Ред ос ввод в домен windows

Перед вводом РЕД ОС в домен проверьте настройки сети. Контроллер домена должен быть доступен по имени, например, это можно проверить запустив команду ping:

ping -c 3 dc.win.redos
PING dc.win.redos (10.81.1.196) 56(84) bytes of data.
64 bytes from dc.win.redos (10.81.1.196): icmp_seq=1 ttl=128 time=0.320 ms
64 bytes from dc.win.redos (10.81.1.196): icmp_seq=2 ttl=128 time=0.601 ms
64 bytes from dc.win.redos (10.81.1.196): icmp_seq=3 ttl=128 time=0.701 ms

Если ваш DHCP-сервер не раздает клиентам доменный суффикс, то укажите его в сетевых настройках, в поле «Поисковый домен».

На нашем Youtube-канале вы можете подробнее ознакомиться с информацией по вводу компьютера в домен, просмотрев видео Ввод ПК с РЕД ОС в домен Windows, а также найти много другой полезной информации.

В РЕД ОС имеется утилита join-to-domain, которая предназначена для ввода компьютера в домен Windows или домен на базе SAMBA. В РЕД ОС 7.3 программа join-to-domain предустановлена в системе по умолчанию, но перед использованием необходимо обновить утилиту до последней версии:

dnf update join-to-domain

Для операционной системы РЕД ОС 7.2 требуется ее установка из репозитория:

yum install join-to-domain

join-to-domain может выполняться в трех режимах:

  • с графическим интерфейсом;

  • в консоли (интерактивный режим);

  • в консоли с входными параметрами.

Графический режим работы программы ввода/вывода РЕД ОС из домена

В РЕД ОС для быстрого ввода компьютера в домен Windows/SAMBA используется утилита join-to-domain. Утилита может быть запущена в консольном (текстовом) и в графическом режиме. Описание работы join-to-domain в консоли будет рассмотрено ниже.

Для запуска join-to-domain в графическом режиме откройте «Главное меню» — «Системные» — «Ввод ПК в домен».

Запуск программы требует ввода пароля от пользователя root.

После успешной аутентификации откроется окно выбора типа домена на базе SAMBA или FreeIPA. Для ввода в домен SAMBA выберите пункт «Домен Windows/SAMBA».

После успешной аутентификации откроется основное окно, в котором необходимо заполнить все поля:

После нажатия на кнопку «Да» начнется процесс присоединения ПК к домену.

В случае успешного ввода в домен появится уведомление:

Перезагрузите компьютер и войдите в РЕД ОС, используя логин и пароль пользователя домена.

Процесс ввода в домен, а также возможные ошибки при работе протоколируются в файл /var/log/join-to-domain.log.

Для вывода ПК из домена Windows, следует снова запустить join-to-domain «Главное меню» — «Системные» — «Ввод ПК в домен».

В этот раз программа определит, что РЕД ОС введен в домен и предложит выйти из него.

Консольный режим работы программы ввода РЕД ОС в домен

Откройте консоль и выполните запуск join-to-domain.sh с привилегиями суперпользователя root.

join-to-domain.sh

Программа запросит пользователя выбрать тип домена, к которому необходимо присоединить РЕД ОС, в данном случае необходимо выбрать первый пункт «Ввод РЕД ОС в домен Windows/Samba».

Введите имя домена, имя компьютера, имя администратора домена и подтвердите ваши действия для начала процесса ввода ПК в домен.

Протокол ввода в домен записывается в файл /var/log/join-to-domain.log.

Перезагрузите компьютер и войдите в РЕД ОС, используя логин и пароль пользователя домена.

Для вывода РЕД ОС из домена выполните в консоли команду с привилегиями суперпользователя root:

join-to-domain.sh

Подтвердите действие, после чего начнется процесс вывода из домена, по окончании всех действий перезагрузите ПК.

Консольный режим работы join-to-domain с входными параметрами

Пример №1 — ввод в домен Windows или SAMBA:

join-to-domain.sh -d win.redos -n client07 -u admin -p password

Пример №2 — ввод в домен с добавлением ПК в OU:

join-to-domain.sh -d example.com -n client1 -u admin -p password --ou "OU=МоиПК,OU=ОтделIT" -y

Пример №3  — удаление учетной записи ПК с подключением к определенному DC:

join-to-domain.sh --delete-computer -u <admin_login> -d <domain_name> --dc <domain_controller> -n <pc_name>

Пример №4 — вывод из домена. Выполните команду join-to-domain.sh, в результате программа определит, что данный ПК в домене и предложит выйти из него.

join-to-domain.sh 
Компьютер введен в домен win.redos. Вывести компьютер из домена?
Продолжить выполнение (y/n)? y 
Удаление учетной записи ПК из домена.
Введите имя контроллера домена или для продолжения нажмите ENTER:
Введите имя администратора домена: admin 
Password for admin@WIN.REDOS:
 

Описание параметров запуска:

  -d  Имя домена
  -n  Имя компьютера
  -u  Имя администратора домена
  -p  Пароль администратора домена
  —ou  Имя подразделения компьютера (OU), формат ввода «OU=МоиПК,OU=ОтделIT». Порядок указания OU снизу вверх
  —dc  Имя контроллера домена
  -w  Позволяет ввести в домен, используя Winbind (по умолчанию применяется SSSD)
  -y  Автоматическое подтверждение запросов на выполнение действий при работе скрипта с параметрами
  -f  Принудительный ввод в домен (вывод из домена) под своим прежним именем ПК (игнорируется существующая учетная запись ПК в домене)
  —wg  Указать «Имя домена (пред-Windows 2000)», необязательный ключ
  —delete-computer  Удаляет учётную запись ПК из домена (не выводит сам ПК из домена), см. пример №3
  —sssd-lower-case  Принудительно устанавливает имя пользователя в нижнем регистре
  -g  Запуск скрипта с графическим интерфейсом
   -h, —help  Показать справку
  -v  Вывод версии

    Дата последнего изменения: 22.08.2023

    Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

    Ввод в домен консольными командами
    Список команд для быстрого ввода в домен через консоль
    Ограничение доступа входа на ПК для доменных пользоватлей

    Важно!

    Имя ПК должно содержать только буквы (a–z), цифры (0–9), знак »минус» (-) и точку (.).

    Данная инструкция не подходит для ПК, на которых установлено ПО SecretNet версии 1.9.

    На нашем Youtube-канале вы можете подробнее ознакомиться с информацией по вводу компьютера в домен, просмотрев видео Ввод ПК с РЕД ОС в домен Windows, а также найти много другой полезной информации.

    Ввод в домен консольными командами

    Подключаемся к домену Active Directory с помощью realmd.

    Realmd (Realm Discovery) – это сервис, позволяющий производить настройку сетевой аутентификации и членства в домене MS AD без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) (также может использоваться и Winbind).

    1. Настройка NTP клиента

    Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:

    sudo nano /etc/chrony.conf

    Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:

    server <FQDN_имя_контроллера_домена> iburst

    После изменений конфигурационного файла вам надо перезапустить chronyd:

    sudo systemctl restart chronyd

    Проверьте работу chrony с помощью двух команд::

    systemctl status chronyd
    chronyc tracking

    Пример вывода команды:

    $ systemctl status chronyd
      chronyd.service - NTP client/server
       Loaded: loaded (/usr/lib/systemd/system/chronyd.service; enabled; vendor preset: enabled)
       Active: active (running) since Вт 2019-07-09 11:13:49 MSK; 5min ago
      Process: 683 ExecStartPost=/usr/libexec/chrony-helper update-daemon (code=exited, status=0/SUCCESS)
      Process: 639 ExecStart=/usr/sbin/chronyd $OPTIONS (code=exited, status=0/SUCCESS)
     Main PID: 650 (chronyd)
       CGroup: /system.slice/chronyd.service
               └─650 /usr/sbin/chronyd

    Пример вывода команды:

    $ chronyc tracking
    Reference ID    : 10.81.1.196 (dc.win.redos)
    Stratum         : 4
    Ref time (UTC)  : Wed Mar  4 09:44:17 2020
    System time     : 0.000169261 seconds slow of NTP time
    Last offset     : -0.000182217 seconds
    RMS offset      : 0.000182217 seconds
    Frequency       : 1.939 ppm slow
    Residual freq   : -0.602 ppm
    Skew            : 1.234 ppm
    Root delay      : 0.047364 seconds
    Root dispersion : 0.087531 seconds
    Update interval : 64.7 seconds
    Leap status     : Normal
    1. Установите необходимые пакеты, если они ещё не установлены
    sudo dnf install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
    1. Выполните команду поиска домена
    realm discover < realm name >

    Важно!

