Altlinux ввести в домен windows

Инструкция по вводу рабочей станции под управлением ALT Linux в домен Active Directory (работающий под Windows или под Samba в режиме AD DC).
Устаревшая инструкция: Ввод в домен на базе Windows 2003

Внимание! Если Ваш домен имеет суффикс .local — необходимо отключить avahi-daemon (подробнее ниже, пункт 2 примечаний).

Параметры домена

Подготовка

Установка пакетов

Внимание! Аутентификация через winbind в новых сборках Samba не работает, используйте аутентификацию через task-auth-ad-sssd.

С версии alterator-auth-0.31-alt1

apt-get install task-auth-ad-sssd

apt-get install alterator-auth sssd-ad samba-common-tools

Требуемые версии:

• pam-config >= 1.7.0-alt1
• alterator-auth >= 0.26-alt1

Возможно, следует обновить установленный дистрибутив из репозитория.

Синхронизация времени

С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.

Для более ранних версий:

Способ 1: Через net time

net time set -S <имя домена>

Способ 2: По протоколу RFC 867

На сервере включается через xinetd daytime-tcp ^[1]:

# chkconfig --list | grep daytime-tcp
        daytime-tcp:    вкл

А на клиенте — служба settime-rfc867:

chkconfig settime-rfc867 on
service settime-rfc867 start

Способ 3: Через Центр управления системой → Дата и время

Включите флажок «Получать точное время с NTP-сервера» и укажите в поле справа pool.ntp.org. После этого нажмите кнопку «Применить».

Способ 4: Через ntpdate

ntpdate pool.ntp.org

Ввод в домен в Центре управления системой

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости.

В Центре управления системой перейдите в раздел Аутентификация (Пользователи → Аутентификация). Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».

Ввод в домен в командной строке

# system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word' [--windows2003] [--createcomputer="COMPUTEROU/SubCOMPUTEROU/SubSubCOMPUTEROU"] [--winbind] [--gpo] [-d]
Joined 'HOST-15' to dns domain 'school.alt'

Настройка SSSD

См. статью SSSD/AD, Настройки SSSD в Alterator

Проверка работы

# getent passwd ivan
ivan:*:10005:10002:ivan:/home/SCHOOL/ivan:/bin/bash

# net ads info
LDAP server: 192.168.1.1
LDAP server name: c228.school.alt
Realm: SCHOOL.ALT
Bind Path: dc=SCHOOL,dc=ALT
LDAP port: 389
Server time: Ср, 22 апр 2015 16:22:47 MSK
KDC server: 192.168.1.1
Server time offset: -1

# net ads testjoin
Join is OK

Примечание: Вы не увидите пользователей из AD с помощью команды # getent passwd на клиентской машине. Этот функционал отключен по-умолчанию для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо указать точное имя пользователя # getent passwd имя_пользователя . Список пользователей можно посмотреть на сервере командой # samba-tool user list

Примечания

1. Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен.
2. При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon (доменная зона «local.» используется в технологии zeroconf):

   # chkconfig avahi-daemon off; reboot
   

3. Следите за синхронизацией времени на клиенте и сервере.
4. Для предотвращения кэширования имён пользователя отключите службу nscd.
5. В новых версиях Samba до запуска службы winbind должна запускаться служба smb.
6. Если возникает проблема просмотра билетов Kerberos под доменным пользователем, скопируйте правильный krb5.conf из samba:

   # rm -f /etc/krb5.conf
   # cp /var/lib/samba/smb_krb5/krb5.conf* /etc/krb5.conf
   

7. Если у вас домен Windows 2003 (не R2), то в директивы default_tgs_enctypes, default_tkt_enctypes и preferred_enctypes файла /etc/krb5.conf добавьте ещё DES3-CBC-SHA1.
8. Для возможности входа в ОС под доменным пользователем при его недоступности можно включить опцию кэширования учётных данных в конфиге SSSD (подробнее тут, опция cache_credentials).
9. Убедитесь, что у вас в /etc/samba/smb.conf и /etc/sssd/sssd.conf прописаны параметры, отвечающие за автоматическое обновление пароля машины:
   • файл /etc/samba/smb.conf:

     [global]
     machine password timeout = 0
     

   • файл /etc/sssd/sssd.conf:

     [sssd]
     user = root
     
     [domain/SCHOOL.ALT]
     ad_update_samba_machine_account_password = true
     

   Подробнее здесь

Настройка окна входа

Настройка LightDM

В /etc/lightdm/lightdm.conf раскомментируйте строку в группе [SeatDefaults]:

greeter-hide-users=true

Это позволит вводить имя пользователя вручную, а не прокручивать огромный список доступных доменныx пользователей.

