Debian 9 – Přihlášení do systému pomocí AD

Po úspěsném připojení do AD domény je možné provádět:

  • Používat domenové uživatele a skupiny při nastavování přístupových práv ACL
  • Nastavit sdílená a vystupovat jako soborový server
  • Fungovat jako tiskový server
  • Konfigurovat PAM moduly pro přihlášení domenového uživatele do OS

Před začátkem je nutné ukončit všechny samba procesy.

# ps ax | egrep "samba|smbd|nmbd|winbindd"

kill #####

Pokud již na stoji samba běžela, odebrat všechy configy samby a databázové soubory (není dobré míchat některé věci dohromady)

# smbd -b | grep "CONFIGFILE"
   CONFIGFILE: /usr/local/samba/etc/samba/smb.conf

# smbd -b | egrep "LOCKDIR|STATEDIR|CACHEDIR|PRIVATE_DIR"
  LOCKDIR: /usr/local/samba/var/lock/
  STATEDIR: /usr/local/samba/var/locks/
  CACHEDIR: /usr/local/samba/var/cache/
  PRIVATE_DIR: /usr/local/samba/private/

Připrava stroje pro připojení se co Active Directory domény.

Správná konfigurace DNS serverů
Nastavení synchronizace času

Pro správné fungování stroje v doméně je nutné aby byl nastavený přesný čas.

Nastavení localhost názvu

Aby vše fungovalo je nutné aby při DNS dotazu na název stroje dostal stroj spravnou odpověď tedy sama sebe.
Pro ověření správné funkčnosti lze použít příkaz

# getent hosts stanice1
192.168.1.25      stanice1.valasi.eu    stanice1

Pokud nepoužíváte DHCP a ukazuje vám špatnou IP adresu je možné ji upravit v místním /etc/hosts

127.0.0.1      localhost
192.168.1.25   stanice1.valasi.eu    stanice1

pokud používáte DHCP je ale nutné aby tuto upravu provedl správce DHCP serveru.
U debianu se stává že v hosts bývá záznam jako 127.0.1.1 hostname … tento je nutné odstranit.
Záznam 127.0.0.1 localhost doporučuju ponechat.

Instalace SAMBY

DOPSAT.
apt -y install winbind libpam-winbind libnss-winbind krb5-config resolvconf samba

Konfigurace SAMBY

V souboru smb.conf

# smbd  -b | grep CONFIGFILE
  CONFIGFILE: /usr/local/samba/etc/smb.conf

Příklad obsahu konfoguráku:

[global]
       security = ADS
       workgroup = VALASI
       realm = VALASI.EU

       log file = /var/log/samba/%m.log
       log level = 1

       # Default ID mapping configuration for local BUILTIN accounts
       # and groups on a domain member. The default (*) domain:
       # - must not overlap with any domain ID mapping configuration!
       # - must use a read-write-enabled back end, such as tdb.
       # - Adding just this is not enough
       # - You must set a DOMAIN backend configuration, see below
       idmap config * : backend = tdb
       idmap config * : range = 3000-7999
Mapování doménového admina jako místní učet root

Do smb.conf přidat do sekce [global] odkaz kde bude uložen soubor s „navodem“ mapování uživatelů

username map = /usr/local/samba/etc/user.map

Vytvoř soubor /usr/local/samba/etc/user.map a vlož do něj řádek

!root = VALASI\Administrator

Připojení do domény

Pro připojení stroje do Active Directory zadej:

# net ads join -U administrator
Enter administrator's password: Passw0rd
Using short domain name -- VALASI
Joined 'stanice1' to dns domain 'valasi.eu'

Pro připojení do domeny NT4 zadej:

# net rpc join -U administrator
Enter administrator's password: Passw0rd
Joined domain VALASI.

Konfigurace Name Service Switch

Pro povolení knihovny name service switch (NNS), knihovna je nutná aby se daly používat domenová přihlašení v místním systému.
stačí přidat „wibind“ do konfiguračního souboru /etc/nsswitch.conf

...
passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind (pro řihlašování do OS)
...

POZOR: nepoužívejte stejné místní učty jako jsou domenové.

Start služby winbindd

Pro využívání AD učtu je nutné spustit službu winbindd
Pokud nastavíte také sdílení souborů nebo tiskáren spustí se automaticky také služby

# smbd
# nmbd

Testování WINBIND konektivity

WinBIND ping

Pro ověření dostupnosti DC serveru je možné použít příkaz

# wbinfo --ping-dc
checking the NETLOGON for domain[VALASI] dc connection to "DC.valasi.eu" succeeded

Pokud příkaz selže je špatně nastavený smb.conf nebo možná winbind neběží.

Povolení přihlášení do OS

Do konfiguráku /etc/pam.d/common-session přidat řádek

session optional        pam_mkhomedir.so skel=/etc/skel umask=077

Podobné příspěvky

Obnova dat z poškozeného HDD – Debian base

Pro záchranu dat zpoškozrného disku je nejlepší nejdříve udělat obraz celého disku, pokusy o čtení poškozeného disku sebou může přinést další potíže. V debian repozitářích je balíček gddrescue který umí […]

Přečíst více

Napsat komentář

Přejít k navigační liště