    !!! Не рекомендовано использовать домен .local !!! Он зарезервирован для автоматически конфигурируемых сетей.

    При использовании домена local

    Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

    hosts:          files mdns4_minimal [NOTFOUND=return] dns

    Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ «не найдено». Mdns кэширует данные и  работает с демоном Avahi. Модифицируйте эту «схему» к классическому виду:

    hosts:          files dns

    В РЕД ОС 7.3 изменять конфигурацию /etc/nsswitch.conf следует через файл

    nano /etc/authselect/user-nsswitch.conf

    после чего выполнить применение настроек:

    authselect apply-changes 
    1. Введите компьютер в домен, указав логин и пароль администратора домена
    sudo realm join -U -v <имя_администратора_домена> <realm_name>

    Пример:

    sudo realm join -U -v администратор win.redos

    Важно!

    Для Windows Server 2003 имя пользователя, которому разрешено добавлять компьютеры в домен должно быть на английском языке. Для этого создайте на контроллере домена пользователя с английским именем и предоставьте ему необходимые права.

    При успешном вводе ПК в домен, в конце вы увидите сообщение "* Successfully enrolled machine in realm"

    1. Теперь, если ввести команду realm list, то получим информацию о домене, а в консоли «Users and Computers» домена Active Directory появится новый компьютер.
    $ realm list
    win.redos
    type: kerberos
    realm-name: WIN.REDOS
    domain-name: win.redos
    configured: kerberos-member
    server-software: active-directory
    client-software: sssd
    required-package: oddjob
    required-package: oddjob-mkhomedir
    required-package: sssd
    required-package: adcli
    required-package: samba-common-tools
    login-formats: %U@win.redos
    login-policy: allow-realm-logins
    1. Некоторые действия и информацию можно получить с помощью утилиты adcli.
    $ adcli info win.redos
    [domain]
    domain-name = win.redos
    domain-short = WIN
    domain-forest = win.redos
    domain-controller = dc.win.redos
    domain-controller-site = Default-First-Site-Name
    domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable full-secret ads-web
    domain-controller-usable = yes
    domain-controllers = dc.win.redos
    [computer]
    computer-site = Default-First-Site-Name
    1. Откройте для редактирования файл /etc/sssd/sssd.conf
    sudo nano /etc/sssd/sssd.conf

    Приведите строки к указанному ниже виду:

    use_fully_qualified_names = False
    ad_gpo_access_control = permissive
    • use_fully_qualified_names = False — отключение режима полных имён для пользователей;
    • ad_gpo_access_control = permissive — режим политики GPO входа пользователя в систему. В данном примере GPO оценивается, но не применяется.
    1. Разрешите доменным пользователям создавать домашние директории, для чего выполните команду:
    sudo authconfig --enablemkhomedir --enablesssdauth --updateall
    1. Далее нужно отредактировать конфигурационный файл /etc/krb5.conf

    Для доступа к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно закомментировать строку

    default_ccache_name = KEYRING:persistent:%{uid}

    После нее вставить строку:

    default_ccache_name = FILE:/tmp/krb5cc_%{uid}

    Изменить значение параметра можно следующей командой:

    sudo sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf

    В секцию [libdefaults] нужно добавить параметр default_realm = REALM NAME

    Пример записи для домена win.redos:

    default_realm = WIN.REDOS

    Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

    sudo sed -i '/krb5cc_%{uid}/a default_realm = REALM NAME' /etc/krb5.conf

    Этот параметр позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS).

    Пример:

    $ kinit user
    Password for user@WIN.REDOS:

    Для контроллера домена на базе Windows Server 2003 выполните дополнительные действия

    В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

    [libdefaults]
    ...
    default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
    preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

    Перезагрузите компьютер и попробуйте зайти под учетной записью доменного пользователя.

    1. Проверьте состояние службы sssd, в выводе статуса должно быть написано active (running)
    $ systemctl status sssd
      sssd.service - System Security Services Daemon
       Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
       Active: active (running) since Вт 2019-08-27 11:26:16 MSK; 2h 5min ago
     Main PID: 31918 (sssd)
       CGroup: /system.slice/sssd.service
               ├─31918 /usr/sbin/sssd -i --logger=files
               ├─31919 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files
               ├─31920 /usr/libexec/sssd/sssd_be --domain win.redos --uid 0 --gid 0 --logger=files
               ├─31921 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
               └─31922 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
    1. Пример настройки файла конфигурации /etc/samba/smb.conf

    Далее будут приведены примерные настройки конфигурационного файла smb.conf:

    В блоке [global] указываются общие настройки.

    Укажите свои данные домена для параметров workgroup и realm:

    # Короткое имя домена в верхнем регистре
    workgroup = WIN

    # Домен в верхнем регистре
    realm = WIN.REDOS

    Остальные настройки можно оставить без изменений.

    # тип аутентификации, используемый для подключения к домену.
    security = ADS
    # определяет базу данных, которая будет использоваться для хранения учетных записей.
    passdb backend = tdbsam

    # определяет, будет ли winbind перечислять группы из домена.
    winbind enum groups = Yes
    # определяет, будет ли winbind перечислять пользователей из домена.
    winbind enum users = Yes
    # определяет, будет ли winbind перечислять пользователей из домена.
    winbind offline logon = Yes
    # определяет, будет ли использоваться домен по умолчанию при входе в систему пользователей без указания имени домена.
    winbind use default domain = No
    # определяет, будет ли winbind обновлять билеты Kerberos.
    winbind refresh tickets = Yes

    # определяет время кэширования ID-отображений.
    idmap cache time = 900
    # настройки отображения ID между Windows и Unix.
    idmap config * : backend = tdb
    idmap config * : range = 10000-99999
    idmap config SMBIND : backend = rid
    idmap config SMBIND : range = 100000-999999

    # минимальная версия SMB протокола клиента.
    client min protocol = NT1
    # максимально возможная версия SMB протокола клиента.
    client max protocol = SMB3

    # путь к файлу ключей Kerberos.
    dedicated keytab file = /etc/krb5.keytab
    # метод аутентификации Kerberos.
    kerberos method = secrets and keytab

    # время обновления пароля машины.
    machine password timeout = 60
    # определяет объекты VFS, используемые при монтировании файловой системы.
    vfs objects = acl_xattr
    # определяет, будет ли ACL-наследование применяться при создании файлов и каталогов.
    map acl inherit = yes
    # определяет, будут ли атрибуты DOS храниться в расширенных атрибутах файла.
    store dos attributes = yes

    printing = cups
    printcap name = cups
    load printers = yes
    cups options = raw

    Настройки блока [global] завершены.

    Далее следует изменить блок [homes], в котором необходимо указать настройки для доступа к папкам пользователей:

    [homes]
    comment = Home Directories
    # "valid users" определеяет список пользователей или групп пользователей, которые имеют доступ к ресурсу.
    # %S - подстановочный символ, который заменяется на имя текущей службы,
    # %D - подстановочный символ, который заменяется на имя домена,
    # %w - подстановочный символ, который заменяется на имя текущей машины.
    valid users = %S, %D%w%S
    # отключает/включает отображение данного ресурса в списке доступных ресурсов в проводнике или браузере файлов.
    browseable = No
    # разрешает запись на ресурс
    read only = No
    # позволяет унаследовать доступы на файлы и папки, если они не были явно настроены для данного ресурса.
    inherit acls = Yes

    В блоке [printers] укажите настройки для доступа к принтерам:

    [printers]
    comment = All Printers
    path = /var/tmp
    # устанавливает, что данная секция является принтером
    printable = Yes
    # права доступа для создания файлов
    create mask = 0600
    browseable = No

    В блоке [print$] укажите параметры печати:

    [print$]
    comment = Printer Drivers
    # путь к директории, которая будет использоваться для хранения драйверов принтеров
    path = /var/lib/samba/drivers
    # список пользователей/групп, имеющих права на запись
    write list = @printadmin root
    # устанавливает группу, которая будет установлена при создании файла/директории
    force group = @printadmin
    # устанавливает права доступа для создания файлов
    create mask = 0664
    # устанавливает права доступа для создания директорий
    directory mask = 0775

    Настройка файла smb.conf завершена. Обратите внимание, что приведены примерные настройки, которые могут быть изменены при необходимости.

    1. Также можно добавить новое правило в /etc/sudoers, чтобы доменный пользователь из группы администраторов домена мог получать права администратора локального компьютера:Откройте файл /etc/sudoers для редактирования от пользователя root:
    $ sudo nano /etc/sudoers

    Добавьте в файл следующую строку, сохраните изменения и закройте редактор.

