Для подключения Linux-систем к домену Windows можно использовать различные технологии. Либо на основе NTLM1-аутентификации (традиционный вариант, совместим с доменами Windows NT), либо на основе Kerberos (поддерживается в доменах Windows 200х). Поскольку система безопасности Windows в нормальном режиме использует протоколы Kerberos, то рекомендуется именно так и подключать клиентов Linux.

В следующем примере мы опишем последовательность операций для ОС Red Hat Linux, в других клонах ОС Linux действия могут незначительно отличаться.

Примечание

Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безопасности системы High или Medium, то аутентификация в домене Windows будет не возможна. Поэтому включите вариант No Firewall (с помощью команды меню Main | System Settings или в режиме терминала командой redhat-config-securitylevel).

Протокол Kerberos будет работать только в том случае, если рассогласование времени между компьютером пользователя и контроллером домена составляет меньше 5 минут. Поэтому перед началом операций необходимо синхронизировать время на компьютерах и проверить идентичность установленных часовых поясов.

Для подключения к домену нужно выполнить три шага:

1. Отредактировать конфигурацию клиента Kerberos и nsswitch;

2. Получить билет Kerberos для учетной записи администратора;

3. Выполнить команду подключения к домену.

Настройка конфигурации клиента Kerberos

Настройки Kerberos можно выполнить с помощью имеющихся в системе графических утилит (рис. 2.4), но проще вручную отредактировать файл конфигурации, расположенный по следующему пути: /etc/krb5.conf. В этом файле достаточно отредактировать только параметры доменной области (realm) и центра выдачи ключей (KDC)1 (Key Distribution Center - центр распределения ключей - служба Kerberos):

[realms]

LOCAL.DOMAIN = {

kdc = tcp/dc1.local.domain:88 tcp/dc2.local.domain:88 admin_server = dc1.local.domain default_domain = local.domain }

[ domain_realm]

.local.domain = LOCAL.DOMAIN local.domain = LOCAL.DOMAIN

[kdc]

enable-kerberos4 = false

Настройка параметров Kerberos в графическом режиме в Red Hat

Рис. 2.4. Настройка параметров Kerberos в графическом режиме в Red Hat

Назначения параметров видны по их названиям. Можно использовать также пример, содержащийся в исходном файле krb5.conf.

Примечание Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена только в верхнем регистре, именно так, как это сделано в данном примере.

Настройка nsswitch.conf

В файле /etc/nsswitch.conf определяется, какие источники будут использованы для получения данных о пользователях. Иногда настройки по умолчанию ограничиваются только локальными параметрами (в строках упомянуто только files). Поэтому проверьте, чтобы содержимое файла /etc/nsswitch.conf включало параметры как files, так и winbind. Например, так:

group: files winbind hosts: files dns nis winbind networks: files winbind passwd: files winbind shadow: files winbind shells: files winbind

Получение билета Kerberos для учетной записи администратора После того как вы отредактируете конфигурацию, необходимо получить билет Kerberos на Linux-компьютере для учетной записи администратора домена. Для этого выполните следующую команду:

kinit administrator@LOCAL.DOMAIN

Обратите внимание, что имя домена должно быть набрано прописными буквами, а слева от знака " @" указана учетная запись администратора этого домена.

Команда должна отработать без ошибок. Самая распространенная ошибка возникает в случае, если время системы Linux отличается от времени контроллера домена. В этом случае синхронизируйте время и повторите команду.

Проверить полученный билет можно, выполнив команду:

klist

Эта команда должна показать параметры полученного билета (имя учетной записи, срок действия билета).

Подключение к домену Для включения компьютера с Linux в домен Windows по протоколу Kerberos необходимо выполнить следующую команду (подключение происходит к домену, указанному в параметрах по умолчанию - конфигурации клиента Kerberos):

net ads join -U administrator%password

Обратите внимание, что используется ключ ads, говорящий о подключении к службе каталогов по протоколу Kerberos. Не забудьте сменить имя пользователя

administrator и пароль password на реальное имя пользователя, имеющего право подключения компьютеров к домену (лучше всего, если это будет администратор домена), и его пароль. В ответ вы должны получить сообщение об удачном выполнении операции.

Проверка подключения После подключения к домену в списке компьютеров-членов домена можно будет увидеть Linux-систему.

Проверить наличие подключения можно, попытавшись отразить информацию об учетных записях и их паролях в домене. Сначала проверьте наличие безопасного подключения с помощью следующей команды:

wbinfo -t

На экране должно появиться аналогичное приведенному далее:

[root@linux ~]# wbinfo -t

checking the trust secret via RPC calls succeeded

Командой wbinfo -u можно отобразить список пользователей, а применив ее с ключом -g - список групп.

Проверьте, что служба winbind успешно получает пароли с контроллера домена. Для этого выполните команду:

getent passwd

В списке паролей вы должны увидеть записи, относящиеся к домену (имена пользователей будут показаны в начале строки в виде: домен\пользователь).

Система авторизации, аутентификации и контроля доступа | Самоучитель системного администратора | Сервер linux в качестве контроллера домена


Самоучитель системного администратора



Новости за месяц

  • Ноябрь
    2020
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс