Active Directory jest usługą katalogową dla - PLD

2016/11/16 02:11
1/4
Active Directory jest usługą katalogową dla systemów windows. Poniższy przewodnik pokazuje jak
przyłączyć komputer z linuksem PLD 3.0 (TH) do usługi AD z kontrolerem domeny opartym na
win2000 server.
Uwaga: Jeżeli mamy komputer z 2 systemami, windows i linux to najlepiej jest im przydzielić inne
nazwy hostow. Kontroler domeny rozpoznaje system na danym komputerze i jeżeli ten sam komputer
z tą samą nazwą hosta i 2 różnymi systemami połączy się z domeną to kontroler domeny z każdą
zmianą systemu po prostu głupieje i twierdzi ze takiego konta maszyny nie ma. Spowoduje to
konieczność usunięcia i ponownego zakładania konta dla hosta przy każdej zmianie systemu. W mojej
sytuacji mam przypisane osobne ip do każdego systemu i różne nazwy hostów. Nie muszę chyba tez
przypominać żeby zrobić kopię modyfikowanych plików, zwłaszcza pama, jak coś pójdzie nie tak to
skończy się to niemożliwością zalogowania do systemu.
Teraz co jest potrzebne. Potrzebujemy konta z prawami dodawania kont w domenie, najlepiej admina
domeny i roota na linuksie. Potrzebujemy także zsynchronizować czas z kontrolerem domeny, jeżeli
różnica czasów będzie większa niż 5 min to po prostu się do takiej domeny nie podłączymy. Do
synchronizacji czasu potrzebny jest pakiet ntp. Potrzeba jeszcze pakietów samba, winbind i kerberos.
Instalujemy powyższe poleceniem
poldek -i samba samba-common samba-winbind samba-client krb5-libs krb5client krb5-common
Załóżmy ze nasza domena to domena.local (może to być domena.local.org.pl lub cokolwiek innego),
nazwa komputera to linux a nazwa kontrolera to server1. Tak wyglądają moje pliki konfiguracyjne:
/etc/nsswitch.conf
# /etc/nsswitch.conf
#
# Example configuration of GNU Name Service Switch functionality.
#
passwd: files winbind
group: files winbind
shadow: files winbind
hosts: files dns
networks: files dns
protocols: files
services: files
ethers: files
rpc: files
netgroup: files
Ta modyfikacja pozwala na sprawdzanie poleceniu passwd użytkownikow i grup z listy winbind.
Winbind jest odpowiedzialny ze odwzorowanie kont domeny na konta uniksowe, linux widzi je wtedy
jako natywne konta.
Konfiguracja kerberos (uwaga na duże litery!!!!!) /etc/krb5.conf
[kdc]
profile = /var/lib/kerberos/kdc.conf
PLD-users.org - http://pld-users.org/
Last update:
2008/06/18 09:53
pl:przewodniki:linux-w-domenie-active-directory http://pld-users.org/pl/przewodniki/linux-w-domenie-active-directory
[libdefaults]
default_realm = DOMENA.LOCAL
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = true
[realms]
DOMENA.LOCAL = {
kdc = server1.domena.local
}
[domain_realm]
.kerberos.server = DOMENA.LOCAL
# domena.local = server1.domena.local
[logging]
default = FILE:/var/log/kerberos/krb5
kdc = FILE:/var/log/kerberos/krb5kdc
admin_server = FILE:/var/log/kerberos/kadmin
[appdefaults]
pam = {
debug = false
ticket_lifetime = 36000
renew_lifetime = 36000
forwardable = true
# krb4_convert = false
}
Konfiguracja samby (wklejam tylko sekcję global, znowu uwaga na duże litery) /etc/samba/smb.conf
[global]
workgroup = DOMENA
security = ADS
encrypt passwords = yes
password server = *
realm = DOMENA.LOCAL
domain master = No
local master = No
template homedir = /home/users/%D/%U
template shell = /bin/bash
winbind enum users = yes
winbind enum groups = yes
# winbind use default domain = yes
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind separator = +
winbind cache time = 300
http://pld-users.org/
Printed on 2016/11/16 02:11
2016/11/16 02:11
3/4
# winbind enable local accounts = yes
winbind trusted domains only = no
Ostatni krok to konfiguracja pama. W systemach redhatopodobnych (np. PLD) wystarczy modyfikacja
pliku /etc/pam.d/system-auth
#%PAM-1.0
auth required pam_listfile.so item=user sense=deny
file=/etc/security/blacklist onerr=succeed
auth required pam_env.so
auth sufficient pam_winbind.so
auth required pam_tally.so deny=0 file=/var/log/faillog onerr=succeed
auth required pam_unix.so try_first_pass
account
account
account
account
sufficient pam_winbind.so
required pam_tally.so file=/var/log/faillog onerr=succeed
required pam_time.so
required pam_unix.so
# password [success=1 ignore=reset abort=die default=bad] pam_pwgen.so
upper=1 digit=1
password required pam_cracklib.so try_first_pass difok=2 minlen=8 dcredit=2
ocredit=2 retry=3
password required pam_unix.so try_first_pass blowfish shadow use_authtok
password required pam_exec.so failok seteuid /usr/bin/make -C /var/db
# password required pam_exec.so failok seteuid /usr/bin/make -C /var/yp
session
session
session
use_uid
session
session
optional pam_keyinit.so revoke
required pam_limits.so change_uid
[success=1 default=ignore] pam_succeed_if.so service in crond quiet
required pam_unix.so
required pam_mkhomedir.so skel=/etc/skel/ umask=0077
Tutaj dodane zostaly tylko linie zawierajace pam_winbind.so i pam_mkhomedir.so.
Teraz pozostaje zrestartować usługi samba i winbind.
service smb restart
service winbind restart
Podłączamy się do domeny
net ads join -U admin
gdzie admin to konto z uprawnieniami admina domeny Powinniśmy zostać zapytani o hasło admina,
po poprawnej weryfikacji system powinien wyswietlić coś takiego
Using short domain name -- DOMENA
Joined 'LINUX' to realm 'DOMENA.LOCAL'
PLD-users.org - http://pld-users.org/
Last update:
2008/06/18 09:53
pl:przewodniki:linux-w-domenie-active-directory http://pld-users.org/pl/przewodniki/linux-w-domenie-active-directory
Teraz testujemy połączenie z domeną, odwzorowanie użytkownikow i grup
net ads testjoin
Powinniśmy otrzymać
Join is OK
wbinfo -u
powinno wyświetlić konta użytkowników domeny
wbinfo -g
powinno wyświetlić grupy
wbinfo -a użytkownik%hasło
sprawdza czy użytkownik może zalogować się do domeny. Teraz możemy się logować do systemu na
konta w domenie. Jako nazwę użytkownika podajemy DOMENA+user gdzie user to nazwa
użytkownika w domenie. Katalogi domowe użytkowników będą tworzone w /home/users/DOMENA/
podczas pierwszego logowania.
Powyższa konfiguracja będzie wygladać inaczej na systemie win2003 R2 i pewnie win2008 przy
włączonej integracji z systemami unix, w win2003 R2 to się nazywa RFC 2307 schema.
Jest to prawie kompletny opis jak zmusić PLD do poprawnej autoryzacji w domenie Active Directory. W
miarę upływu czasu mam nadzieję dalej rozwijać ten przewodnik.
From:
http://pld-users.org/ - PLD-users.org
Permanent link:
http://pld-users.org/pl/przewodniki/linux-w-domenie-active-directory
Last update: 2008/06/18 09:53
http://pld-users.org/
Printed on 2016/11/16 02:11