Пропускане към основното съдържание

Присъединявана на Debian Linux сървър към Active Directory домейн

Нека си представим, че управлявате един или повече Debian Linux сървъри в Active Directory (AD DS). Вашата цел е да присъедините Linux системите към домейна, за да направите възможно наистина централизирано управлението на потребители, групи, устройства и ресурси.
Днес ще ви покажа как да присъединявате Debian Linux машини към AD, като използвате само вградените(native) инструменти. Хубавото на тази процедура е, че е безплатна; Недостатъкът е, че трябва ръчно да изпълнявате всички задачи по поддръжка и управление.

Подготвяне на мрежата
Присъединяването към AD изисква да бъдат включени/разрешени няколко TCP / IP протокола и портове през защитната стена (Firewall).
  • UDP/TCP 135: Domain controller intercommunication
  • UDP 138; TCP 139: File Replication Service (FRS)
  • UDP/TCP 389: Lightweight Directory Access Protocol (LDAP)
  • UDP/TCP 445: FRS
  • UDP/TCP 464: Kerberos password change
  • TCP 3268,3269: Global catalog (GC)
  • UDP/TCP 53: Domain Name System (DNS)
Също така трябва да добавите IP адресите на домейн контролерите във файла /etc/hosts на Linux сървърите, за да сте сигурни, че те могат да resolve-нат имената си.

Подготовка на Linux сървъра
От терминала инсталирате realmd (примерите са за Debian базирани системи),
sudo apt-get install realmd -y
Системата realmd осигурява приятен интерфейс за откриване и взаимодействие с домейни за идентичност (по-специално области на Kerberos) като AD.

След това използваме realm командата discover
Mythnic@linux1:~$ sudo realm discover timw.info
timw.info
  type: kerberos
  realm-name: TIMW.INFO
  domain-name: timw.info
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli

  required-package: samba-common-bin

 Оказва се, че имаме някои липсващи софтуерни зависимости. След това ще трябва да инсталирате всеки от тях, като използвате този модел:

sudo apt-get install <име на пакета> -y
Присъединяване към AD

sudo realm join timw.info -U 'pat' --install=/' --verbose 
Ако се появи грешка (имах такава, на който се казва "Сървър не е намерен в базата данни Kerberos"), трябва да добавите следните данни в /etc/krb5.conf:

[libdefaults]
rdns = false

 След това

sudo realm permit --realm timw.info --all
И накрая, ще трябва да активираме Kerberos удостоверяването през Secure Shell (SSH), като зададем следните опции в /etc/ssh/sshd_config: 
#Kerberos options
KerberosAuthentication yes
KerberosOrLocalPasswd yes
KerberosTicketCleanup yes
KerberosGetAFSToken yes
KerberosUseKuserok yes

 # GSSAPI options
GSSAPIAuthentication yes

GSSAPICleanupCredentials yes

 Проверка на присъединяването към домейна
Както се вижда присъединяването към AD е успешно

На този етап можете да тествате влизането в Linux сървъра чрез потребителски акаунт за AD. Ако влизането е успешно, Debian трябва да създаде домашна директория за потребителския акаунт. Уверете се, че използвате параметъра -l (login), така че да можете да подадете формата на потребителското име:

ssh -l 'mythnic@timw.info' linux1.timw.info
Етикети:

Коментари

Публикуване на коментар

Популярни публикации от този блог

Ретроспекция част1 - Имко

Ретроспекцията ми се отнася за компютри естествено... ...и по-точно българските компютри. ИМКО-1 (Първият BG компютър): Разработването на първият български микрокомпютър започва през 1979 от ИТКР. Първите бройки са произведени в София през 1980 г. Съкращението ИМКО означава Индивидуален Микро КОмпютър. От този модел са произведени около 50 броя. Аналог на Apple II Plus. ✔ Начало на производството: 1980 г. ✔ Край на производството: 1982 г. ✔ Процесор: 6502/1Mhz. ✔ Памет (RAM): 48KB (с възможност за разширение до 64KB). ✔ Памет (ROM): 12KB. ✔ Дискови устройства: Не се е предлагал с дискови устройства. ✔ Операционна система: Няма. ✔ Разделителна способност: Текстов режим 40x24 (колони/редове), графичен режим 280x192 пиксела - 6 цвята, 280x160 пиксела + 4 текстови реда, 40x40 пиксела + 4 текстови реда, 40x48 пиксела в 16 цветен режим. ✔ Разновидности: Няма. ✔ Особености: Произведен е като експериментален модел в ИТКР към БАН. Приет е изключително добре заради сравнително ниската ...
Публикуване на коментар
още »

Бъдещето на компютърната памет

5 революционни технологии Преди години трудно можеше да се повярва, че огромна музикална колекция и снимки могат да се поместят в джобно устройство. Само за няколко десетилетия в областта на технологиите за съхраняване на данни се извършиха значителни промени, а появата на флаш паметта без преувеличение може да се нарече революция. Прогресът обаче не стои на едно място и следващата крачка вероятно ще станат чиповете, които ще съхраняват стотици филми с HD качество, или всички книги по света. За да станат тези мечти реалност, днес в лабораториите се създават нови технологии или пък значително се усъвършенстват старите. Още преди 50 години физикът Ричард Фрейнман сподели вижданията си за „суперпаметта“. На лекция пред Американското физично общество (American Physical Society) той разсъждаваше, дали някога ще бъде възможно да се запишат 24-те тома на енциклопедия „Британика“ на главичка на топлийка. Физикът е изчислил, че всяка миниатюрна точка на всяка печатна буква преди това трябва...
Публикуване на коментар
още »