Также полезно выключить выбор языка. В файле /etc/lightdm/lightdm-gtk-greeter.conf в группе [greeter] укажите:

show-language-selector=false

В новых версиях lightdm-gtk-greeter можно указать кнопки явно:

show-indicators=~a11y;~power

Полный перечень доступных кнопок:

show-indicators=~a11y;~power;~session;~language

Отображение глобальных групп на локальные

Примечание: Первые два пункта данного раздела выполняются автоматически, если АРМ вводится в домен с помощью task-auth-ad-sssd.

Установка модуля ролей

apt-get install libnss-role

Настройка ролей и привилегий

Добавляем роль локальных администраторов:

# groupadd -r localadmins

Примечание: Лучше использовать группу localadmins (вместо admins) по избежание конфликта с группой admins во FreeIPA.

Создаём привилегию на право удалённого доступа (по протоколу ssh):

# groupadd -r remote

Включаем удалённый доступ только для группы remote:

# control sshd-allow-groups enabled
# sed -i 's/AllowGroups.*/AllowGroups = remote/' /etc/openssh/sshd_config

Настраиваем список привилегий для пользователей (для роли users):

# roleadd users cdwriter cdrom audio proc radio camera floppy xgrp scanner uucp fuse

Настраиваем список привилегий для администраторов (для роли admins):

# roleadd localadmins wheel remote vboxusers

Настраиваем отображение локальных привилегий, назначенных локальным ролям, на глобальные группы безопасности:

# roleadd 'Domain Users' users

или

# roleadd 'Пользователи домена' users

Далее

# roleadd 'Domain Admins' localadmins

или

# roleadd 'Администраторы домена' localadmins

Просматриваем список назначенных ролей и привилегий:

# rolelst
# id ivan

Данная настройка назначает заданный список локальных групп (привилегий) всем пользователям, входящим в заданные локальные группы (роли). А также назначает локальные роли для глобальных групп в домене.

Дополнительные роли

Соответственно, если надо выдать права администраторов АРМ пользователям, которые не являются Domain Admins,
то нужно завести новую группу в AD (например, PC Admins), добавить туда необходимых пользователей.
Затем на АРМ добавить роль для данной группы:

# roleadd 'PC Admins' localadmins
# rolelst
users: cdwriter cdrom audio video proc radio camera floppy xgrp scanner uucp vboxusers fuse tsusers
localadmins: wheel
domain users: users
domain admins: localadmins
pc admins: localadmins

После этого (и после разрешения sudo для группы wheel) под пользователем входящим в группу PC Admins
можно запускать команду повышения прав sudo.

user@alt8 ~ $ su - petrov
Password: 
petrov@alt8 ~ $ id
uid=445010929(petrov) gid=445000513(domain users) группы=445000513(domain users),10(wheel),14(uucp),19(proc),
22(cdrom),71(floppy),80(cdwriter),81(audio),83(radio),100(users),458(tsusers), 459(localadmins),466(fuse),468(video),
480(camera),492(vboxusers),498(xgrp),499(scanner),445010930(pc admins)
petrov@alt8 ~ $ sudo apt-get update
Пароль:
Получено: 1 http://ftp.altlinux.org p8/branch/x86_64 release [880B]
Получено: 2 http://ftp.altlinux.org p8/branch/x86_64-i586 release [537B]
Получено: 3 http://ftp.altlinux.org p8/branch/noarch release [673B]
Получено 2090B за 0s (36,9kB/s).
Найдено http://ftp.altlinux.org p8/branch/x86_64/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/x86_64/classic release
Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic release
Найдено http://ftp.altlinux.org p8/branch/noarch/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/noarch/classic release
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено

Подключение файловых ресурсов

Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).

Через gio

Примечание: Способ актуален для дистрибутивов, использующих gio (ранее — gvfs) (например, Simply Linux, ALT Workstation, СП).

