Активна интеграция директория (български)
Тази страница изисква Escort
Внимание: Тъй като Arch Linux използва система за дистрибуция, подвижен освобождаване, а вероятно и част от информацията на страницата може да е остарял поради промени в опаковките или конфигурации, направени от разработчиците. Никога не сляпо следват този или други инструкции. Когато инструкциите казват да се промени даден файл, не забравяйте да направите резервно копие. Проверете датата на последната проверка на статията.
Основната задача на системните администратори се опитват да съ-Казуси от различни среди. Имаме предвид смесване друга операционна система на сървъра (обикновено Microsoft Windows Unix / Linux). управление на потребителите и удостоверяване в момента е най-голямото предизвикателство. Най-популярният начин за решаване на този проблем - категория Server. Има много отворен код и търговски решения за различни видове * NIX; Въпреки това, само няколко адреса на проблема за взаимодействие с Windows. Active Directory (AD) - услуга директория, предназначени за домейн мрежа Microsoft Windows. Той е включен в повечето операционни системи Windows Server. Сървъри, които се изпълняват на реклами, посочени като домейн контролери (домейн контролери)
терминология
Ако не сте запознати с Христа, има някои ключови думи, които биха били полезно да се знае.
Конфигуриране АД
Важно: Тази част не е тестван, да продължи да otstorozhnostyu.
Актуализациите GPO
Може да се наложи да изключите Digital Знак съобщението на (винаги) в настройките на рекламна група. А именно:
Местните политики -> политики за сигурност -> Microsoft мрежов сървър -> Digital знак комуникация (Винаги) -> изберете определи тази политика и да поставят "тик", за да деактивирате.
Конфигуриране на Linux хост
В следващите няколко стъпки - началото на конфигурацията на хост. Вие ще трябва корен или достъп Sudo.
актуализиране на DNS
АД е силно зависима от DNS. Вие ще трябва да се актуализира /etc/resolv.conf. за използване на домейн контролери АД:
Конфигуриране на NTP
Вижте. Ntpd или OpenNTPD за инструкции за конфигуриране на КТМ. Заслужава да се отбележи, че OpenNTPD вече не се поддържа.
Уверете се, че демонът е конфигуриран да се синхронизира автоматично при стартиране.
Създаване на Kerberos Key
Сега в можете да направите заявка за ключове АД (задължително с главни букви):
Можете да използвате всеки потребителско име, което има права на администратора.
ключ за потвърждение
Започнете klist да проверите дали сте получили в знак, че трябва да бъде нещо като това:
pam_winbind.conf
Ако получите съобщение за грешка "/etc/security/pam_winbind.conf не е намерен" създаване на файла и да го редактирате, както следва:
Samba - свободно изпълнение на SMB / CIFS протокола. Тя също така включва инструменти за Linux машини, които ги правят се държат като Windows сървъри и клиенти.
Забележка: Конфигурацията може да варира в зависимост от конфигурацията на Windows сървър. Бъдете готови да се учат и решаване на проблеми.
В този раздел, ние първо ще се фокусира върху работата на удостоверяване чрез промяна на секцията "Global". След това, ние се върнем към другите.
Сега ние трябва да "обясни" Samba, ние ще използваме PDC dannh база за autenifikatsii.Budem използвате winbindd, който е включен в доставката Samba.Winbind показва UID и GID Linux машини за АД. Winbind използва UNIX изпълнение на RPC разговори, Pluggable Authentication Modules (известен още като PAM) и за смяна на услугата (НСС), за да позволи приемането на потребителите и Windows АД на Linux машини. Най-добрата част на winbindd е, че не е нужно да се маркират, от вас се изисква само да се посочи обхвата на UID и GID! Той е обявен в smb.conf им ние.
Актуализиране конфигурация самба файла за да се даде възможност winbind демон
На следващо място, създаден самба, така да се започне със стартирането на системата. Вижте. Демони за подробности.
Работещи и тестване на услуги
Стартиране на Samba
Стартиране на Samba (включително smbd, nmbd и winbindd):
Ако проверите списъка на процесите, ще забележите, че в действителност не започне winbind. Един бърз преглед на дневника казва, че СИД за този хост може да бъде получена от домейна:
Присъединяване към домейн
рестартиране на Samba
winbindd не успя да стартира, защото досега не сме домейн.
Рестартирайте услугата Samba winbind и също трябва да започне.
NSSwitch казва Linux домакин igformatsiyu как да се получи от различни източници и до каква цел да го направя. В нашия случай, ние Doba АД като допълнителен източник за потребители, групи и домакини.
Проверете Winbind
Проверете дали winbind за достъп до рекламните може. Следващата команда връща списък с потребители АД:
- Имайте предвид, ние създадохме един потребител АД "test.user" в dommenom kontollere.
