Наш wiki-портал переехал на новый движок и доступен по адресу http://wiki.astralinux.ru

Эта версия портала обновляться больше не будет.

AD enter

Материал из AstraLinux Wiki
Перейти к: навигация, поиск

Введение Astra Linux в домен Active Directory

Введение Astra Linux в домен Active Directory позволяет осуществлять вход пользователя на АРМ под управлением Astra Linux при помощи учетной записи Microsoft Active Directory Domain Services. При этом используется локальный домашний каталог пользователя.

ВАЖНО! Рассматривается статическая настройка сети. В других случаях выполняйте настройку в соответствии с Вашей настройкой сети.

Инструкция по введению Astra Linux в домен Active Directory


1. Сконфигурировать DNS:

В файле /etc/resolv.conf записать

domain domain.com
search domain.com
nameserver DC_IP

если не существует создать.

2. Сконфигурировать NTP:

ntpdate DC_IP

3. На компьютере должны быть установлены следующие пакеты:

samba, winbind, ntp, krb5-user

4. Остановить сервисы:

/etc/init.d/samba stop
/etc/init.d/winbind stop
/etc/init.d/ntp stop

5. Внести изменения в /etc/krb5.conf:

[libdefaults]

default_realm = DOMAIN.COM
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
v4_instance_resolve = false
v4_name_convert = {
host = {
rcmd = host
ftp = ftp
}
plain = {
something = something-else
}
}
fcc-mit-ticketflags = true

[realms]

domain.com = {
kdc = DC_IP:88
admin_server = DC_IP
}

[domain_realm]

.domain.com = DOMAIN.COM
domain.com = DOMAIN.COM

6. Сконфигурировать winbind:

В файл /etc/samba/smb.conf внести изменения

workgroup = DOMAIN
realm = DOMAIN.COM
security = ads
encrypt passwords = true
dns proxy = no
socket options = TCP_NODELAY
local master = no
domain master = no
preferred master = no
os level = 0
domain logons = no
wins server = DC_IP
idmap uid = 10000 - 20000
idmap gid = 10000 - 20000
winbind enum groups = yes
winbind enum users = yes
winbind use default domain = yes
invalid users = root
template homedir = /home/%D/%U
template shell = /bin/bash
winbind offline logon = yes
winbind refresh tickets = yes

7. Отредактировать файл /etc/security/limits.conf:

Добавить в конец файла строки:
* - nofile 16384
root - nofile 16384

Выполнить команду:

ulimit -n 16384

7. Сконфигурировать Nsswitch

В файле /etc/nsswitch.conf внести изменения

passwd: compat winbind
group: compat winbind
shadow: compat
hosts: dns mdns4_minimal[NotFoud=return] mdns4 wins files
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis

8. Перезапустите демон Winbind и Samba в следующем порядке:

sudo /etc/init.d/winbind stop
sudo smbd restart
sudo /etc/init.d/winbind start

9. Выполните:

ldconfig
/etc/init.d/nscd restart
/etc/init.d/nslcd restart

10. Добавьте строку в файле /etc/pam.d/common-session

session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

11. Ввести в домен командой:

net ads join -U Domain_user

Пользователю должно быть разрешено добавлять рабочие машины в домен.

Личные инструменты
Пространства имён

Варианты
Действия
Навигация
Инструменты