Для подключения Linux-систем к домену Windows можно использовать различные технологии. Либо на основе NTLM1-аутентификации (традиционный вариант, совместим с доменами Windows NT), либо на основе Kerberos (поддерживается в доменах Windows 200х). Поскольку система безопасности Windows в нормальном режиме использует протоколы Kerberos, то рекомендуется именно так и подключать клиентов Linux.
В следующем примере мы опишем последовательность операций для ОС Red Hat Linux, в других клонах ОС Linux действия могут незначительно отличаться.
Примечание
Red Hat Linux имеет настройки Security Level Configuration. Если выбран уровень безопасности системы High или Medium, то аутентификация в домене Windows будет не возможна. Поэтому включите вариант No Firewall (с помощью команды меню Main | System Settings или в режиме терминала командой redhat-config-securitylevel).
Протокол Kerberos будет работать только в том случае, если рассогласование времени между компьютером пользователя и контроллером домена составляет меньше 5 минут. Поэтому перед началом операций необходимо синхронизировать время на компьютерах и проверить идентичность установленных часовых поясов.
Для подключения к домену нужно выполнить три шага:
1. Отредактировать конфигурацию клиента Kerberos и nsswitch;
2. Получить билет Kerberos для учетной записи администратора;
3. Выполнить команду подключения к домену.
Настройка конфигурации клиента Kerberos
Настройки Kerberos можно выполнить с помощью имеющихся в системе графических утилит (рис. 2.4), но проще вручную отредактировать файл конфигурации, расположенный по следующему пути: /etc/krb5.conf. В этом файле достаточно отредактировать только параметры доменной области (realm) и центра выдачи ключей (KDC)1 (Key Distribution Center - центр распределения ключей - служба Kerberos):
[realms]
LOCAL.DOMAIN = {
kdc = tcp/dc1.local.domain:88 tcp/dc2.local.domain:88 admin_server = dc1.local.domain default_domain = local.domain }
[ domain_realm]
.local.domain = LOCAL.DOMAIN local.domain = LOCAL.DOMAIN
[kdc]
enable-kerberos4 = false
Рис. 2.4. Настройка параметров Kerberos в графическом режиме в Red Hat
Назначения параметров видны по их названиям. Можно использовать также пример, содержащийся в исходном файле krb5.conf.
Примечание Записи в этом файле чувствительны к регистру. Рекомендуется вводить имена только в верхнем регистре, именно так, как это сделано в данном примере.
Настройка nsswitch.conf
В файле /etc/nsswitch.conf определяется, какие источники будут использованы для получения данных о пользователях. Иногда настройки по умолчанию ограничиваются только локальными параметрами (в строках упомянуто только files). Поэтому проверьте, чтобы содержимое файла /etc/nsswitch.conf включало параметры как files, так и winbind. Например, так:
group: files winbind hosts: files dns nis winbind networks: files winbind passwd: files winbind shadow: files winbind shells: files winbind
Получение билета Kerberos для учетной записи администратора После того как вы отредактируете конфигурацию, необходимо получить билет Kerberos на Linux-компьютере для учетной записи администратора домена. Для этого выполните следующую команду:
kinit administrator@LOCAL.DOMAIN
Обратите внимание, что имя домена должно быть набрано прописными буквами, а слева от знака " @" указана учетная запись администратора этого домена.
Команда должна отработать без ошибок. Самая распространенная ошибка возникает в случае, если время системы Linux отличается от времени контроллера домена. В этом случае синхронизируйте время и повторите команду.
Проверить полученный билет можно, выполнив команду:
klist
Эта команда должна показать параметры полученного билета (имя учетной записи, срок действия билета).
Подключение к домену Для включения компьютера с Linux в домен Windows по протоколу Kerberos необходимо выполнить следующую команду (подключение происходит к домену, указанному в параметрах по умолчанию - конфигурации клиента Kerberos):
net ads join -U administrator%password
Обратите внимание, что используется ключ ads, говорящий о подключении к службе каталогов по протоколу Kerberos. Не забудьте сменить имя пользователя
administrator и пароль password на реальное имя пользователя, имеющего право подключения компьютеров к домену (лучше всего, если это будет администратор домена), и его пароль. В ответ вы должны получить сообщение об удачном выполнении операции.
Проверка подключения После подключения к домену в списке компьютеров-членов домена можно будет увидеть Linux-систему.
Проверить наличие подключения можно, попытавшись отразить информацию об учетных записях и их паролях в домене. Сначала проверьте наличие безопасного подключения с помощью следующей команды:
wbinfo -t
На экране должно появиться аналогичное приведенному далее:
[root@linux ~]# wbinfo -t
checking the trust secret via RPC calls succeeded
Командой wbinfo -u можно отобразить список пользователей, а применив ее с ключом -g - список групп.
Проверьте, что служба winbind успешно получает пароли с контроллера домена. Для этого выполните команду:
getent passwd
В списке паролей вы должны увидеть записи, относящиеся к домену (имена пользователей будут показаны в начале строки в виде: домен\пользователь).
⇐Система авторизации, аутентификации и контроля доступа | Самоучитель системного администратора | Сервер linux в качестве контроллера домена⇒