управление.

Подготвяне на мрежата
Присъединяването към AD изисква да бъдат включени/разрешени няколко TCP / IP протокола и портове през защитната стена (Firewall).

• UDP/TCP 135: Domain controller intercommunication
• UDP 138; TCP 139: File Replication Service (FRS)
• UDP/TCP 389: Lightweight Directory Access Protocol (LDAP)
• UDP/TCP 445: FRS
• UDP/TCP 464: Kerberos password change
• TCP 3268,3269: Global catalog (GC)
• UDP/TCP 53: Domain Name System (DNS)

Също така трябва да добавите IP адресите на домейн контролерите във файла /etc/hosts на Linux сървърите, за да сте сигурни, че те могат да resolve-нат имената си.

Подготовка на Linux сървъра
От терминала инсталирате realmd (примерите са за Debian базирани системи),

sudo apt-get install realmd -y

Системата realmd осигурява приятен интерфейс за откриване и взаимодействие с домейни за идентичност (по-специално области на Kerberos) като AD.

След това използваме realm командата discover
Mythnic@linux1:~$ sudo realm discover timw.info
timw.info
  type: kerberos
  realm-name: TIMW.INFO
  domain-name: timw.info
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli

  required-package: samba-common-bin

Оказва се, че имаме някои липсващи софтуерни зависимости. След това ще трябва да инсталирате всеки от тях, като използвате този модел:

sudo apt-get install <име на пакета> -y

Присъединяване към AD

sudo realm join timw.info -U 'pat' --install=/' --verbose 

Ако се появи грешка (имах такава, на който се казва "Сървър не е намерен в базата данни Kerberos"), трябва да добавите следните данни в /etc/krb5.conf:

[libdefaults]
rdns = false

След това

sudo realm permit --realm timw.info --all

И накрая, ще трябва да активираме Kerberos удостоверяването през Secure Shell (SSH), като зададем следните опции в /etc/ssh/sshd_config: 
#Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
KerberosGetAFSToken yes
KerberosUseKuserok yes

# GSSAPI options
GSSAPIAuthentication yes

GSSAPICleanupCredentials yes

Проверка на присъединяването към домейна
Както се вижда присъединяването към AD е успешно

На този етап можете да тествате влизането в Linux сървъра чрез потребителски акаунт за AD. Ако влизането е успешно, Debian трябва да създаде домашна директория за потребителския акаунт. Уверете се, че използвате параметъра -l (login), така че да можете да подадете формата на потребителското име:

ssh -l 'mythnic@timw.info' linux1.timw.info