Недостаток такого способа — необходимо открыть ресурс в файловом менеджере (Caja, Pcmanfm). Однако можно открывать любые ресурсы на любых серверах, входящие в домен Active Directory.

1. Устанавливаем необходимые пакеты (с правами root):

# apt-get install fuse-gvfs gvfs-backend-smb libgio

2. Включаем пользователя в группу fuse (с правами root):

# gpasswd -a <пользователь> fuse

# control fusermount public

3. Входим доменным пользователем.

4. Открываем ресурс в файловом менеджере (например, по адресу smb://server/sysvol). Ресурс смонтирован по пути /var/run/<uid_пользователя>/gvfs или /run/user/<uid_пользователя>/gvfs/smb-share:server=<сервер>,share=<ресурс>

Другой вариант (полезно для скриптов в автозапуске):

gio mount smb://server/sysvol/

Примечание: Если необходимо открывать что-то с ресурса в WINE, в winecfg добавьте диск с путём /var/run/<uid_пользователя>/gvfs.

С использованием pam_mount

Заданный файловый ресурс подключается с заданного сервера автоматически при каждом входе доменным пользователем.

1. Устанавливаем pam_mount:

apt-get install pam_mount

Если осуществляется подключение файловых ресурсов по протоколу CIFS (SMB), то установите cifs-utils:

apt-get install cifs-utils

apt-get install systemd-settings-enable-kill-user-processes

2. Прописываем pam_mount в схему аутентификации по умолчанию. В конец файла (/etc/pam.d/system-auth) добавьте строки

session         [success=1 default=ignore] pam_succeed_if.so  service = systemd-user quiet
session         optional        pam_mount.so disable_interactive

Параметр disable_interactive нужен для того, чтобы pam_mount не спрашивал пароль. Первая строка предназначена для того, чтобы не монтировать дважды при запуске systemd —user. Подробнее: https://wiki.archlinux.org/title/pam_mount#Login_manager_configuration

Пример файла /etc/pam.d/system-auth при аутентификации доменного пользователя под SSSD:

#%PAM-1.0

auth            [success=4 perm_denied=ignore default=die]      pam_localuser.so
auth            [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet
auth            [default=1]     pam_permit.so
auth            substack        system-auth-sss-only
auth            [default=1]     pam_permit.so
auth            substack        system-auth-local-only
auth            substack        system-auth-common

account         [success=4 perm_denied=ignore default=die]      pam_localuser.so
account         [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet
account         [default=1]     pam_permit.so
account         substack        system-auth-sss-only
account         [default=1]     pam_permit.so
account         substack        system-auth-local-only
account         substack        system-auth-common

password        [success=4 perm_denied=ignore default=die]      pam_localuser.so
password        [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet
password        [default=1]     pam_permit.so
password        substack        system-auth-sss-only
password        [default=1]     pam_permit.so
password        substack        system-auth-local-only
password        substack        system-auth-common

session         [success=4 perm_denied=ignore default=die]      pam_localuser.so
session         [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet
session         [default=1]     pam_permit.so
session         substack        system-auth-sss-only
session         [default=1]     pam_permit.so
session         substack        system-auth-local-only
session         substack        system-auth-common
session         [success=1 default=ignore] pam_succeed_if.so  service = systemd-user
session         optional        pam_mount.so disable_interactive

3. Устанавливаем правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml:

<volume uid="10000-2000200000" fstype="cifs" server="c253.test.alt" path="sysvol" mountpoint="~/share" options="sec=krb5i,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

где

• uid=»10000-2000200000″ — диапазон присваиваемых для доменных пользователей UID (подходит и для Winbind и для SSSD);
• server=»c253.test.alt» — имя сервера с ресурсом;
• path=»sysvol» — имя файлового ресурса;
• mountpoint=»~/share» — путь монтирования в домашней папке пользователя.

Опционально можно добавить:

• sgrp=»group_name» — имя группы, при членстве пользователя в которой, папка будет примонтирована.

Внимание! Обязательно указывайте настоящее имя сервера в параметре server, а не имя домена

Параметр sec=krb5i более безопасный, но требует больше вычислительных ресурсов. Вместо него можно указать sec=krb5.