    %администраторы\ домена ALL=(ALL) ALL

    Данный параметр можно добавить командой:

    sudo sh -c "echo '%администраторы\ домена ALL=(ALL) ALL' >> /etc/sudoers"
    1. Перезагрузите компьютер и войдите в ОС под учетной записью доменного пользователя.

    Важно!

    Имя доменного пользователя должно состоять из латинских символов (кириллицу в имени пользователя использовать не рекомендуется).

    Список команд для быстрого ввода в домен через консоль

    В данном разделе собраны команды из раздела Ввод в домен консольными командами. Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).

    1. Настройте NTP-клиент

    Здесь введите своё FQDN имя контроллера домена.

    sudo sed -i 's/server/#server/g' /etc/chrony.conf
    sudo sh -c "echo 'server <FQDN_имя_контроллера_домена> iburst' >> /etc/chrony.conf"
    sudo systemctl restart chronyd
    chronyc tracking

    2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.

    Для РЕД ОС версии 7.1 или 7.2:

     sudo yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
     realm discover <имя_домена> 
     sudo realm join -U -v <имя_администратора_домена> <имя_домена>

    Для РЕД ОС версии 7.3 и старше:

     sudo dnf install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
     realm discover <имя_домена> 
     sudo realm join -U -v <имя_администратора_домена> <имя_домена>

    При успешном вводе машины в домен вы увидите сообщение «* Successfully enrolled machine in realm»

    3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние директории.

    sudo sed -i 's/use_fully_qualified_names = True/use_fully_qualified_names = False/g' /etc/sssd/sssd.conf
    sudo sh -c "echo 'ad_gpo_access_control = permissive' >> /etc/sssd/sssd.conf"
    sudo authconfig --enablemkhomedir --enablesssdauth --updateall

    4. Чтобы убрать предупреждение "rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)" при выводе команды testparm -s:

    sudo sh -c "echo '*               -       nofile          16384' >> /etc/security/limits.conf"
    sudo sh -c "echo 'root            -       nofile          16384' >> /etc/security/limits.conf"

    Если контроллер домена основан на базе Windows Server 2003, то выполните следующую команду:

    sudo sed -i '/\[libdefaults\]/a \    default_tkt_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1,DES-CBC-MD5\n    default_tgs_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1, DES-CBC-MD5' /etc/krb5.conf
    1. Для доступа доменных пользователей к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно изменить параметр default_ccache_name:
    sudo sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf

    Добавление параметра default_realm = REALM NAME в секцию [libdefaults] позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS). Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

    sudo sed -i '/krb5cc_%{uid}/a default_realm = REALM NAME' /etc/krb5.conf
    1. Также можно добавить новое правило в /etc/sudoers, чтобы доменный пользователь из группы администраторов домена мог получать права администратора локального компьютера:Данный параметр можно добавить командой:
    sudo sh -c "echo '%администраторы\ домена ALL=(ALL) ALL' >> /etc/sudoers"

    Ограничение доступа входа на ПК для доменных пользоватлей

    Для данной настройки необходимо внести изменения в конфигурационный файл sssd.conf

    access_provider = simple
    simple_allow_users = user1@example.com, user2@example.com 
    simple_allow_groups = group@example.com

    Параметр access_provider = simple определяет список доступа на основе имен пользователей или групп.

    Дата последнего изменения: 27.04.2023

    Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

    Описание стенда

    Сервер:

    ОС: Windows server 2019

    доменное имя: server.astradomain.ad

    Клиент:

    ОС: РЕД ОС

    Настройка сервера

    Установка сервиса Active Directory

    При необходимости измените имя сервера. Это необходимо сделать до выполнения его настройки.

    Имя сервера можно задать в окне менеджера сервера:

    Процедура установки состоит из следующих шагов:

    1. Добавление сервисов.
    2. Настройка домена.
    3. Добавление новых пользователей.
    4. Установка центра сертификации Active Directory.

    Шаг 1. Добавление необходимых сервисов

    Добавьте на сервер сервисы Active Dirrectory и DNS:

    1. Откройте окно для добавления ролей в менеджере сервера:

    2. В окне для выбора сервисов установите галочки Active Directory Domain Services и DNS Server:

    3. Нажмите Next.

    4. Во всех остальных пунктах даём согласие на установку.

    Шаг 2. Настройка домена

    После завершения установки сервисов вам надо перейти к настройке домена:

    1. Откройте меню уведомлений и выберите пункт «Promote this server to a domain controller»:

    2. На вкладке Deployment Configuration выберите опцию для создания нового домена и укажите его название:

    3. Введите пароль сброса:

    4. На вкладке DNC Options ничего не меняйте, т.к. сервер сам является DNS сервером:

     

    5. На следующих трёх вкладках также оставьте всё как есть:

    6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем случае уведомления не являются критичными:

    После установки Active Directory сервер перезагрузится.  Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя. 

    Шаг 3. Добавление новых пользователей

    Чтобы добавить новых пользователей:

    1. Откройте утилиту управления пользователями и компьютерами домена:

    2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей:

    3. Добавьте нового пользователя User:

    4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

    Шаг 4. Установка центра сертификации Active Directory

    После этого можно приступить к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.

    Настройку авторизации с помощью сертификатов можно реализовать по этой инструкции.

    Для аутентификации пользователя через linux машины необходимы:

    • токен с ключами и сертификатов;
    • корневой сертификат УЦ (его необходимо отправить пользователям).

    Чтобы получить корневой центр УЦ:

    1. Выберите пункт меню Tools и подпункт Certification Authority.

    2. Два раза щёлкните по строке с сертификатом.


    3. В окне сертификата на вкладке Certification Path щёлкните по имени сертификата и нажмите View Certificate.

    4. Нажмите Copy to File и сохраните сертификат в формате BASE64.

    Настройка клиента РЕД ОС

    Добавление пользователя в sudo

    Отредактируйте файл /etc/sudoers

    su 

    sudo nano /etc/sudoers

    И добавьте в него строчку user ALL=(ALL) ALL

    Далее залогиньтесь под пользователем и продолжите работу из-под него.

    Далее установите следующие пакеты:

    sudo dnf update

    sudo dnf upgrade

    sudo dnf install ccid opensc pam_pkcs11 gdm-plugin-smartcard p11-kit join-to-domain

    sudo dnf install -y realmd PackageKit

    sudo dnf install -y krb5-workstation

    sudo dnf install -y nss-tools opensc krb5-pkinit

    Загрузите модуль librtpkcs11ecp.so и установите:

    sudo rpm -i librtpkcs11ecp-X.X.X.X-X.x86_64.rpm

    Настройка DNS

    Через консоль

    Измените имя клиента в нашем домене astradomain.ad на client

    sudo hostnamectl set-hostname client.astradomain.ad

    Узнайте название вашего соединения. Они могут отличаться.

    Название интерфейса, которое использует ваше соединение.

    Адрес dns сервера

    Отключите соединение

    sudo nmcli con down "$CON_NAME"

    Настройте сетевую карту соединения по умолчанию $INT_NAME

    sudo nmcli con mod "$CON_NAME" connection.interface-name $INT_NAME

    Настройте DNS вместо DNS_SERVER_IP указать IP-адрес сервера DNS. При необходимости укажите адрес локального сервера DNS.

    sudo nmcli con mod "$CON_NAME" ipv4.dns "$DNS_SERVER_IP 10.0.2.15"

    sudo nmcli con mod "$CON_NAME" ipv4.ignore-auto-dns yes

    Включите сетевое соединение

    sudo nmcli con up "$CON_NAME"

    Вводите компьютер в домен

    Через графический интерфейс

    Откройте Главное меню Параметры Расширенная конфигурация сети.

    Выберите своё соединение, и на вкладке Параметры IPv4 введите IP клиента (так как на сервере не установлен DHSP) и DNS.

    Обязательно перезагрузите компьютер.

    После перезагрузки, откройте Главное меню  Системные Ввод ПК в домен.

    Выберите параметр «Домен Windows/Samba»

    Далее необходимо ввести параметры для ввода компьютера в домен.

    Обязательно перезагрузите компьютер.

    Узнаем какие пакеты ещё необходимы для подключения к домену

    realm discover astradomain.ad

    Список необходимых для работы пакетов будет выведен в следующем формате:

    required-package: pkg1

    required-package: pkg2

    required-package: pkg3

    Установите отсутствующие пакеты:

    sudo dnf install -y pkg1 pkg2 pkg3 ...

