Integrarea Active Directory (română)
Această pagină necesită Escorta
Atenție: Deoarece Arch Linux folosește un sistem de distribuție de rulare de presă, eventual, unele dintre informațiile de pe pagina poate fi depășită din cauza schimbărilor în pachete sau configurații făcute de către dezvoltatori. Niciodată nu urmați orbește acest lucru sau orice alte instrucțiuni. Atunci când instrucțiunile spun pentru a schimba un fișier, asigurați-vă că pentru a face o copie de rezervă. Verificați data ultimei inspecții a articolului.
Sarcina principală a administratorilor de sistem încearcă să studii de co-caz de diferite medii. Ne referim la amestecare sistem de operare pentru servere diferite (de obicei, Microsoft Windows Unix / Linux). managementul și autentificarea utilizatorului în acest moment este cel mai provocator. Cel mai popular mod de a rezolva această problemă - Directory Server. Există multe open source și soluții comerciale pentru diferite tipuri de * nix; Cu toate acestea, doar o adresă câteva problema interacțiunii cu Windows. Active Directory (AD) - un serviciu de director proiectat pentru domeniul de rețea Microsoft Windows. Acesta este inclus în majoritatea sistemelor de operare Windows Server. Serverele care se execută AD, denumite controlere de domeniu (controlere de domeniu)
terminologie
Dacă nu sunteți familiarizați cu AD, există unele cuvinte cheie care ar fi util să se știe.
Configurarea AD
Important: Această parte nu a fost testat, continuă să otstorozhnostyu.
Actualizări GPO
Poate fi necesar să dezactivați Sign digitale (întotdeauna) în setările grupului AD. Și anume:
Politicile locale -> Politici de securitate -> Microsoft Network Server -> comunicare semn digital (întotdeauna) -> alege să definească această politică și a pus-o "tick" pentru a dezactiva.
Configurarea gazdă Linux
Următorii câțiva pași - începutul configurației gazdă. Veți avea nevoie de rădăcină sau de acces sudo.
actualizare DNS
AD este puternic dependent de DNS. Va trebui să actualizați /etc/resolv.conf. pentru a utiliza controlerele de domeniu AD:
Configurarea NTP
A se vedea. Ntpd sau OpenNTPD pentru instrucțiuni despre configurarea NTP. Este demn de remarcat faptul că OpenNTPD nu mai este acceptată.
Asigurați-vă că daemon este configurat să se sincronizeze automat la pornire.
Crearea unei chei Kerberos
Acum in pot solicita chei pentru AD (majuscule necesar):
Puteți folosi orice nume de utilizator care are permisiuni de administrator de domeniu.
cheie de confirmare
Start klist pentru a verifica dacă ați primit token-ul, ar trebui să fie ceva de genul:
pam_winbind.conf
Dacă primiți o eroare „/etc/security/pam_winbind.conf nu a fost găsit“ crea fișierul și editați-l după cum urmează:
Samba - punerea în aplicare fără protocolul SMB / CIFS. Aceasta include, de asemenea, instrumente pentru mașini Linux, care le fac să se comporte ca servere și clienți Windows.
Notă: Configurația poate varia în funcție de configurația serverului Windows. Fii dispus să învețe și să rezolve problemele.
În această secțiune, ne vom concentra mai întâi asupra operației de autentificare prin schimbarea secțiunii „Global“. În continuare, ne întoarcem la ceilalți.
Acum trebuie să „explice“ Samba, vom folosi PDC dannh de bază pentru autenifikatsii.Budem utiliza winbindd, care este inclusă în oferta Samba.Winbind indică UID și GID mașini Linux pentru AD. Winbind folosește o implementare UNIX a apelurilor RPC, Pluggable Authentication Module (aka PAM) și Comutare Name Service (NSS), pentru a permite admiterea utilizatorilor și Windows AD pe Linux mașini. Cea mai bună parte a winbindd este că nu aveți nevoie pentru a marca, vă sunt necesare doar pentru a indica intervalul de UID și GID! Este am lor anunțat în smb.conf.
Actualizați fișierul de configurare samba pentru a activa daemon winbind
Apoi, înființat samba astfel încât să înceapă cu lansarea sistemului. A se vedea. Daemoni pentru detalii.
Rularea și testare
Pornirea Samba
Pornirea Samba (inclusiv smbd, nmbd și winbindd):
Dacă verificați lista de procese, veți observa că, de fapt, nu începe winbind. O inspecție rapidă a jurnalului spune că SID pentru această gazdă pot fi obținute din domeniu:
Aderarea la un domeniu
reporniți Samba
winbindd nu a pornit deoarece până acum nu avem domeniu.
Reporniți serviciul winbind Samba și ar trebui să înceapă, de asemenea.
NSSwitch spune gazda Linux igformatsiyu cum să obțineți din diferite surse și în ce scopul de a face acest lucru. În cazul nostru, am Doba AD ca sursă suplimentară pentru utilizatori, grupuri și gazde.
Verificați Winbind
Verificați dacă winbind pentru a avea acces la AD poate. Următoarea comandă returnează o listă de utilizatori AD:
- Notă am creat un utilizator AD „test.user“ în kontollere dommenom.