Пример файла /etc/security/pam_mount.conf.xml:

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<!--
        See pam_mount.conf(5) for a description.
-->

<pam_mount>

                <!-- debug should come before everything else,
                since this file is still processed in a single pass
                from top-to-bottom -->

<debug enable="0" />

                <!-- Volume definitions -->
<volume uid="10000-2000200000"
        fstype="cifs"
        server="c253.test.alt"
        path="sysvol"
        mountpoint="~/share"
        options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

                <!-- pam_mount parameters: General tunables -->

<!--
<luserconf name=".pam_mount.conf.xml" />
-->

<!-- Note that commenting out mntoptions will give you the defaults.
     You will need to explicitly initialize it with the empty string
     to reset the defaults to nothing. -->
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec" />
<!--
<mntoptions deny="suid,dev" />
<mntoptions allow="*" />
<mntoptions deny="*" />
-->
<mntoptions require="nosuid,nodev" />

<!-- requires ofl from hxtools to be present -->
<logout wait="0" hup="no" term="no" kill="no" />

                <!-- pam_mount parameters: Volume-related -->

<mkmountpoint enable="1" remove="true" />

</pam_mount>

Для отладки подключения замените в файле /etc/security/pam_mount.conf.xml

<debug enable="0" />

на

<debug enable="1" />

При этом отладочные сообщения будут показываться в журнале Journald.

Вы можете сменить механизм монтирования отдав его на откуп systemd. Для этого в pam_mount.xml.conf можно задать\переопределить опции cifsmount, umount

 <cifsmount>systemd-mount -A -G -q -t cifs %(COMBOPATH) %(MNTPT) -o uid=%(USERUID),gid=%(USERGID),username=%(USER),%(OPTIONS)</cifsmount>
 <umount>systemd-mount -u %(MNTPT)</umount>

Советы

• Для того, чтобы подключенная папка не показывалась на рабочем столе Mate, следует в параметры добавить x-gvfs-hide.
• Если при выходе пользователя всё равно файловый ресурс остаётся подключенным, отмонтируйте его и удалите файл /run/pam_mount/<имя_пользователя>

Ссылки

• Групповые политики/Подключение сетевых дисков

Через autofs

В этом случае заданный ресурс подключается автоматически при каждом обращении пользователя и отключается после определенного времени бездействия (определяется конфигурацией Autofs).

Основная статья AutoFS

https://www.altlinux.org/Autofs

Для дистрибутивов c KDE

1. Установить kde5-autofs-shares:

   # apt-get install kde5-autofs-shares
   

2. Добавить в /etc/auto.master строку:

   /mnt/samba /etc/auto.smb -t 34567
   

   Здесь /mnt/samba — каталог в котором будут подключаться сетевые файловые системы, /etc/auto.smb — скрипт, входящий в состав пакета autofs, 34567 — таймаут подключения при отсутствии обращения.

3. Включить и запустить сервис autofs:

   # systemctl enable --now autofs
   

4. В файловом менеджере Dolphin по адресу smb:/ («Сеть»/«Общие папки Samba») найти нужный ресурс Windows (Samba)
5. В контекстном меню подключаемого ресурса (правая кнопка мыши) выбрать пункт «Подключение»:

   

   Данный ресурс будет подключаться автоматически при входе в систему

Примечание: Список ресурсов для подключения хранится в файле ~/.autofs.shares

Внимание! Способ работает только для ресурсов с гостевым доступом или ресурсов с авторизацией Kerberos.

Групповые политики

Групповые политики (GPO) на Linux применяются только контроль входа через SSSD и средства Centrify.

SSSD

SSSD имеет внутреннюю поддержку следующих групповых политик:

Примечание: Планируется поддержка других групповых политик средствами подключаемых модулей

Примечание: Получение прав root см. root

Ссылки по групповым политикам

• https://fedoraproject.org/wiki/Changes/SssdGpoBasedAccessControl
• http://wiki.eri.ucsb.edu/stadm/AD_Samba4
• http://centrifying.blogspot.ru/2014/01/basics-using-group-policy-on-unixlinux.html
• https://www.youtube.com/watch?v=2cJWnUZ8qLI