    Если в домене есть пользователь ad_user, к которому можно подключиться с помощью пароля, то можно осуществить проверку настройки получив тикет для него

    kinit ad_user@ASTRADOMAIN.AD

    Проверка получения тикета осуществляется командой

    Удаление тикета

    Проверка аутентификации под пользователем в домене без Рутокена

    su ad_user@astradomain.ad

    Залогиньтесь локальным пользователем для дальнейшей настройки:

    Настройка клиента для аутентификации в домене с помощью Рутокена

    При необходимости удалите старую базу и создайте новую:

    sudo rm -fr /etc/pki/nssdb

    sudo mkdir /etc/pam_pkcs11/nssdb

    sudo chmod 777 /etc/pam_pkcs11/nssdb

    sudo certutil -N -d /etc/pam_pkcs11/nssdb --empty-password

    sudo modutil -dbdir /etc/pam_pkcs11/nssdb -add "Rutoken PKCS11" -libfile /usr/lib64/librtpkcs11ecp.so

    Установите корневой сертификат в /etc/pki/ca-trust/source/anchors/.

    Следующая команда используется из директории, в которой находится корневой сертификат:

    sudo cp ca_cert.cer /etc/pki/ca-trust/source/anchors/

    sudo update-ca-trust force-enable

    sudo update-ca-trust extract

    sudo certutil -d /etc/pam_pkcs11/nssdb -A -n 'AD-ROOT' -t CT,CT,CT -a -i /etc/pki/ca-trust/source/anchors/ca_cert.cer

    Проверьте, что сертификат виден на токене и в базе данных. Система должна запросить PIN-код Рутокена и выдать сертификат с карточки с правами u,u,u и корневого сервера.

    sudo certutil -L -d /etc/pam_pkcs11/nssdb -h all

    Certificate Nickname Trust Attributes
    SSL,S/MIME,JAR/XPI

    Enter Password or Pin for "Rutoken ECP <no label>":
    AD-ROOT CT,C,C
    Rutoken ECP <no label>:te-Rutoken-0329dc84-5937-4b1e-adaf-5cbfe977cda0_E u,u,u

    Добавьте модуль Рутокен к p11-kit

    sudo nano /usr/share/p11-kit/modules/Rutoken.module

    Добавить в файл следующий текст:

    module:/usr/lib64/librtpkcs11ecp.so

    Сделайте модуль Рутокен по умолчанию для p11-tools

    sudo modutil -default "Rutoken PKCS11" -dbdir /etc/pam_pkcs11/nssdb -mechanisms RSA:DSA:RC4:DES

    Отредактируйте pam_pkcs11

    sudo nano /etc/pam_pkcs11/pam_pkcs11.conf

    pam_pkcs11 {

      nullok = false;

      debug = true;

      use_first_pass = false;

      use_authtok = false;

      card_only = false;

      wait_for_card = false;

      use_pkcs11_module = rutokenecp;

      # Aktiv Rutoken ECP

      pkcs11_module rutokenecp {

        module = /usr/lib64/librtpkcs11ecp.so;

        slot_num = 0;

        support_thread = true;

        ca_dir = /etc/pam_pkcs11/cacerts;

        crl_dir = /etc/pam_pkcs11/crls;

        cert_policy = signature;

      }

      use_mappers = ms;

      mapper_search_path = /usr/lib64/pam_pkcs11;

      mapper ms {

      debug = false;

      module = internal;

      ignorecase = true;

      ignoredomain = true;

      domain = "ASTRADOMAIN.AD";

     }

    }

    Настройте PAM стандартным средством RHEL authselect.

    sudo authselect select sssd with-smartcard with-mkhomedir --force

    Общий вид /etc/pam.d/system-auth:

    sudo nano /etc/pam.d/system-auth

    auth        required                                     pam_env.so

    auth        required                                     pam_faildelay.so delay=2000000

    auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

    auth        [default=2 ignore=ignore success=ok]         pam_localuser.so

    auth        [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_sss.so try_cert_auth

    auth        sufficient                                   pam_unix.so nullok try_first_pass

    auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

    auth        sufficient                                   pam_sss.so forward_pass

    auth        required                                     pam_deny.so

    account     required                                     pam_unix.so

    account     sufficient                                   pam_localuser.so

    account     sufficient                                   pam_usertype.so issystem

    account     [default=bad success=ok user_unknown=ignore] pam_sss.so

    account     required                                     pam_permit.so

    password    requisite                                    pam_pwquality.so try_first_pass local_users_only

    password    sufficient                                   pam_unix.so sha512 shadow nullok try_first_pass use_authtok

    password    sufficient                                   pam_sss.so use_authtok

    password    required                                     pam_deny.so

    session     optional                                     pam_keyinit.so revoke

    session     required                                     pam_limits.so

    -session    optional                                     pam_systemd.so

    session     optional                                     pam_oddjob_mkhomedir.so umask=0077

    session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid

    session     required                                     pam_unix.so

    session     optional                                     pam_sss.so

    Общий вид /etc/pam.d/password-auth:

    sudo nano /etc/pam.d/password-auth

    auth        required                                     pam_env.so

    auth        required                                     pam_faildelay.so delay=2000000

    auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

    auth        [default=1 ignore=ignore success=ok]         pam_localuser.so

    auth        [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_sss.so try_cert_auth

    auth        sufficient                                   pam_unix.so nullok try_first_pass

    auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

    auth        sufficient                                   pam_sss.so forward_pass

    auth        required                                     pam_deny.so

    account     required                                     pam_unix.so

    account     sufficient                                   pam_localuser.so

    account     sufficient                                   pam_usertype.so issystem

    account     [default=bad success=ok user_unknown=ignore] pam_sss.so

    account     required                                     pam_permit.so

    password    requisite                                    pam_pwquality.so try_first_pass local_users_only

    password    sufficient                                   pam_unix.so sha512 shadow nullok try_first_pass use_authtok

    password    sufficient                                   pam_sss.so use_authtok

    password    required                                     pam_deny.so

    session     optional                                     pam_keyinit.so revoke

    session     required                                     pam_limits.so

    -session    optional                                     pam_systemd.so

    session     optional                                     pam_oddjob_mkhomedir.so umask=0077

    session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid

    session     required                                     pam_unix.so

    session     optional                                     pam_sss.so

    Настройте SSSD

    Для того, чтобы аутентификация корректно работала на лок скрине. В настройках sssd нужно указать название сервиса, использующегося при аутентификации через лок скрин, чтобы сделать его доверенным. У каждой графической оболочки свое название данного сервиса. Узнать название вашей графической оболочки можно с помощью команды:

    Название графической оболочки

    echo $XDG_CURRENT_DESKTOP

    Вот список соответствий названий графических оболочек и сервиса, используемого лок скрином. Данный список не является полным.

    MATE → mate-screensaver
    X-Cinnamon → cinnamon-screensaver
    fly → <Отсутствует>
    KDE → kde
    GNOME → xdg-screensaver

    Сконфигурируем SSSD. Для этого отредактируем файл /etc/sssd/sssd.conf.

    sudo nano /etc/sssd/sssd.conf

    Общий вид /etc/sssd/sssd.conf:

    [sssd]
    domains = astradomain.ad
    config_file_version = 2
    services = nss, pam

    [domain/astradomain.ad]
    ad_domain = astradomain.ad
    ad_server = WIN-HAFG0T1O90S.astradomain.ad
    krb5_realm = ASTRADOMAIN.AD
    case_sensitive = Preserving
    realmd_tags = manages-system joined-with-samba

    # Кэширование аутентификационных данных, необходимо при недоступности домена
    cache_credentials = True

    id_provider = ad
    access_provider = ad
    krb5_store_password_if_offline = True
    default_shell = /bin/bash
    ldap_id_mapping = True
    ad_gpo_access_control = disabled

    # Включает/Отключает режим полных имён пользователей при входе
    use_fully_qualified_names = False

    # Определение домашнего каталога для доменных пользователей
    fallback_homedir = /home/%u@%d

    # Параметр access_provider = simple Определяет список доступа на основе имен пользователей или групп.
    #access_provider = simple
    #simple_allow_users = user1@example.com, user2@example.com
    #simple_allow_groups = group@example.com

    # Включает/Отключает перечисление всех записей домена, операция(id или getent) может занимать длительное время при enumerate = true в больших инфраструктурах
    enumerate = false

    # Параметр ignore_group_members может ускорить авторизацию в домене если домен имеет большое количество пользователей, групп и вложенных OU
    # Если установлено значение TRUE, то атрибут членства в группе не запрашивается с сервера ldap и не обрабатывается вызовов поиска группы.
    # ignore_group_members = True

    # Поиск ссылок может привести к снижению производительности в средах, которые их интенсивно используют.
    # true - не рекомендуется для больших инфраструктур. Отключаем этот поиск.
    #ldap_referrals = false

