Интеграция на Active Directory (руски)
Тази страница се нуждае от придружител
Основната задача на системните администратори е да се опитат да споделят различни среди. Имаме предвид смесването на различни сървърни операционни системи (обикновено Microsoft Windows и Unix/Linux). Управлението на потребителите и удостоверяването е най-трудната задача. Най-популярният начин за решаване на този проблем е Directory Server. Има много решения с отворен код и търговски решения за различни видове * NIX; обаче само няколко решават проблема с взаимодействието с Windows. Active Directory (AD) е услуга за директории, създадена от Microsoft за мрежи с домейни на Windows. Той е включен в повечето операционни системи Windows Server. Сървърите, изпълняващи AD, се наричат домейн контролери
Терминология
Ако не сте запознати с AD, ето някои ключови думи, които биха могли да бъдат полезни да знаете.
Настройка на AD
Актуализация на GPO
Може да се наложи да деактивирате Комуникация с цифров знак (винаги) в настройките на AD групите. А именно:
Локални политики -> Политики за сигурност -> Мрежов сървър на Microsoft -> Комуникация с цифров знак (Винаги) -> изберете дефинирайте тази политика и поставете отметка за деактивиране .
Ако използвате Windows Server 2008 R2, тогава трябва да конфигурирате GPO в GPO за Политика на контролера на домейн по подразбиране -> Компютърни настройки -> Политики -> Настройка на Windows -> Настройка на защитата -> Локални политики -> Опция за защита -> Клиент на мрежата на Microsoft: Цифров подпис на комуникации (винаги)
Настройка на хост на Linux
Следващите няколко стъпки са да започнете да конфигурирате хоста. Нуждаете се от root или sudo достъп.
DNS актуализация
AD е силно зависим от DNS. Ще трябва да актуализирате /etc/resolv.conf, за да използвате AD домейн контролери:
Конфигуриране на NTP
Вижте NTPd или OpenNTPD за инструкции за настройване на NTP. Струва си да се отбележи, че OpenNTPD вече не се поддържа.
Уверете се, че демонът е конфигуриран да синхронизира автоматично при стартиране.
Създаване на ключ Kerberos
Сега можете да поискате ключове за AD (главна буква се изисква):
Може да се използва всяко потребителско име, което има права на администратор на домейн.
Потвърждение на ключа
Бягай klist за да проверите дали сте получили маркера, той трябва да изглежда по следния начин:
pam_winbind.conf
Ако получите грешки „/etc/security/pam_winbind.conf not found“, създайте този файл и го редактирайте, както следва:
Samba е безплатна реализация на протокола SMB/CIFS. Той също така включва инструменти за машини с Linux, които ги карат да се държат като Windows сървъри и клиенти.
В този раздел първо ще се съсредоточим върху това как работи удостоверяването, като сменим раздела „Глобално“. След това ще се върнем към останалото.
Сега трябва да "обясним" на Samba, че ще използваме PDC бази данни за удостоверяване. Ще използваме winbindd, който е включен в Samba. Winbind определя UID и GID на Linux машината за AD. Winbind използва UNIX изпълнение на RPC повиквания, Pluggable Authentication Modules (известен още като PAM) и Switch Service Switch (NSS), за да позволи на потребителите и Windows AD допускане на Linux машини. Най-добрата част на winbindd е, че не е нужно да се маркирате, трябва само да посочите UID и GID диапазона! Декларирахме ги в smb.conf.
Актуализирайте конфигурационния файл на samba, за да активирате демона на winbind
След това конфигурирайте samba да започне със стартиране на системата. Вижте демони за подробности.
Стартиране и проверка на услуги
Стартиране на Самба
Надяваме се, че все още не сте рестартирали! Добре. Ако се изпълнява X сесия, излезте, за да проверите влизането в друг терминал, без да напускате сесията си.
Стартиране на Samba (включително smbd, nmbd и winbindd):
Ако проверите списъка с процеси, ще забележите, че winbind всъщност не е стартирал. Бърза проверка на регистрационните файлове разкрива, че SID за този хост може да бъде получен от домейна:
Присъединяване към домейн
Рестартиране на Samba
winbindd не можа да стартира, защото все още не сме домейн.