Ссылки

• https://wiki.archlinux.org/index.php/Active_Directory_Integration
• Ввод в домен на базе Windows 2003
• https://fedorahosted.org/sssd/wiki/Configuring_sssd_with_ad_server
• https://wiki.samba.org/index.php/Setup_Samba_as_an_AD_Domain_Member
• https://linux.samba.narkive.com/ceDM0TFO/samba-wbinfo-i-failed-to-call-wbcgetpwnam-wbc-err-domain-not-found

Использование домена для аутентификации компьютеров с Windows. ALT-домен можно использовать для следующих возможностей:

• аутентификация пользователей для входа в систему;
• предоставление файловых ресурсов (общего ресурса и домашней папки с сервера) без ввода дополнительного пароля;

Внимание! Данная инструкция позволяет настроить Samba в качестве NT Domain для аутентификации Windows XP. Использование Samba в качестве полноценной замены Active Directory возможно после адаптации домена к Samba AD DC

Примечание: в конфигурации по умолчанию не предусмотрена работа с профилями.

Возможность ввода Windows в ALT-домен появилась с alterator-net-domain-0.4-alt13[1]
и ldap-user-tools-0.8.1-alt1[2]
.

Настройка на сервере

Создайте домен в модуле «Домен». При показе состояния домена в этом модуле показывается рабочая группа:

Samba: OK (TEST.ALTLINUX)

Внимание! Во избежание проблем с вводом Windows имя домена нужно делать не более 15 символов[3].

В скобках показывается установленное имя домена для Windows.

Права доступа

• Для того, чтобы завести пользователей в домен под Windows требуются права администратора домена. Эти права имеют пользователи, входящие в группу admins в модуле «Группы».
• Для пользователей, входящих в группу Domain Users (или группу users в LDAP) имеется доступ на диски
  • S: общая папка на сервере (ресурс share)
  • Z: (домашняя папка пользователя на сервере с создаваемым подкаталогом profile).

По умолчанию в эту группу добавляются все новые пользователи.

Настройка на клиенте

1. Нажмите правой кнопкой мыши по значку «Мой компьютер» и выберите пункт «Свойства» (быстро этот можно сделать, нажав Win+Pause).

2. В появившемся окне перейдите на вкладку «Имя компьютера» и нажмите кнопку «Изменить…»

3. В окне «Изменение имени компьютера» установите переключатель на пункт Является членом домена и введите имя домена (точное имя домена можно посмотреть у пункта Samba в разделе «Домен» Центра управления сервера ALT Linux). Затем нажмите кнопку «OK».

4. Для ввода компьютера в домен потребуется указать имя и пароль пользователя, имеющего права вводить в домен. На сервере это пользователи группы admins. Введите имя в поле «Пользователь» и пароль этого пользователя в поле «Пароль». Затем нажмите кнопку «OK».

5. При указании правильных данных появится диалоговое окно, подтверждающее регистрацию компьютера в домене.

6. Перезагрузитесь.

7. В окне входа нажмите кнопку «Параметры >>»

8. В выпадающем списке «Вход в» выберите свой домен.

9. Введите имя зарегистрированного на сервере пользователя в поле «Пользователь» и пароль этого пользователя в поле «Пароль». Затем нажмите кнопку «OK».

При указании правильного имени пользователя и пароля вы войдёте в систему и можете работать.

Вход в ALT-домен систем на Windows 7/8

Инструкция на сайте Samba: http://wiki.samba.org/index.php/Windows7

Для входа в ALT-домен компьютеров под управлением Windows 7/8 запустите regedit, найдите раздел параметров LanManWorkstation и добавьте два параметра (DWORD 32бита):

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanManWorkstation\Parameters]
"DNSNameResolutionRequired"=dword:00000000
"DomainCompatibilityMode"=dword:00000001

Скачать файл .reg для установки этих параметров

Внимание! Перезагрузите Windows или перезапустите службу LanmanWorkstation после добавления этих параметров.

Если вы изменяли параметры Netlogon, проверьте, чтобы было установлено

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters]
RequireSignOrSeal = 1
RequireStrongKey = 1

После этого можно зарегистрироваться штатным способом.

