Linux în domeniu Active Directory

informații generale

Dacă aveți nevoie doar de a oferi acces la resursele de rețea de calculatoare Linux, consultați articolul Samba.


În acest articol, vom descrie modul de a conecta un computer Linux la domeniul sub conducerea Microsoft Active Directory și transforma într-un server de fișiere.

Conform acestei instrucțiuni reglate Debian (4, 5), Ubuntu 9.10, a fost creat pe baza unor documente oficiale și multe dintre recomandările și instrucțiunile de pe Internet. Restul distribuții configurat în mod similar.

cerinţe de verificare

instalarea Samba

  • Instalați serverul samba și client.

Configurarea Samba

Noi descriem două catalogul generale:

  • Backup - acces numai utilizatorii incluși în grupul BackupGroup în Active Directory. Ele pot crea și șterge fișiere / directoare
  • distrib - să aibă acces la toți utilizatorii incluși în grupul DistribGroup în Active Directory

Configurația tabel presupune că eth0 - este interfața de rețea la rețeaua locală în cazul în care domeniul este WORKGROUP.DOMAIN.LOCAL numele complet

  • edita / etc / nsswitch:
  • Verificăm că / etc / hosts are intrarea corectă la serverul nostru, puteți adăuga, de asemenea, intrări pentru controlere de domeniu:
  • Eliminați cazul în care există (sau transfer de la rezervă) fișierul /etc/samba/secrets.tdb și toate fișierele /var/lib/samba/*.tdb
  • Verificați configurarea (opțional):
  1. testparm -s

În Ubunto testparm este în pachetul samba-common-bin

  • Verificați cum Samba-3 winbind comunică cu controler de domeniu Active Directory prin protocolul Kerberos:

Pe rasskhozhdenie timp, în secunde, indicând linia „Server time ofset: -5“. Rețineți că Kerberos este dependentă de timp, iar divergenta cu ceasul de controler de domeniu este permisă doar o ușoară, de aceea este recomandabil să configurați clientul NTP (a se vedea. Articolul privind înființarea NTP). În Ubuntu, acest lucru este indicat în fișierul / etc / default / ntpdate.

Tot computerul este pe un domeniu care poate fi verificat pe controler. Chiar dacă după liniile de reduse pentru a primi următoarele:

Verificați funcționarea și depanare

  • Pentru comoditate, depanare a făcut referire la directorul jurnal:
  • Porniți samba și winbind:
  • Pentru a verifica dacă conexiunea corectă a domeniului, puteți vedea lista de utilizatori și grupuri de domeniu (opțional):

Dacă nu înțelegem ceva spune parola wbinfo si vezi: lista de domenii de pe rețea, informații despre domeniul workgroup o listă de utilizatori și grupuri de domenii:

  • Noi verifica modul în care NSS. getent afișează informații de comandă despre utilizator, care poate fi fie domeniu și UNIX:
  • Acum puteți utiliza resursele de pe server Linux, la care ne-am dat acces, ca resurse de domeniu convenționale.

setări suplimentare

  • De asemenea, puteți compara (dar nu neapărat) acreditările locale dintr-un domeniu Windows. Pentru comparație /etc/samba/smbusers.conf utilizatorii edita fișierul:
  • (. Din harta doar engleză Map) pentru comparație grupuri de domenii și grupuri UNIX executa:
  • Odată ce totul este depanat, este posibil să se reducă nivelul de înregistrare la jurnalul de la „1“. În /etc/samba/smb.conf:

Start - Control Panel - Administrative Tools - Politica de securitate locală - Politici locale - Opțiuni securitate

  • Securitatea rețelei: securitatea minimă a sesiunii pentru clienții pe baza NTLM SSP - Debifati „Necesită criptare pe 128 de biți.“ Există două opțiuni - efectua atât
  • Securitatea rețelei: nivelul de LAN de autentificare manager - selectați elementul din listă „Trimite LM- și NTML-răspunsuri“

Lucrul asupra erorilor

Winbind nu este pornit

Când executați Samba descoperă că winbind nu pornește:

În log.winbindd este detectată intrare în jurnal:

A se vedea că a adăugat „domeniu de construit“ (ULUI) și domeniul „numele calculatorului“ (depozitare), conectați la domeniul AD nu a reușit.

Soluție: Reconectați calculatorul la domeniu. Va elimina din controler, ca anunțurile nete komadny părăsi, probabil, nu va ajuta.

Imposibilitatea de a obține un bilet Kerberos

Când încercați să obțineți un bilet Kerberos primit:

Soluție: specificați numele de domeniu într-un caz diferit. Probabil nevoie de toate de capital

comenzi utile