Active Directory integráció (Magyar)
Az oldal csak Escort
Figyelem: Mivel a Arch Linux használ elosztórendszer gördülő kiadás, esetleg néhány információt a lap elavult lehet, mert a változások a csomagok vagy konfigurációk tette a fejlesztők. Soha vakon követik ezt, vagy bármely más utasításokat. Amennyiben az utasításokat mondani, hogy módosítsa a fájl, ellenőrizze, hogy egy biztonsági másolatot. Ellenőrizze a dátumot és az utolsó vizsgálat a cikk.
A fő feladata a rendszergazdák próbálják együttes esettanulmányok különböző környezetekben. Azt értjük keverés különböző operációs rendszert (általában Microsoft Windows Unix / Linux). felhasználói menedzsment és hitelesítés a pillanatban a legnagyobb kihívást. A legnépszerűbb módja a probléma megoldására - Directory Server. Sok nyílt forráskódú és kereskedelmi megoldások különböző * NIX; azonban csak néhány cím a probléma kölcsönhatás a Windows. Active Directory (AD) - címtárszolgáltatásként tervezett Microsoft Windows hálózati tartományba. Ez benne van a legtöbb Windows operációs rendszerekben. Szerverek futtató az AD, említett tartományvezérlőkre (tartományvezérlőkön)
terminológia
Ha nem ismeri a AD, vannak olyan kulcsszavak, amelyek hasznos lenne tudni.
Állítsa AD
Fontos: Ez a rész nem vizsgálták, továbbra is otstorozhnostyu.
Frissítés GPO
Lehet, hogy kapcsolja ki a digitális Sign közlemény (mindig) az AD csoport beállításait. nevezetesen:
Helyi politika -> Biztonsági politika -> Microsoft Network Server -> Digitális jel kommunikáció (mindig) -> válassza ki határozza meg ezt a politikát, és tegye a „tick” letiltása.
Konfigurálása Linux host
A következő néhány lépés - az elején a konfigurációban. Szükséged lesz gyökér vagy sudo-hozzáféréssel.
DNS frissítés
AD nagymértékben függ a DNS-t. Meg kell majd frissíteni /etc/resolv.conf. hogy használja a tartományvezérlők AD:
konfigurálása NTP
Lásd. Ntpd vagy OpenNTPD milyen konfigurációs lépések NTP. Érdemes megjegyezni, hogy OpenNTPD már nem támogatott.
Ügyeljen arra, hogy a démon beállítva az automatikus szinkronizálás indításkor.
Létrehozása Kerberos Key
Most kérheti kulcsok AD (nagybetűk kötelező):
Használhatja bármilyen felhasználói nevet, amely tartomány rendszergazdai jogosultságokkal.
megerősítő kulcs
Kezdés klist hogy ellenőrizze, hogy megvannak-e a token, akkor legyen valami, mint ez:
pam_winbind.conf
Ha hibaüzenetet kap „/etc/security/pam_winbind.conf nem található” hozza létre a fájlt, és az alábbiak szerint módosíthatók:
Samba - ingyenes megvalósítása SMB / CIFS protokoll. Ugyancsak ide tartozik a szerszámok a géphez, hogy tegyék viselkednek, mint a Windows szerverek és kliensek.
Megjegyzés: A konfiguráció változhat attól függően, hogy a Windows szerver konfigurációját. Légy hajlandó tanulni, és megoldani a problémákat.
Ebben a részben, akkor először összpontosítani a hitelesítési művelet megváltoztatja a „Global” részben. Következő, megyünk vissza a többiekhez.
Most, hogy „megmagyarázza” Samba fogjuk használni a PDC dannh bázis autenifikatsii.Budem használni winbindd, ami benne van a szállítási Samba.Winbind jelzi az UID GID Linux gép AD. Winbind használ UNIX végrehajtása RPC hívások, Pluggable Authentication Modules (aka PAM) és Name Service Switch (NSS), hogy a felvételi a felhasználók és a Windows AD Linux-gépeken. A legjobb része winbindd az, hogy nem kell megjelölni, akkor van szükség csak, hogy jelezze a tartományban UID GID! Ez a már bejelentett smb.conf.
Frissítse a Samba konfigurációs fájlban, hogy winbind démon
Ezután létre samba így kezdeni a dob a rendszer. Lásd. Démonok a részletekért.
Futó és tesztelési szolgáltatások
Kezdve a Samba
Kezdve a Samba (beleértve smbd nmbd és winbindd):
Ha bejelöli a folyamatok listájában, akkor veszi észre, hogy valójában nem indul winbind. Egy gyors ellenőrzés a napló azt mondja, hogy a SID ennek a host lehet beszerezni a domain:
Csatlakozás Domain
Samba újraindítása
winbindd sikerült elindítani, mert eddig mi nem domaint.
Indítsuk újra a Samba winbind szolgáltatást kell kezdődnie.
Nsswitch mondja Linux host igformatsiyu, hogyan lehet a különböző forrásokból és milyen sorrendben kell csinálni. A mi esetünkben, Doba AD kiegészítő forrást a felhasználók, csoportok és a házigazdák.
Ellenőrizze Winbind
Ellenőrizze, hogy Winbind hozzáférni a hirdetés. A következő parancs ad egy listát az AD felhasználók:
- Megjegyzés hoztunk létre egy felhasználói AD „test.user” a dommenom kontollere.