    # Включает/Отключает динамические обновления DNS, если в статусе sssd ошибка "TSIG error with server: tsig verify failure", то установите dyndns_update = false
    #dyndns_update = true
    #dyndns_refresh_interval = 43200
    #dyndns_update_ptr = true
    #dyndns_ttl = 3600

    #[nss]
    # Сколько секунд nss_sss должен кэшировать перечисления (запросы информации обо всех пользователях) Default: 120
    #entry_cache_timeout = 15
    # Задает время в секундах, в течение которого список поддоменов будет считаться действительным. Default: 60
    #get_domains_timeout = 10

    [pam]
    pam_cert_auth = True
    debug_level = 10
    pam_cert_db_path = /etc/pki/ca-trust/source/anchors/ca_cert.cer
    pam_p11_allowed_services = +mate-screensaver

    [certmap/files/ms]
    matchrule = <SAN:ntPrincipalName>.*@domain
    maprule =({subject_nt_principal.short_name})

    Измените конфиг Kerberos

    Общий вид файла:

    includedir /etc/krb5.conf.d/

    [logging]

        default = FILE:/var/log/krb5libs.log

        kdc = FILE:/var/log/krb5kdc.log

        admin_server = FILE:/var/log/kadmind.log

    [libdefaults]

    #    dns_lookup_realm = false  # Отключить поиск kerberos-имени домена через DNS

        dns_lookup_kdc = true # Включить поиск kerberos-настроек домена через DNS

        ticket_lifetime = 24h

        renew_lifetime = 7d

        forwardable = true

        rdns = false

    #    spake_preauth_groups = edwards25519

        default_ccache_name = FILE:/tmp/krb5cc_%{uid}

        default_realm = ASTRADOMAIN.AD

        pkinit_kdc_hostname = WIN-HAFG0T1O90S.ASTRADOMAIN.AD

        pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors/

        pkinit_identities = PKCS11:librtpkcs11ecp.so

        pkinit_eku_checking = none

        canonicalize = True

    default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
    default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
    preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

    [realms]

    ASTRADOMAIN.AD = {

        kdc = WIN-HAFG0T1O90S.astradomain.ad # Primary Domain Controller

        admin_server = WIN-HAFG0T1O90S.astradomain.ad # Primary Domain Controller

        default_domain = astradomain.ad # Domain name

    }

    [domain_realm]

    .astradomain.ad = ASTRADOMAIN.AD

    astradomain.ad = ASTRADOMAIN.AD

    [appdefaults]

            pam = {

                    debug = true

            }

    Обязательно перезагрузите компьютер.

    Проверьте аутентификацию после перезагрузки.

    Перед вводом РЕД ОС в домен проверьте настройки сети. Контроллер домена должен быть доступен по имени, например, это можно проверить запустив команду ping:

    ping -c 3 dc.win.redos
    PING dc.win.redos (10.81.1.196) 56(84) bytes of data.
    64 bytes from dc.win.redos (10.81.1.196): icmp_seq=1 ttl=128 time=0.320 ms
    64 bytes from dc.win.redos (10.81.1.196): icmp_seq=2 ttl=128 time=0.601 ms
    64 bytes from dc.win.redos (10.81.1.196): icmp_seq=3 ttl=128 time=0.701 ms

    Если ваш DHCP-сервер не раздает клиентам доменный суффикс, то укажите его в сетевых настройках, в поле «Поисковый домен».

    На нашем Youtube-канале вы можете подробнее ознакомиться с информацией по вводу компьютера в домен, просмотрев видео Ввод ПК с РЕД ОС в домен Windows, а также найти много другой полезной информации.

    В РЕД ОС имеется утилита join-to-domain, которая предназначена для ввода компьютера в домен Windows или домен на базе SAMBA. В РЕД ОС 7.3 программа join-to-domain предустановлена в системе по умолчанию, но перед использованием необходимо обновить утилиту до последней версии:

    dnf update join-to-domain

    Для операционной системы РЕД ОС 7.2 требуется ее установка из репозитория:

    yum install join-to-domain

    join-to-domain может выполняться в трех режимах:

    • с графическим интерфейсом;

    • в консоли (интерактивный режим);

    • в консоли с входными параметрами.

    Графический режим работы программы ввода/вывода РЕД ОС из домена

    В РЕД ОС для быстрого ввода компьютера в домен Windows/SAMBA используется утилита join-to-domain. Утилита может быть запущена в консольном (текстовом) и в графическом режиме. Описание работы join-to-domain в консоли будет рассмотрено ниже.

    Для запуска join-to-domain в графическом режиме откройте «Главное меню» — «Системные» — «Ввод ПК в домен».

    Запуск программы требует ввода пароля от пользователя root.

    После успешной аутентификации откроется окно выбора типа домена на базе SAMBA или FreeIPA. Для ввода в домен SAMBA выберите пункт «Домен Windows/SAMBA».

    После успешной аутентификации откроется основное окно, в котором необходимо заполнить все поля:

    После нажатия на кнопку «Да» начнется процесс присоединения ПК к домену.

    В случае успешного ввода в домен появится уведомление:

    Перезагрузите компьютер и войдите в РЕД ОС, используя логин и пароль пользователя домена.

    Процесс ввода в домен, а также возможные ошибки при работе протоколируются в файл /var/log/join-to-domain.log.

    Для вывода ПК из домена Windows, следует снова запустить join-to-domain «Главное меню» — «Системные» — «Ввод ПК в домен».

    В этот раз программа определит, что РЕД ОС введен в домен и предложит выйти из него.

    Консольный режим работы программы ввода РЕД ОС в домен

    Откройте консоль и выполните запуск join-to-domain.sh с привилегиями суперпользователя root.

    join-to-domain.sh

    Программа запросит пользователя выбрать тип домена, к которому необходимо присоединить РЕД ОС, в данном случае необходимо выбрать первый пункт «Ввод РЕД ОС в домен Windows/Samba».

    Введите имя домена, имя компьютера, имя администратора домена и подтвердите ваши действия для начала процесса ввода ПК в домен.

    Протокол ввода в домен записывается в файл /var/log/join-to-domain.log.

    Перезагрузите компьютер и войдите в РЕД ОС, используя логин и пароль пользователя домена.

    Для вывода РЕД ОС из домена выполните в консоли команду с привилегиями суперпользователя root:

    join-to-domain.sh

    Подтвердите действие, после чего начнется процесс вывода из домена, по окончании всех действий перезагрузите ПК.

    Консольный режим работы join-to-domain с входными параметрами

    Пример №1 — ввод в домен Windows или SAMBA:

    join-to-domain.sh -d win.redos -n client07 -u admin -p password

    Пример №2 — ввод в домен с добавлением ПК в OU:

    join-to-domain.sh -d example.com -n client1 -u admin -p password --ou "OU=МоиПК,OU=ОтделIT" -y

    Пример №3  — удаление учетной записи ПК с подключением к определенному DC:

    join-to-domain.sh --delete-computer -u <admin_login> -d <domain_name> --dc <domain_controller> -n <pc_name>

    Пример №4 — вывод из домена. Выполните команду join-to-domain.sh, в результате программа определит, что данный ПК в домене и предложит выйти из него.

    join-to-domain.shКомпьютер введен в домен win.redos. Вывести компьютер из домена?
    Продолжить выполнение (y/n)? yУдаление учетной записи ПК из домена.
    Введите имя контроллера домена или для продолжения нажмите ENTER:
    Введите имя администратора домена: adminPassword for admin@WIN.REDOS:
     

    Описание параметров запуска:

      -d  Имя домена
      -n  Имя компьютера
      -u  Имя администратора домена
      -p  Пароль администратора домена
      —ou  Имя подразделения компьютера (OU), формат ввода «OU=МоиПК,OU=ОтделIT». Порядок указания OU снизу вверх
      —dc  Имя контроллера домена
      -w  Позволяет ввести в домен, используя Winbind (по умолчанию применяется SSSD)
      -y  Автоматическое подтверждение запросов на выполнение действий при работе скрипта с параметрами
      -f  Принудительный ввод в домен (вывод из домена) под своим прежним именем ПК (игнорируется существующая учетная запись ПК в домене)
      —wg  Указать «Имя домена (пред-Windows 2000)», необязательный ключ
      —delete-computer  Удаляет учётную запись ПК из домена (не выводит сам ПК из домена), см. пример №3
      —sssd-lower-case  Принудительно устанавливает имя пользователя в нижнем регистре
      -g  Запуск скрипта с графическим интерфейсом
       -h, —help  Показать справку
      -v  Вывод версии

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Ввод в домен консольными командами
      Список команд для быстрого ввода в домен через консоль
      Ограничение доступа входа на ПК для доменных пользоватлей

      Важно

      Имя ПК должно содержать только буквы (a–z), цифры (0–9), знак »минус» (-) и точку (.).

