Ввод в домен AD¶
Ручной ввод в домен¶
- Рекомендую всегда, перед таким манипуляциями обновлять систему до актуального состояния. ПО и ядро
apt-get update apt-get dist-upgrade update-kernel
- установить необходимые пакеты
apt-get install sssd sssd-ad samba
- отключить демон avahi (если у вас используется dns зона .local)
systemctl stop avahi-daemon, systemctl disable avahi-daemon
- в файле
/etc/nsswitch.conf
в секцияхpasswd,shadow,groupдописатьssspasswd: files mymachines sss shadow: tcb files sss group: files [SUCCESS=merge] sss role
- файл
/etc/sssd/sssd.confдовести до вида[sssd] config_file_version = 2 user = root domains = ADM72.LOCAL services = pam,nss [nss] [pam] [domain/ADM72.LOCAL] id_provider = ad auth_provider = ad chpass_provider = ad default_shell = /bin/bash fallback_homedir = /home/%d/%u ad_server = dc-sovet61.adm72.local ad_backup_server = _srv_ cache_credentials = true debug_level = 2
Запустить демон
sssd-systemctl enable sssd ; systemctl start sssd
- в файле /etc/samba/smb.conf изменить секцию
global, там где*** ИМЯ-КОМПЬЮТЕРА ***- поменять на имя под которым он заведен в AD[global] security = ads realm = ADM72.LOCAL workgroup = ADM72 netbios name = *** ИМЯ-КОМПЬЮТЕРА *** template shell = /bin/bash kerberos method = system keytab wins support = no idmap config * : range = 10000-20000000 idmap config * : backend = tdb
- ввести в домен используя учетную запись доменного администратора
net ads join -U Administrator -S dc2-sovet61.adm72.local
илиsystem-auth write ad ADM72.LOCAL _hostname_ ADM72 'administrator' 'Pa$$word'
- проверить что доменные пользователи видны, должны быть выведены группы в которых пользователь числится.
<code class="text"> id domainuser </code>
- настроить PAM аутентификацию
создать файл/etc/pam.d/system-auth-cittoс содержимым<code class="text"> #%PAM-1.0 auth required pam_env.so auth [success=ignore default=1] pam_localuser.so auth [success=done default=bad] pam_tcb.so shadow fork prefix=$2y$ count=8 nullok auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_sss.so forward_pass auth optional pam_mount.so account [success=ignore default=1] pam_localuser.so account [success=done default=bad] pam_tcb.so shadow fork account sufficient pam_succeed_if.so uid < 500 quiet account [default=bad success=ok user_unknown=ignore] pam_sss.so account required pam_permit.so password [success=ignore default=2] pam_localuser.so password required pam_passwdqc.so config=/etc/passwdqc.conf password [success=done default=bad] pam_tcb.so use_authtok shadow fork prefix=$2y$ count=8 nullok write_to=tcb password requisite pam_succeed_if.so uid >= 500 quiet password required pam_sss.so -session optional pam_keyinit.so revoke -session optional pam_systemd.so session [success=3 default=ignore] pam_localuser.so session [success=1 default=ignore] pam_succeed_if.so service = systemd-user quiet session optional pam_mount.so session [success=1 default=1] pam_sss.so session optional pam_tcb.so session required pam_mktemp.so session required pam_mkhomedir.so silent session required pam_limits.so </code>
создаем файл/etc/pam.d/system-auth-use_first_pass-cittoс содержимым<code class="text"> #%PAM-1.0 auth [success=ignore default=1] pam_localuser.so auth [success=done default=bad] pam_tcb.so shadow fork prefix=$2y$ count=8 nullok use_first_pass auth requisite pam_succeed_if.so uid >= 500 quiet auth required pam_sss.so use_first_pass auth optional pam_mount.so password [success=ignore default=1] pam_localuser.so password [success=done default=bad] pam_tcb.so use_authtok shadow fork prefix=$2y$ count=8 nullok write_to=tcb password requisite pam_succeed_if.so uid >= 500 quiet password required pam_sss.so use_authtok </code>
Идем в эту папку /etc/pam.d, удаляем линк на старые правила, и делаем на новые<code class="text"> cd /etc/pam.d rm system-auth rm system-auth-use_first_pass ln -s /etc/pam.d/system-auth-citto /etc/pam.d/system-auth ln -s /etc/pam.d/system-auth-use_first_pass-citto /etc/pam.d/system-auth-use_first_pass </code>
