Linux в активната директория домейн
обща информация
Ако просто трябва да се осигури достъп до мрежата компютърни ресурси, Linux, вижте статията Samba.
В тази статия, ние ще опишем как да свържете Linux компютър към домейна под управлението на Active Directory на Microsoft и да го превърне в файлов сървър.
Според тази инструкция настроени Debian (4, 5), Ubuntu 9.10, той е създаден на базата на официални документи, както и много от препоръките и указанията от Интернет. Останалите Linuxes конфигурирани по същия начин.
изисквания за проверка
Инсталиране на Samba
- Инсталирайте самба сървъра и клиента.
Конфигуриране на Samba
Ние описват два общ каталог:
- архивиране - достъп само потребители, включени в BackupGroup група в Active Directory. Те могат да създават и изтриване на файлове / директории
- раз - да имат достъп до всички потребители, включени в DistribGroup група в Active Directory
Конфигурацията на маса предполага, че eth0 - е мрежовия интерфейс към локалната мрежа, когато домейнът е пълното име WORKGROUP.DOMAIN.LOCAL
- редактиране / и т.н. / nsswitch:
- Ние проверява дали / и т.н. / Силите правилния запис на нашия сървър, можете да добавите и записи за домейн контролери:
- Премахнете полето, ако не е (или прехвърляне на резервно копие на) /etc/samba/secrets.tdb файл и всички файлове /var/lib/samba/*.tdb
- Проверка на конфигурацията (по избор):
- testparm -s
В Ubunto testparm е в пакет самба-общ контейнер
- Проверете как Samba-3 winbind комуникира с контролер Active Directory домейн чрез Kerberos протокол:
На rasskhozhdenie време в секунди, посочващ линия "компенсира Време на сървъра: -5". Имайте предвид, че Kerberos е зависим от времето и разминаването с часовник домейн контролер е допустимо само леко, така че е препоръчително да изберете NTP клиент (вж. Член на създаване КТМ). В Ubuntu, това се отбелязва в файла / и т.н. / по подразбиране / ntpdate.
Всички компютърът е в домейн, който може да се провери на контролера. Дори и след като намалени линии, за да получите следното:
Проверка на работата и отстраняване на грешки
- За удобство на грешки прави позоваване на директорията на дневник:
- Започнете самба и winbind:
- За да проверите дали е в правилния връзката към домейна, можете да видите списъка на потребителите на домейни и групи (по избор):
Ако ние не разбираме нещо, казва парола wbinfo и вижте: в списъка с домейни в мрежата, информация за домейна на работната група, списък на потребителите и домейни групи:
- Ние проверяваме как НСС. getent команда показва информация за потребителя, която може да бъде или домейна, и Unix:
- Сега можете да използвате ресурсите на сървъра, Linux, към които сме дали достъп, както конвенционалните ресурси на домейни.
Допълнителни настройки
- Можете също така да сравните (но не задължително) местните пълномощията от домейн на Windows. За сравнение /etc/samba/smbusers.conf потребители редактирате файла:
- (. От английски картата просто Карта) за сравняване на домейни групи и групи UNIX изпълнение:
- След като всичко е отстраняването на грешките, е възможно да се понижи нивото на запис на дневника на "1". В /etc/samba/smb.conf:
Start - Control Panel - Administrative Tools - Местна политика на сигурност - местни политики - Опции за сигурност
- Мрежа за сигурност: Минимален сигурност сесия за клиентите на базата на NTLM ЕСП - премахнете отметката от "Изискване 128-битово криптиране." Има два вариант - изпълнява и двете
- Мрежа: нивото на удостоверяване на LAN Manager - изберете елемент от списъка "Изпращане LM- и NTML-отговори"
Работата по буболечки
Winbind не е започнало
Когато стартирате Самба откриете, че winbind не стартира:
В log.winbindd записка в дневника, се открива:
Виж, че добавя "построен домейн" (BUILTIN) и "компютър името" на домейна (съхранение), се свържете с домейн АД не успя.
Решение: Свържете компютъра към домейна. Ще се премахне от контролера, както komadny нетните обяви оставят вероятно няма да помогне.
Неуспехът да се получи Kerberos билет
Когато се опитате да получите получи билет Kerberos:
Решение: посочете името на домейна в друг случай. Вероятно ще имат нужда всички столицата