      Данная инструкция не подходит для ПК, на которых установлено ПО SecretNet версии 1.9.

      На нашем Youtube-канале вы можете подробнее ознакомиться с информацией по вводу компьютера в домен, просмотрев видео Ввод ПК с РЕД ОС в домен Windows, а также найти много другой полезной информации.

      Ввод в домен консольными командами

      Подключаемся к домену Active Directory с помощью realmd.

      Realmd (Realm Discovery) – это сервис, позволяющий производить настройку сетевой аутентификации и членства в домене MS AD без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) (также может использоваться и Winbind).

      1. Настройка NTP клиента

      Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:

      sudo nano /etc/chrony.conf

      Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:

      server <FQDN имя контроллера домена> iburst

      После изменений конфигурационного файла вам надо перезапустить chronyd:

      sudo systemctl restart chronyd

      Проверьте работу chrony с помощью двух команд::

      systemctl status chronyd
      chronyc tracking

      Пример вывода команды:

      $ systemctl status chronyd
        chronyd.service - NTP client/server
         Loaded: loaded (/usr/lib/systemd/system/chronyd.service; enabled; vendor preset: enabled)
         Active: active (running) since Вт 2019-07-09 11:13:49 MSK; 5min ago
        Process: 683 ExecStartPost=/usr/libexec/chrony-helper update-daemon (code=exited, status=0/SUCCESS)
        Process: 639 ExecStart=/usr/sbin/chronyd $OPTIONS (code=exited, status=0/SUCCESS)
       Main PID: 650 (chronyd)
         CGroup: /system.slice/chronyd.service
                 └─650 /usr/sbin/chronyd

      Пример вывода команды:

      $ chronyc tracking
      Reference ID    : 10.81.1.196 (dc.win.redos)
      Stratum         : 4
      Ref time (UTC)  : Wed Mar  4 09:44:17 2020
      System time     : 0.000169261 seconds slow of NTP time
      Last offset     : -0.000182217 seconds
      RMS offset      : 0.000182217 seconds
      Frequency       : 1.939 ppm slow
      Residual freq   : -0.602 ppm
      Skew            : 1.234 ppm
      Root delay      : 0.047364 seconds
      Root dispersion : 0.087531 seconds
      Update interval : 64.7 seconds
      Leap status     : Normal
      1. Установите необходимые пакеты, если они ещё не установлены

      для РЕД ОС версии 7.1 или 7.2:

      sudo yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation

      для РЕД ОС версии 7.3 и старше:

      sudo dnf install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
      1. Выполните команду поиска домена
      realm discover < realm name >

      Важно

      !!! Не рекомендовано использовать домен .local !!! Он зарезервирован для автоматически конфигурируемых сетей.

      При использовании домена local

      Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

      hosts:          files mdns4_minimal [NOTFOUND=return] dns

      Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ «не найдено». Mdns кэширует данные и  работает с демоном Avahi. Модифицируйте эту «схему» к классическому виду:

      hosts:          files dns

      В РЕД ОС 7.3 изменять конфигурацию /etc/nsswitch.conf следует через файл

      nano /etc/authselect/user-nsswitch.conf

      после чего выполнить применение настроек:

      authselect apply-changes 
      1. Введите компьютер в домен, указав логин и пароль администратора домена
      sudo realm join -U -v <имя_администратора_домена> <realm_name>

      Пример:

      sudo realm join -U -v администратор win.redos

      Важно

      Для Windows Server 2003 имя пользователя, которому разрешено добавлять компьютеры в домен должно быть на английском языке. Для этого создайте на контроллере домена пользователя с английским именем и предоставьте ему необходимые права.

      При успешном вводе ПК в домен, в конце вы увидите сообщение "* Successfully enrolled machine in realm"

      1. Теперь, если ввести команду realm list, то получим информацию о домене, а в консоли «Users and Computers» домена Active Directory появится новый компьютер.
      $ realm list
      win.redos
      type: kerberos
      realm-name: WIN.REDOS
      domain-name: win.redos
      configured: kerberos-member
      server-software: active-directory
      client-software: sssd
      required-package: oddjob
      required-package: oddjob-mkhomedir
      required-package: sssd
      required-package: adcli
      required-package: samba-common-tools
      login-formats: %U@win.redos
      login-policy: allow-realm-logins
      1. Некоторые действия и информацию можно получить с помощью утилиты adcli.
      $ adcli info win.redos
      [domain]
      domain-name = win.redos
      domain-short = WIN
      domain-forest = win.redos
      domain-controller = dc.win.redos
      domain-controller-site = Default-First-Site-Name
      domain-controller-flags = pdc gc ldap ds kdc timeserv closest writable full-secret ads-web
      domain-controller-usable = yes
      domain-controllers = dc.win.redos
      [computer]
      computer-site = Default-First-Site-Name
      1. Откройте для редактирования файл /etc/sssd/sssd.conf
      sudo nano /etc/sssd/sssd.conf

      Приведите строки к указанному ниже виду:

      use_fully_qualified_names = False
      ad_gpo_access_control = permissive
      • use_fully_qualified_names = False — отключение режима полных имён для пользователей;
      • ad_gpo_access_control = permissive — режим политики GPO входа пользователя в систему. В данном примере GPO оценивается, но не применяется.
      1. Разрешите доменным пользователям создавать домашние директории, для чего выполните команду:
      sudo authconfig --enablemkhomedir --enablesssdauth --updateall
      1. Далее нужно отредактировать конфигурационный файл /etc/krb5.conf

      Для доступа к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно закомментировать строку

      default_ccache_name = KEYRING:persistent:%{uid}

      После нее вставить строку:

      default_ccache_name = FILE:/tmp/krb5cc_%{uid}

      Изменить значение параметра можно следующей командой:

      sudo sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf

      В секцию [libdefaults] нужно добавить параметр default_realm = REALM NAME

      Пример записи для домена win.redos:

      default_realm = WIN.REDOS

      Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

      sudo sed -i '/krb5cc_%{uid}/a default_realm = REALM NAME' /etc/krb5.conf

      Этот параметр позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS).

      Пример:

      $ kinit user
      Password for user@WIN.REDOS:

      Для контроллера домена на базе Windows Server 2003 выполните дополнительные действия

      В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

      [libdefaults]
      ...
      default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
      default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
      preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

      Перезагрузите компьютер и попробуйте зайти под учетной записью доменного пользователя.

      1. Проверьте состояние службы sssd, в выводе статуса должно быть написано active (running)
      $ systemctl status sssd
        sssd.service - System Security Services Daemon
         Loaded: loaded (/usr/lib/systemd/system/sssd.service; enabled; vendor preset: disabled)
         Active: active (running) since Вт 2019-08-27 11:26:16 MSK; 2h 5min ago
       Main PID: 31918 (sssd)
         CGroup: /system.slice/sssd.service
                 ├─31918 /usr/sbin/sssd -i --logger=files
                 ├─31919 /usr/libexec/sssd/sssd_be --domain implicit_files --uid 0 --gid 0 --logger=files
                 ├─31920 /usr/libexec/sssd/sssd_be --domain win.redos --uid 0 --gid 0 --logger=files
                 ├─31921 /usr/libexec/sssd/sssd_nss --uid 0 --gid 0 --logger=files
                 └─31922 /usr/libexec/sssd/sssd_pam --uid 0 --gid 0 --logger=files
      1. Пример настройки файла конфигурации /etc/samba/smb.conf

        /etc/samba/smb.conf

        [global]
        workgroup = WIN
        realm = WIN.REDOS
        security = ADS
        idmap config * : range = 10000-99999
        client min protocol = NT1
        client max protocol = SMB3
        dedicated keytab file = /etc/krb5.keytab
        kerberos method = secrets and keytab
        winbind refresh tickets = Yes
        machine password timeout = 60
        vfs objects = acl_xattr
        map acl inherit = yes
        store dos attributes = yes
        
        passdb backend = tdbsam
        printing = cups
        printcap name = cups
        load printers = yes
        cups options = raw
      2. Также можно добавить новое правило в /etc/sudoers, чтобы доменный пользователь из группы администраторов домена мог получать права администратора локального компьютера:Откройте файл /etc/sudoers для редактирования от пользователя root:
        $ sudo nano /etc/sudoers

        Добавьте в файл следующую строку, сохраните изменения и закройте редактор.