Meg tudod csinálni ugyanazt az AD csoport:
Ellenőrizze nsswitch
Annak érdekében, hogy Nasch fogadó hozzáfér a domain felhasználók és csoportok, ellenőrizni fogjuk nsswitch beállításokat a „getent”. Az alábbi kimenet jelzi, hogy van ez a szokatlan és meg kell jelennie az érintetlen ArchLinux:
Ellenőrzés a Samba csapat
Próbálja ki a parancsot, hogy ha a Samba kölcsönhatásba léphet AD:
konfigurálása PAM
Most meg fogja változtatni a különböző szabályok a PAM, hogy AD felhasználók a rendszer belépési és hozzáférés sudo. Ha megváltoztatja a szabályokat, emlékezve a rend és a jelölt, ha szükség van rájuk, vagy elegendő kritikus, ha azt akarjuk, hogy minden működik, akkor zadumali.Vam nem szükséges eltérni ezeket a szabályokat, kivéve, ha nem tudod, hogyan kell írni szabályok PAM
A fő hitelesítési folyamat PAM ArchLinux konfiguráció van /etc/pam.d/system-auth fájlt. Kezdve a standard konfigurációt a pambase. változtassa meg az alábbiak szerint:
system-auth
Szakasz „auth”
Vegye ki és cserélje ki a következőket:
Szakasz „számla”
Alatta hozzáfűzi a következő:
Szakasz „session”
Alatta hozzáfűzi a következő:
Szakasz „jelszó”
Vegye ki és cserélje ki a következőket:
Ellenőrizze bejegyzés
Mindkét kell dolgozni. Érdemes megjegyezni, hogy /home/example/test.user automatikusan létrehozásra kerül.
Beállítása a megosztott fájlok
Korábban kihagyott felállítása megosztott fájlokat. Most, hogy minden működik, menj vissza, és adjunk hozzá /etc/smb.conf-ban eksoprt a házigazdák azt szeretné, hogy a Windows
A fenti példában a kulcsszó HÁLÓZAT. Ne tévesszük össze a domain nevet. Fel csoportokat, add „@” szimbólumot egy csoporthoz. Jegyezzük meg, Tartománygazdák a „idézetek”, hogy a Samba rendesen elolvassa őket, ha megtekinti a konfigurációs fájlt.
Hozzáadása kulcstáblázatfájlt, és lehetővé teszi a jelszóval belépő a gépen keresztül ssh és Kerber
Létrehozása kulcsfontosságú lap fájl
Fuss a "nettó hirdetések kulcstáblázatfájlt létre -U rendszergazda root létrehozása érdekében a kulcstáblázatfájlt fájlt a„/etc/krb5.keytab”. Azt írja vai, engedélyeznie kell a hitelesítés használatával kulcstáblázatfájlt a konfigurációs fájlban, hogy mi lehet a következő lépés megtételére. Néha vannak olyan problémák, ha krb5.keytab fájl már létezik, akkor meg kell átnevezni, majd futtassa újra a parancsot, ez segíthet.
A beviteli keresztül Kulcstáblázatfájl
Most meg kell adnia a winbind, hogy kell használni a kulcstáblázatfájlt hozzá a következő sort a /etc/samba/smb.conf:
A végén mindent kell kinéznie:
Indítsa újra winbind.service a 'systemctl restart winbind.service' szuper-felhasználói jogosultságokat.
Ellenőrizze, hogy minden működik, miután megkapta a jegyet a rendszer és működési
Ez a parancs nem ír semmit, hogy a konzol, ondako „klist” kell mutatnia valami ilyesmit:
Néhány gyakori hibák: a) felejtse el, hogy a $ vagy b) nagybetű érzékeny - meg kell pontosan ugyanaz, mint zapisv Kulcstáblázatfájl
Felkészülés az sshd szerver
Csak annyit kell tennie -, hogy adjunk néhány opció sshd_config és indítsa újra sshd.service.
Szerkessze az „/ etc / ssh / sshd_config” úgy nézett ki a megfelelő helyeken:
Hozzáadása lehetőséget szükséges a kliens
Először meg kell győződnünk arról, hogy a rendelkezésre álló jegy az ügyfél. Általában működik, de csak abban az esetben használja a következő opciót:
Ezután hozzá kell adni lehetőségek:
mi .ssh / config fájlt. amely megmondja, ssh, hogy használja ezt az opciót, mint alternatív: Használhatja „ssh -o” (lásd kalauz ssh (1) bekezdés).
Telepítés ellenőrzése Az
Győződjön meg róla, hogy egy érvényes jegy, a „kinit”. Ezután csatlakoztassa a géphez ssh-n keresztül
Be kell kapcsolódni kéréseket jelszó nélkül
Ha Ön is a bekapcsolás hitelesítő kulcsot, el kell végezni
hogy melyik hitelesítési módszerrel valóban.
Debug, akkor engedélyezheti DEBUG3 a szerveren, és nézni jelentkezzen keresztül „journalctl”
Beállítása Kerberos hitelesítési teljes jelszó nélkül.
Generálása Kulcstáblázatfájl, ami elviszi AD
A felhasználónak kell elvégezni:
Most provertte file:
Nem kell, hogy kérje a jelszót, most egyszerűen másold be "
/.bashrc”, akkor nem adja meg a jelszót minden egyes alkalommal.
Érdekes tudni,
Fájl „username.keytab” nem spetsefichen az autók, és ezért lehet másolni más gépek. Például létrehoztunk egy fájlt egy linuxos gépen és másolja a Mac kliens, mint a csapat az ő más.