Для снижения времени входа на Windows 7 рекомендуется поправить параметры:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"SlowLinkDetectEnabled"=dword:00000000
"DeleteRoamingCache"=dword:00000001
"WaitForNetwork"=dword:00000000
"CompatibleRUPSecurity"=dword:00000001

Известные проблемы

1. Для Windows 7/8 требуется добавлять дополнительные параметры в реестр
2. Не реализована поддержка профилей http://wiki.samba.org/index.php/Samba_%26_Windows_Profiles
3. При входе в домен с виндовых машин, открывается блокнот с файлом desktop.ini. Этот файл во всех меню «Пуск», запускается из автозагрузки. Блокнот не открывается только на той машине, с которой был произведёт первый вход в домен этого пользователя. [4]

Ссылки

• Настройка NT домена вручную

1. Предварительно устанавливаем пакеты, необходимые для включения и более удобной настройки станции:
   samba-swat
   krb5-kinit
   libkrb5
   Для этого настраиваем службу управления пакетами apt для работы через прокси-сервер (если прокси-сервер используется в организации).
   В файле конфигурации /etc/apt/apt.conf прописываем строку:
   Acquire::ftp::Proxy»//root:password@127.0.0.1:8080″;
   и затем запускаем менеджер пакетов Synaptic через основное меню -> система -> менеджер пакетов. В меню «настройки» заходим в репозитории. Там ставим галочки напротив пунктов ftp://ftp.altlinux.org/pub/… И нажимаем OK. Затем жмем «получить сведения». Synaptic должен обновить список доступных пакетов из интернета. После чего через «поиск» ищем по ключевым словам нужные пакеты. В правой части окна появится список, где и надо выбрать нужные пакеты и нажать «применить». Пакеты установятся вместе с зависимостями.

2. Настраиваем сетевое окружение, после чего наш компьютер видит домен windows. В файле /etc/resolv.conf прописываем строку:
   nameserver ipaddr (где ipaddr — это ip адрес контроллера домена)

3. Делаем, чтобы сервис swat запускался автоматически: в файле /etc/xinet.d/swat
   меняем значение disable с yes на no и перезапускаем службу:
   
   service xinetd restart

4. Запускаем swat в браузере: http://localhost:901

5. Во вкладке GLOBALS ставим следующие значения:
   Security = ads (это режим domain member)
   Workgroup = WORKGROUP (or DOMAIN) ex. TEAM
   Realm = full domain name. ex. TEAM.LOCAL
   Netbios name = netbios имя нашего компьютера
   Подтверждаем изменения нажав кнопку commit changes наверху страницы.
   И последнее значение настраиваем, переключившись в режим advanced view:
   Password server = ip адрес контроллера домена
   Затем опять подтверждаем изменения.
   Далее во вкладке STATUS запускаем или перезапускаем службы smbd и nmbd.

6. Настраиваем службу аутентификации Kerberos.
   В файле /etc/krb5.conf ставим значек # перед всеми строками в разделе [libdefaults]. Этим мы заставляем Kerberos производить аутентификацию на контролере домена, а не на локальной машине. (# дает компилятору директиву не обрабатывать строку)

7. Подключаем станцию к домену. Выполняем команды:
   kinit administrator@realm (где администратор — это администратор домена и realm полное имя домена)
   net ads join -U administrator
   
   появляется приглашение о вводе пароля администратора, вводим его. После чего должны увидеть сообщение, что наш компьютер ввели в домен.

В мире информационных технологий доменная сеть играет ключевую роль в обеспечении безопасности и эффективной работы. Более того, создание и настройка домена в системе Windows AltLinux может быть довольно сложным и запутанным процессом для новичков. Однако, с нашим простым руководством, вы сможете освоить основы создания и настройки домена Windows AltLinux, чтобы упростить управление вашей сетью и повысить ее безопасность.

Первым шагом в процессе создания домена Windows AltLinux является установка операционной системы на сервер и его настройка. Вам потребуется обновить систему, установить необходимые пакеты и включить модули, связанные с доменной сетью. После этого вы сможете создать новый домен и настроить его параметры, такие как имя домена, IP-адрес, маску подсети и шлюз по умолчанию.

Когда домен Windows AltLinux создан и настроен, вы можете приступить к настройке подключения клиентских компьютеров к домену. Для этого вам потребуется зайти на каждый клиентский компьютер, открыть «Свойства системы» и выбрать вкладку «Имя компьютера». Затем нажмите на кнопку «Изменить», укажите имя домена, а затем введите учетные данные администратора домена. После перезагрузки компьютера клиент будет успешно подключен к домену Windows AltLinux.