Puteți face același lucru pentru grupurile AD:
Verificați nsswitch
Pentru a vă asigura că Nasch gazdă are acces la utilizatorii de domeniu și grupuri, vom verifica setările nsswitch folosind „getent“. Următoarea ieșire arată cum este neobișnuit și ar trebui să apară pe ArchLinux nealterată:
Verificarea Echipa Samba
Încercați unele dintre comenzile pentru a vedea dacă Samba poate interacționa cu AD:
Configurarea PAM
Acum vom schimba regulile diferite în PAM, pentru a permite utilizatorilor AD să utilizeze sistemul de intrare și accesul la sudo. Când schimbați regulile, amintindu ordinea lor și etichetate în cazul în care acestea sunt necesare sau suficiente critice, dacă doriți să obțineți totul de lucru, nu zadumali.Vam necesar să se abată de la aceste reguli, cu excepția cazului în care nu știi cum să scrie reguli pentru PAM
Principalul proces de autentificare PAM configurare ArchLinux este în /etc/pam.d/system-auth. Începând cu configurația standard a pambase. schimba-l, după cum urmează:
sistem de autorizare
Secțiunea „AUT“
Scoateți-l și înlocuiți cu următorul text:
Secțiunea „Contul“
Sub el adaugă următoarele:
Secțiunea „sesiune“
Sub el adaugă următoarele:
Secțiunea „parola“
Scoateți-l și înlocuiți cu următorul text:
Verificați intrarea
Ambele ar trebui să funcționeze. Este demn de remarcat că /home/example/test.user va fi creat automat.
Configurarea fișierelor partajate
Anterior, am omis configurarea fișierelor partajate. Acum, că totul funcționează, du-te înapoi și se adaugă la /etc/smb.conf eksoprt pentru gazdele pe care doriți să le pună la dispoziție în Windows
In exemplul de mai sus, rețeaua de cuvinte cheie. Nu-l confunda cu numele de domeniu. Pentru a adăuga grupuri, adăugați „@“ simbolul unui grup. Notă, domeniu Admins este „ghilimele“ pentru Samba le citește corect atunci când vizualizați fișierul de configurare.
Adăugarea unui fișier keytab și activați parolei de intrare în aparat prin ssh și Kerber
Crearea unui fișier cheie filă
Pornește „anunțurile net keytab crea -U de administrator“, ca root, în scopul de a crea un fișier keytab în „/etc/krb5.keytab“. Ea scrie vai, trebuie să activați autentificarea folosind keytab în fișierul de configurare, astfel încât să putem face pasul următor. Uneori, există probleme în cazul în care există deja fișier krb5.keytab, atunci trebuie să-l redenumiți și executați din nou comanda, acest lucru ar trebui să ajute.
Activați intrare prin keytab
Acum trebuie să specificați winbind, că el ar trebui să utilizeze un fișier keytab adăugând următoarea linie în /etc/samba/smb.conf:
În cele din urmă, totul trebuie să arate astfel:
Reporniți winbind.service folosind „systemctl repornire winbind.service“ cu privilegii de super-utilizator.
Verificați dacă totul funcționează, după ce a primit un bilet de sistem și de funcționare
Această comandă nu ar trebui să scrie nimic pentru a consola, ondako „klist“ ar trebui să arate ceva de genul:
Unele greșeli comune: a) uita de a pune $ sau b) ignora caz sensibile - trebuie să fie exact la fel ca zapisv keytab
Pregătirea serverului sshd
Tot ce trebuie să facem - este de a adăuga o anumită opțiune în sshd_config și reporniți sshd.service.
Editați „/ etc / ssh / sshd_config“, care sa uitat în locurile potrivite:
Adăugarea de opțiunile necesare pentru client
În primul rând trebuie să ne asigurăm că biletele la dispoziția clientului. De obicei funcționează, dar doar în cazul, utilizați următoarea opțiune:
Apoi, trebuie să adăugați opțiuni:
fișierul nostru .ssh / config. care spune ssh pentru a folosi această opțiune ca o alternativă: Puteți utiliza „ssh -o“ (a se vedea ghidul de referință pagina ssh (1)).
Verificarea instalației
Asigurați-vă că aveți un bilet valid, folosind „kinit“. Apoi, conectați la mașina dvs. prin SSH
Trebuie să conectați cereri fără o parolă
Dacă sunt, de asemenea, trecerea de pe cheia de autentificare, aveți nevoie pentru a efectua
pentru a vedea ce metodă de autentificare este utilizată efectiv.
Pentru depanare, puteți activa DEBUG3 pe server și urmăriți log prin „journalctl“
Configurarea autentificarea Kerberos completă fără o parolă.
Generarea unui keytab, care va avea AD
Utilizatorul trebuie să efectueze:
Acum provertte fișier:
Nu trebuie să solicite parola, acum pur și simplu copiați-l în "
/.bashrc“, acesta nu va introduce o parolă de fiecare dată.
interesant de stiut
Fișier „username.keytab“ nu spetsefichen pentru autoturisme și, prin urmare, pot fi copiate pe alte mașini. De exemplu, am creat un fișier de pe o mașină de Linux și copiat la client Mac ca echipa în alte ei.