пятница, 6 октября 2017 г.

Как компьютер с ОС Linux вписывать в домен


 Рецепт от Фофина В.В.

Устанавливаем необходимые пакеты
# yum install samba-winbind samba-winbind-clients
 
Конфигурим winbind
/etc/samba/smb.conf:
------------------------------------------------------------------------
[global]
workgroup = Имя группы
server string = SQUID_CACHE
netbios name = SQUID_CACHE
hosts allow = 127. 10.185.
 
log file = /var/log/samba/%m.log
max log size = 500
 
# Сетевые настройки.
socket options = TCP_NODELAY
 
# ----------------------- Domain Members Options ------------------------
 
security = domain
passdb backend = tdbsam
realm = Имя_домена.local
password server = szk-dc03.Имя_домена
 
# ----------------------- Browser Control Options -----------------------
#
# Указываем, что самба не является PDC
local master = no
domain master = no
preferred master = no
domain logons = no
os level = 0
 
# Использовать шифрованные пароли
encrypt passwords = yes
 
# Настройки winbind
winbind use default domain = no
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
#
load printers = no
cups options = raw
----------------------------------------------------
 
 
# cat /etc/nsswitch.conf | grep winbind
group: files winbind
passwd: files winbind
 
Вводим сервер в домен
# net ads join -U kxz%5RcNKnEQ
# net ads info
LDAP server: 10.185.10.110
LDAP server name: szk-dc03.Имя_домена
Realm: Имя_домена.LOCAL
Bind Path: dc=Имя_домена,dc=LOCAL
LDAP port: 389
Server time: Thu, 12 Nov 2015 13:59:55 EET
KDC server: 10.185.10.110
Server time offset: 89
 
Стартуем WINBIND
# systemctl start winbind
# systemctl enable winbind
 
Проверяем работоспособность WINBIND.
 
Доступ к порту
# wbinfo -p
Ping to winbindd succeeded
 
Доступ к PDC
# wbinfo -t
checking the trust secret for domain Имя_домена via RPC calls succeeded
 
Список пользователей
# wbinfo -u >users.list
 
Список групп
# wbinfo -g >group.list
 
Информация о домене и AD
# wbinfo -D Имя_домена
Name              : Имя_домена
Alt_Name          : Имя_домена.local
SID               : S-1-5-21-776322397-1501748726-1403466927
Active Directory  : Yes
Native            : Yes
Primary           : Yes
 
Проверим аутентификацию
# wbinfo --authenticate=Имя_домена\\sa.zk.ldap%oeZUz5x
plaintext password authentication succeeded
challenge/response password authentication succeeded
 
Проверим утилитой id доменного пользователя
# id Имя_домена\\sa.zk.ldap
uid=10000(Имя_домена\sa.zk.ldap) gid=10000(Имя_домена\пользователи 
домена) groups=10000(Имя_домена\пользователи 
домена),10001(Имя_домена\g-zk-link-support)
 
Укажем пользователя, от имени которого будет проходить аутентификация
# net setauthuser -U Имя_домена\\kxz%5RcNKnEQ
# net help getauthuser
Имя_домена\Имя_домена\kxz%5RcNKnEQ
 
Проверяем хелпер
usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
Имя_домена\kxz 5RcNKnEQ
OK
 
Права на каталоги
drwxr-x--- root wbpriv /var/lib/samba/winbindd_privileged
drwxr-xr-x root wbpriv /run/samba/winbindd
для CentOS 7 в /etc/group при установке samba+winbind прописывается
wbpriv:x:88:squid
И на всякий случай
ln -s /var/lib/samba/winbindd_privileged /run/samba
 
 
                                            SQUID
================================================================================
 
Вообщем скрипт wbinfo_group.pl переделали на ext_wbinfo_group_acl
Т.е. теперь для групп вместо:
 
Код: Выделить всё
external_acl_type nt_group %LOGIN /usr/local/libexec/squid/wbinfo_group.pl
 
пишем
Код: Выделить всё
external_acl_type nt_group %LOGIN 
/usr/local/libexec/squid/ext_wbinfo_group_acl
 
И все работает :))
================================================================================


Комментариев нет:

Отправить комментарий