        %администраторы домена ALL=(ALL) ALL

        Данный параметр можно добавить командой:

        sudo sh -c "echo '%администраторы домена ALL=(ALL) ALL' >> /etc/sudoers"
      3. Перезагрузите компьютер и войдите в ОС под учетной записью доменного пользователя.

      Важно

      Имя доменного пользователя должно состоять из латинских символов (кириллицу в имени пользователя использовать не рекомендуется).

      Список команд для быстрого ввода в домен через консоль

      В данном разделе собраны команды из раздела Ввод в домен консольными командами. Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).

      1. Настройте NTP-клиент

      Здесь введите своё FQDN имя контроллера домена.

      sudo sed -i 's/server/#server/g' /etc/chrony.conf
      sudo sh -c "echo 'server <FQDN_имя_контроллера_домена> iburst' >> /etc/chrony.conf"
      sudo systemctl restart chronyd
      chronyc tracking

      2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.

      Для РЕД ОС версии 7.1 или 7.2:

       sudo yum install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
       realm discover <имя_домена> 
       sudo realm join -U -v <имя_администратора_домена> <имя_домена>

      Для РЕД ОС версии 7.3 и старше:

       sudo dnf install -y realmd sssd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation
       realm discover <имя_домена> 
       sudo realm join -U -v <имя_администратора_домена> <имя_домена>

      При успешном вводе машины в домен вы увидите сообщение «* Successfully enrolled machine in realm»

      3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние директории.

      sudo sed -i 's/use_fully_qualified_names = True/use_fully_qualified_names = False/g' /etc/sssd/sssd.conf
      sudo sh -c "echo 'ad_gpo_access_control = permissive' >> /etc/sssd/sssd.conf"
      sudo authconfig --enablemkhomedir --enablesssdauth --updateall

      4. Чтобы убрать предупреждение "rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)" при выводе команды testparm -s:

      sudo sh -c "echo '*               -       nofile          16384' >> /etc/security/limits.conf"
      sudo sh -c "echo 'root            -       nofile          16384' >> /etc/security/limits.conf"

      Если контроллер домена основан на базе Windows Server 2003, то выполните следующую команду:

      sudo sed -i '/[libdefaults]/a     default_tkt_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1,DES-CBC-MD5n    default_tgs_enctypes = RC4-HMAC, DES-CBC-CRC, DES3-CBC-SHA1, DES-CBC-MD5' /etc/krb5.conf
      1. Для доступа доменных пользователей к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно изменить параметр default_ccache_name:
      sudo sed -i 's;default_ccache_name = KEYRING:persistent:%{uid};default_ccache_name = FILE:/tmp/krb5cc_%{uid};g' /etc/krb5.conf

      Добавление параметра default_realm = REALM NAME в секцию [libdefaults] позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS). Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

      sudo sed -i '/krb5cc_%{uid}/a default_realm = REALM NAME' /etc/krb5.conf
      1. Также можно добавить новое правило в /etc/sudoers, чтобы доменный пользователь из группы администраторов домена мог получать права администратора локального компьютера:Данный параметр можно добавить командой:
      sudo sh -c "echo '%администраторы домена ALL=(ALL) ALL' >> /etc/sudoers"

      Ограничение доступа входа на ПК для доменных пользоватлей

      Для данной настройки необходимо внести изменения в конфигурационный файл sssd.conf

      access_provider = simple
      simple_allow_users = user1@example.com, user2@example.com 
      simple_allow_groups = group@example.com

      Параметр access_provider = simple определяет список доступа на основе имен пользователей или групп.

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Содержание

      1. 2.2 Ввод Windows в домен IPA
      2. Настройка IPA
      3. Настройка Windows
      4. Настройка удаленного рабочего стола
      5. 2.1.2 Ввод компьютера в домен Windows
      6. Ввод в домен с помощью скрипта
      7. Ввод в домен консольными командами (для быстрого ввода можно использовать команды в подразделе «Список команд для ввода в домен через консоль» )
      8. Список команд для быстрого ввода в домен через консоль
      9. 1.8.2 Ввод ПК с SecretNet 1.10 в домен AD

      2.2 Ввод Windows в домен IPA

      Предполагается, что у вас уже есть IPA домен, готовый к использованию. В этом примере IPA устанавливается в домен ipa.test.

      IPA будет предоставлять услугу аутентификации для клиента Windows с помощью Kerberos. IPA не может поддерживать базу данных учетных записей для компьютеров Windows таким же образом, что и Active Directory, поэтому нам по-прежнему необходимо создавать локальные учетные записи Windows для каждого пользователя на компьютере под управлением Windows, хотя у них не будет паролей, установленных в Windows.

      Настройка IPA

      AD1 1

      Войдите в IPA и на вкладке Identity, выберите Hosts. Нажмите кнопку +Add, чтобы создать новый хост.

      Введите имя хоста компьютера Windows, в примере — «test-vm». Укажите DNS зону.

      AD2 2

      Далее на сервере IPA нужно запустить команду ipa-getkeytab для создания файла keytab для созданного хоста. Чтобы выполнять административные задачи на сервере IPA, сначала нужно аутентифицироваться, делается это с помощью команды kinit, укажите пользователя admin, как показано ниже.

      Затем вы можете запустить команду «klist», чтобы проверить, что у вас есть действительный билет керберос.

      Нужно выполнить команду ipa-getkeytab, как показано ниже.

      Keytab successfully retrieved and stored in: krb5.keytab.windows

      -s используется для указания IPA-сервера, в примере dc.ipa.test

      -p используется для указания главного имени хоста, которым в примере является «host/», за которым следует полное доменное имя (FQDN) компьютера Windows, которое мы добавили через веб-интерфейс IPA ранее.

      -e используется для указания типа шифрования, используемого для генерации ключей, здесь мы используем arcfour-hmac.

      -k используется для указания файла keytab, который мы хотим создать, в этом случае файл krb5.keytab.windows будет создан в текущем рабочем каталоге.

      -P используется для указания пароля для ключа, вам нужно будет запомнить его, поскольку мы войдем на компьютер с Windows позже.

      Если вы получите сообщение об ошибке » Kerberos user principal could not be found. Do you have a valid credential cache?» Убедитесь, что вы успешно выполнили команду «kinit».

      Необходимо, что бы компьютер с ОС Windows разрешал имя сервера IPA с помощью DNS, поэтому убедитесь, что он имеет соответствующую конфигурацию DNS. В примере IPA-сервер управляет DNS зонами, по этому Windows-машина использует IPA в качестве DNS сервера.

      На компьютере Windows откройте командную строку от имени администратора и выполните приведенные ниже команды. Обратите внимание, что Realm должен быть указан заглавными буквами. В примере REALM – IPA.TEST, KDC — IPA-сервер dc.ipa.test

      В разделе «Параметры конфигурации компьютера» выберите «Конфигурация Windows»> «Параметры безопасности»> «Локальные политики»> «Параметры безопасности»> «Сетевая безопасность настройка типов шифрования, разрешенных Kerberos.
      ADsdsd
      В этом случае мы выберем все, кроме первых двух параметров DES. Выберите «Применить» или «ОК», чтобы сохранить изменения.
      AD10
      Перезагрузите компьютер Windows, чтобы применить изменения ksetup.

      Создайте локальную учетную запись пользователя с именем пользователя IPA. Пароль задавать не нужно..

      Вы можете создать локальную учетную запись пользователя, нажав клавишу Windows + R, чтобы открыть окно «Выполнить», и введите «mmc», затем нажмите «ОК».

      В открывшемся MMC, выберите «Файл»> «Добавить или удалить оснастку».
      ADWIND232
      В следующем окне выберите «Локальные пользователи и группы», затем нажмите кнопку «Добавить», затем «Готово», затем «ОК». Отсюда вы можете создавать свои локальные учетные записи пользователей в Windows. Помните, что не нужно добавлять пароли. Имя пользователя также должно совпадать с именем пользователя, которое существует в IPA.

      Настройка удаленного рабочего стола

      По умолчанию новая учетная запись пользователя не сможет подключаться по удаленному рабочему столу. Находясь в оснастке «Локальные пользователи и группы» добавьте созданного пользователя в группу «пользователи удаленного рабочего стола»

      ADWIND232157

      Вот и все, теперь вы можете войти в Windows с этой учетной записью. Вам нужно будет указать имя пользователя @REALM для входа в систему, поэтому, если вы будете следовать этому примеру, используйте win-test@IPA.TEST.
      ADWIND2051

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Источник

      2.1.2 Ввод компьютера в домен Windows

      Имя ПК должно содержать только буквы (a–z), цифры (0–9), знак »минус» (-) и точку (.).

      Данная инструкция не подходит для ПК, на которых установлено ПО SecretNet версии 1.9.