В заключении, создание и настройка домена Windows AltLinux может быть сложным процессом, но с помощью нашего простого руководства вы сможете освоить основы этой задачи. Помните, что доменная сеть является неотъемлемой частью современных организаций, и умение создавать и настраивать домен Windows AltLinux будет являться ценным навыком для вас как специалиста в области IT.

Ввод в домен Windows AltLinux:

Введение в домен Windows AltLinux предлагает простое руководство по настройке и подключению к домену Windows в операционной системе AltLinux. Это руководство предназначено для пользователей, которые хотят использовать функциональные возможности Windows, но предпочитают работать с операционной системой AltLinux.

Для начала необходимо убедиться, что у вас установлена и настроена операционная система AltLinux. Затем следует установить все необходимые пакеты и программы для работы с доменом Windows. Ввод в домен Windows AltLinux включает в себя настройку DNS-сервера, создание учетной записи администратора и настройку службы домена.

После завершения настройки вы сможете подключиться к домену Windows из операционной системы AltLinux. Это позволит вам использовать функции и приложения Windows, сохраняя при этом привычный интерфейс и функциональность AltLinux.

Руководство также предоставляет информацию о дополнительных настройках и возможностях, которые могут быть полезными при работе в домене Windows AltLinux. Это включает в себя настройку общих папок, управление политиками безопасности и подключение удаленных рабочих столов.

Ввод в домен Windows AltLinux является полезным ресурсом для пользователей, которые хотят расширить возможности своей операционной системы AltLinux и использовать функции Windows в рабочей среде.

Простое руководство по настройке и подключению

Настройка и подключение домена Windows AltLinux может показаться сложной задачей, однако с помощью этого простого руководства вы сможете справиться с ней без особых проблем.

Вот несколько простых шагов, которые помогут вам успешно настроить и подключить домен Windows AltLinux:

1. Установите операционную систему Windows AltLinux на сервер. Убедитесь, что у вас есть все необходимые драйверы и обновления.
2. Настройте сетевые параметры сервера, установив IP-адрес и другие сетевые параметры. Убедитесь, что сервер подключен к сети.
3. Установите службу домена Active Directory на сервере Windows AltLinux. Это позволит вам создать и управлять пользователями, группами и компьютерами в домене.
4. Создайте учетную запись администратора домена и другие необходимые учетные записи пользователя.
5. На компьютере с Windows установите соответствующий клиент Active Directory.
6. Подключите компьютеры к домену, используя созданные учетные записи пользователя. Убедитесь, что компьютеры правильно настроены для работы в домене.
7. Настройте необходимые политики безопасности, групповые политики, доступы к папкам и разрешения на сервере Windows AltLinux.
8. Проверьте работоспособность домена, выполняя тесты подключения и аутентификации на компьютерах клиентов.

Следуя этим простым шагам, вы сможете успешно настроить и подключить домен Windows AltLinux, обеспечивая безопасную и эффективную работу компьютеров в вашей сети.

Шаг 1: Установка AltLinux и Windows

Прежде чем приступить к настройке и подключению домена Windows AltLinux, необходимо установить обе операционные системы.

1. Установка AltLinux:

Для установки AltLinux потребуется загрузочный диск или USB-накопитель с образом дистрибутива. При загрузке компьютера с указанного носителя следуйте инструкциям на экране для запуска процесса установки. Выберите нужные параметры и разделы для установки, а затем дождитесь завершения процесса.

2. Установка Windows:

После установки AltLinux, потребуется установить операционную систему Windows в параллель с AltLinux на том же компьютере. Также, как и в случае с AltLinux, вам понадобится загрузочный диск или USB-накопитель с образом дистрибутива Windows. Запустите процесс установки Windows, следуя инструкциям на экране. Выберите нужные параметры, разделы и желаемую версию Windows.

После завершения процесса установки обеих операционных систем, вы будете готовы приступить к настройке и подключению домена Windows AltLinux.

Обратите внимание: Перед установкой AltLinux и Windows рекомендуется создать резервные копии важных данных и иметь доступ к драйверам для обеих операционных систем.