Можете да направите същото и за рекламни групи:
Проверете nsswitch
За да сте сигурни, че добавен NaSCEb домакин има достъп до потребителите на домейни и групи, ние ще проверим nsswitch настройки чрез "getent". На следващата продукция показва колко е необичайно и трябва да се появи на девствена ArchLinux:
Проверка на екипа Samba
Опитайте някои от командите, за да видите дали Samba може да взаимодейства с АД:
Конфигуриране на PAM
Сега ние ще се промени на различните правила в РАМ, за да позволи на потребителите АД за използване на системата за влизане и достъп до Sudo. Когато се променят правилата, спомняйки техния ред и етикетирани, ако са необходими или достатъчна критична, ако искате да получите всичко, което работи, не zadumali.Vam необходимо да се отклони от тези правила, освен ако не знаете как да пишат правила за PAM
Основният процес удостоверяване PAM ArchLinux конфигурация е в /etc/pam.d/system-auth. Като се започне със стандартната конфигурация на pambase. го променят, както следва:
система удостоверяване е
Секция "упълномощаване"
Извадете го и да се замени с:
Секция "сметка"
Под това добавете следното:
Секция "сесия"
Под това добавете следното:
Секция "парола"
Извадете го и да се замени с:
Проверете влизане
И двете трябва да работи. Заслужава да се отбележи, че /home/example/test.user ще бъде създадена автоматично.
Създаване на споделените файлове
По-рано, ние пропуска създаване споделените файлове. Сега, когато всичко работи, върнете се и добавете към /etc/smb.conf eksoprt за домакини, които можете да ги предоставите в Windows
В горния пример, мрежата на ключова дума. Не го бъркайте с името на домейна. За добавяне групи, добавете "@" символ на група. Забележка, Домейн Администратори е "кавички", за да Samba правилно да ги чете, когато гледате конфигурационния файл.
Добавянето на keytab файл и да даде възможност парола влизане на машината чрез SSH и Кербер
Създаване на файл с ключ раздела
Стартирайте "нетната рекламите keytab създаде администратор -U" като корен, за да се създаде keytab файл в "/etc/krb5.keytab". Тя пише вай, от които се нуждаете, за да се даде възможност на удостоверяване с помощта на keytab в конфигурационния файл, така че можем да направим следващата стъпка. Понякога има проблеми, ако krb5.keytab файл вече съществува, тогава ще трябва да го преименувате и стартирайте командата отново, това трябва да помогне.
Активиране на въвеждане чрез keytab
Сега трябва да се уточни winbind, че той трябва да използва keytab файл, като добавите следния ред към /etc/samba/smb.conf:
В крайна сметка, всичко трябва да изглежда така:
Рестартирайте winbind.service използване "systemctl рестартиране winbind.service" със супер-потребител привилегии.
Проверете дали всичко работи, след като получи билет за вашата система и бягане
Тази команда не трябва да пиша нищо за конзолата, ondako "klist" трябва да покаже нещо като това:
Някои често срещани грешки: а) забравят да се сложи $ или б) игнорират главни и малки букви - това трябва да е точно същата като zapisv keytab
Подготовка на SSHD сървър
Всичко, което трябва да направите - е да добавите малко опция в sshd_config и рестартирайте sshd.service.
Редактирайте "/ и т.н. / SSH / sshd_config", че той погледна на правилните места:
Добавянето на опциите, необходими за клиента
Първо трябва да се уверите, че на разположение на билетите за клиента. Обикновено тя работи, но само в случай, използвайте следната опция:
След това трябва да се добави възможности:
нашата .ssh / конфигурационния файл. която разказва SSH за да използвате тази опция, като алтернатива: Можете да използвате "SSH -o" (виж стр справочник SSH (1)).
Проверка на инсталацията
Уверете се, че имате валиден билет, като се използва "kinit". След това се свържете с вашата машина чрез SSH
Трябва да свържете искания без парола
Ако вие също са включване на ключа за удостоверяване, трябва да извършите
за да видите кой метод за идентификация се използва в действителност.
За отстраняване на грешки, можете да активирате DEBUG3 на сървъра и да гледате влезете през "journalctl"
Създаване на Kerberos удостоверяване пълна без парола.
Генериране на keytab, който ще се AD
Потребителят трябва да изпълнява:
Сега provertte файл:
Тя не трябва да се запитаме паролата, сега просто го копирате в "
/.bashrc ", то няма да въведете парола всеки път.
Интересно е да знаете
File 'username.keytab "не spetsefichen за автомобили и следователно могат да бъдат копирани в други машини. Например, ние създадохме файл на машина Linux и копирани на клиента Mac като екипът в нея друга.