Шаг 2: Создание домена AltLinux

Для создания домена AltLinux необходимо выполнить следующие действия:

1. Установка необходимых пакетов: Установите пакеты, необходимые для создания домена AltLinux. Для этого выполните команду apt-get install samba samba-common samba-tools -y.
2. Создание учетной записи администратора: Создайте учетную запись администратора для управления доменом. Для этого выполните команду samba-tool user create administrator.
3. Настройка конфигурационного файла: Откройте файл smb.conf и выполните необходимые настройки. Укажите имя домена, рабочую группу, пути к папкам и другие параметры. Этот файл располагается в директории /etc/samba/smb.conf.
4. Запуск службы Samba: Запустите службу Samba, чтобы применить внесенные изменения. Для этого выполните команду systemctl start smb.service.
5. Проверка состояния службы: Проверьте статус службы Samba, чтобы убедиться, что она запущена и работает корректно. Для этого выполните команду systemctl status smb.service.
6. Регистрация домена: Зарегистрируйте домен AltLinux, чтобы начать управление компьютерами в сети. Для этого выполните команду samba-tool domain provision —use-rfc2307 —interactive.
7. Подключение компьютеров к домену: Подключите компьютеры к созданному домену AltLinux. Для этого выполните необходимые настройки на клиентских компьютерах, указав имя домена и учетные данные администратора.

После выполнения всех указанных шагов домен AltLinux будет успешно создан, и вы сможете управлять сетью компьютеров, устанавливать права доступа и настраивать политики безопасности.

Перейти к содержанию

#LinuxDay4 – Вводим ALT Linux в домен Windows

На чтение 3 мин Опубликовано 15.11.2019 Обновлено 14.03.2023

Следующий шаг после установки WPS офиса в списке был – ввод Linux в домен Windows

В данной статье будет рассмотрен вопрос как правильно ввести Linux машину в домен и “тюнинг” рабочего места.

Данная инструкция будет разбита на следующие шаги:

1. Подготовительные шаги для ввода Linux в домен
2. Ввод станции Linux в домен
3. Подключение сетевых дисков
4. Настройка окна авторизации при входе в систему

Как ввести в домен Alt Linux

Для того что ввести станцию в домен необходимо установить дополнительные пакеты и сделать определенные настройки:

1. Выставляем на станции точное время (время не должно отличаться от времени на контроллере домена)
2. Редактируем файл /etc/resolv.conf и прописываем там ДНС контроллера домена
   search имя домена.lcl
   nameserver днс контроллера домена
3. Еще проверяем и прописываем DNS контроллера домена тут /etc/net/ifaces/<interface>/resolv.conf 
4. проверяем файл HOST /etc/hosts  
   127.0.0.1 localhost.localdomain localhost
   127.0.0.1 имякомпа.имядомена имякомпа
5. если вы во время установки системы не ввели имя станции, то можно переименовать компьютер сейчас /etc/sysconfig/network
6. Запускаем обновление всех пакетов на Linux
   apt-get update && apt-get dist-upgrade
7. Ставим доп пакеты которые позволят ввести станцию в домен

   apt-get install task-auth-ad-sssd

8. Заходим в настройки системы (или из терминала набираем AAC) и заходим в меню Аутентификация
9. Переключаем чекбокс на пункт Active Directory и заполняем эти моля так:
   
   

   Домен: ИМЯДОМЕНА.LCL
   Рабочая группа: ИМЯДОМЕНА
   Имя компьютера: имя компьютера

   PS соблюдайте регистр!!!

10. Нажимаем ок, вводим логип и пароля администратора Домена
11. Перезагружаем компьютер и проверяем )

Сейчас каждый подумает, что это сложно и долго, но если присмотреться, то все эти же действия мы делаем когда вводим в домен нашу станцию под Windows))) так что все не так и сложно!

Окно авторизации с логином

После ввода в домен станции, следующая глобальная проблема была с тем, что постоянно приходилось вводить логин и пароль и это очень не нравилось юзерам, а хотелось, что бы было как в windows , чтобы в окне авторизации автоматически стоял логин пользователя и оставалось ввести только пароль.

что бы в В Alt Linux такое сделать нужно сделать след:

1. открыть файл /etc/lightdm/lightdm.conf
2. находим строчку greeter-hide-users и после = пишем false (greeter-hide-users = false)
   

Теперь, после того как вы зайдете в систему под юзером, он запомнит его и при повторном входе у вас уже будет заполнено поле логин. все)