      Ввод в домен с помощью скрипта

      Установим скрипт для автоматизации ввода компьютера в домен из репозитория РЕД ОС:
      для РЕД ОС версии 7.1 или 7.2:

      для РЕД ОС версии 7.3 и старше:

      Для запуска скрипта необходимы права пользователя root.
      Скрипт может выполнятся в трех режимах:
      — с графическим интерфейсом;
      — в консоли (интерактивный режим);
      — в консоли с входными параметрами.
      Для запуска скрипта ввода в домен с графическим интерфейсом, перейдите в главное Меню — Администрирование — Ввод ПК в домен.

      join to domain

      После ввода пароля от root, появится основное окно программы, где вводятся значения для добавления компьютера в домен.

      domain join2

      Для запуска скрипта в консоли в интерактивном режиме добавления к домену, выполните:

      при этом скриптом будет запрошен ввод имени домена, компьютера, а также имя администратора домена и его пароль.

      join to domain.sh
      Возможен также запуска скрипта с параметрами в консоли:

      Описание параметров запуска:

      -d имя домена
      -n имя компьютера
      -u имя администратора домена
      -p пароль администратора домена
      -g запуск графического интерфейса

      PS: если на ПК установлен Secret Net, то рекомендуется воспользоваться автоматическим скриптом ввода хоста в домен Windows.

      Ввод в домен консольными командами (для быстрого ввода можно использовать команды в подразделе «Список команд для ввода в домен через консоль» )

      Подключаемся к домену Active Directory с помощью realmd.

      Realmd (Realm Discovery) – это сервис, позволяющий производить настройку сетевой аутентификации и членства в домене MS AD без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) (также может использоваться и Winbind).

      Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:

      Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:

      После изменений конфигурационного файла вам надо перезапустить chronyd:

      Проверьте работу chrony с помощью двух команд::

      Пример вывода команды:

      Пример вывода команды:

      для РЕД ОС версии 7.1 или 7.2:

      для РЕД ОС версии 7.3 и старше:

      Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

      Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ «не найдено». Mdns кэширует данные и работает с демоном Avahi. Модифицируйте эту «схему» к классическому виду:

      В РЕД ОС 7.3 изменять конфигурацию /etc/nsswitch.conf следует через файл

      после чего выполнить применение настроек:

      При успешном вводе ПК в домен, в конце вы увидите сообщение «* Successfully enrolled machine in realm»

      Приведите строки к указанному ниже виду:

      Для доступа к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно закомментировать строку

      После нее вставить строку:

      Изменить значение параметра можно следующей командой:

      В секцию [libdefaults] нужно добавить параметр default_realm = REALM NAME

      Пример записи для домена win.redos:

      Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

      Этот параметр позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS).

      В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

      Перезагрузите компьютер и попробуйте зайти под учетной записью доменного пользователя.

      Добавьте в файл следующую строку, сохраните изменения и закройте редактор.

      Данный параметр можно добавить командой:

      Имя доменного пользователя должно состоять из латинских символов (кириллицу в имени пользователя использовать не рекомендуется ).

      Список команд для быстрого ввода в домен через консоль

      В данном разделе собраны команды из раздела Ввод в домен консольными командами. Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).

      1. Настройте NTP-клиент

      Здесь введите своё FQDN имя контроллера домена.

      2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.

      Для РЕД ОС версии 7.1 или 7.2:

      Для РЕД ОС версии 7.3 и старше:

      При успешном вводе машины в домен вы увидите сообщение «* Successfully enrolled machine in realm»

      3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние категории.

      Добавление параметра default_realm = REALM NAME в секцию [libdefaults] позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS). Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

      Источник

      1.8.2 Ввод ПК с SecretNet 1.10 в домен AD

      Ввод в домен осуществляется при помощи утилиты domain.sh.
      Скачайте дополнительный архив, содержащий скрипты метода ввода, основанные на сценарии SecretNet версии 1.9.
      Выполните установку следующей командой:

      Далее требуется задать поисковый домен вашего AD-сервера.

      — В графической оболочке Cinnamon:
      «Сеть» — «Параметры сети»:

      cinnamon network

      cinnamon dns

      — В графической оболочке Mate:
      «Сеть» — «Изменить соединения»:

      mate network

      Задать DNS и поисковый домен:

      mate dns

      Для дальнейшей работы необходимо перевести SELinux в режим permissive, для этого в файле /etc/selinux/config нужно изменить значение параметра SELINUX=enforcing на SELINUX=permissive. Действия выполняются от root-пользователя:

      Затем производим ввод в домен при помощи утилиты:

      Также необходимо выполнить синхронизацию времени на клиенте и сервере:

      Для того чтобы можно было использовать билет Кербероса (временные данные, выдаваемые клиенту для аутентификации на сервере) для входа в общие ресурсы, следует установить в /etc/security/pam_winbind.conf значение параметра krb5_ccache_type = FILE ().

      Так же требуется отредактировать файл /etc/krb5.conf следующим образом:

      После успешного ввода в домен требуется получить ticket:

      и проверить наличие ticket kerberos:

      Вход в систему под именем учетной записи доступен в формате:

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Источник

      Описание стенда

      Сервер:

      ОС: Windows server 2019

      доменное имя: server.astradomain.ad

      Клиент:

      ОС: РЕД ОС

      Настройка сервера

      Установка сервиса Active Directory

      При необходимости измените имя сервера. Это необходимо сделать до выполнения его настройки.

      Имя сервера можно задать в окне менеджера сервера:

      Процедура установки состоит из следующих шагов:

      1. Добавление сервисов.
      2. Настройка домена.
      3. Добавление новых пользователей.
      4. Установка центра сертификации Active Directory.

      Шаг 1. Добавление необходимых сервисов

      Добавьте на сервер сервисы Active Dirrectory и DNS:

      1. Откройте окно для добавления ролей в менеджере сервера:

      2. В окне для выбора сервисов установите галочки Active Directory Domain Services и DNS Server:

      3. Нажмите Next.

      4. Во всех остальных пунктах даём согласие на установку.

      Шаг 2. Настройка домена

      После завершения установки сервисов вам надо перейти к настройке домена:

      1. Откройте меню уведомлений и выберите пункт «Promote this server to a domain controller»:

      2. На вкладке Deployment Configuration выберите опцию для создания нового домена и укажите его название:

      3. Введите пароль сброса:

      4. На вкладке DNC Options ничего не меняйте, т.к. сервер сам является DNS сервером:

       

      5. На следующих трёх вкладках также оставьте всё как есть:

      6. Перед запуском процесса установки ознакомьтесь с уведомлениями об ошибках. Если необходимо, устраните возникшие проблемы. В нашем случае уведомления не являются критичными:

      После установки Active Directory сервер перезагрузится.  Если настройка прошла успешно, то на экране отобразится окно для входа в аккаунт доменного пользователя. 

      Шаг 3. Добавление новых пользователей

      Чтобы добавить новых пользователей:

      1. Откройте утилиту управления пользователями и компьютерами домена:

      2. Для удобства создайте отдельную директорию Domain Users, в которой будете создавать доменных пользователей:

      3. Добавьте нового пользователя User:

      4. Аналогичным образом добавьте остальных пользователей, которые должны быть в домене.

      Шаг 4. Установка центра сертификации Active Directory

      После этого можно приступить к настройке центра сертификации и выдаче сертификатов для пользователей. Это можно сделать по данной инструкции.

      Настройку авторизации с помощью сертификатов можно реализовать по этой инструкции.

      Для аутентификации пользователя через linux машины необходимы:

      • токен с ключами и сертификатов;
      • корневой сертификат УЦ (его необходимо отправить пользователям).

      Чтобы получить корневой центр УЦ:

      1. Выберите пункт меню Tools и подпункт Certification Authority.

      2. Два раза щёлкните по строке с сертификатом.


      3. В окне сертификата на вкладке Certification Path щёлкните по имени сертификата и нажмите View Certificate.

      4. Нажмите Copy to File и сохраните сертификат в формате BASE64.

      Настройка клиента РЕД ОС

      Добавление пользователя в sudo

      Отредактируйте файл /etc/sudoers

      su 

      sudo nano /etc/sudoers

      И добавьте в него строчку User ALL=(ALL) ALL

      Далее залогиньтесь под пользователем и продолжите работу из-под него.

      Далее установите следующие пакеты:

      sudo dnf update

      sudo dnf upgrade

      sudo dnf install ccid opensc pam_pkcs11 gdm-plugin-smartcard p11-kit join-to-domain

      sudo dnf install -y realmd PackageKit

      sudo dnf install -y krb5-workstation

      sudo dnf install -y nss-tools opensc krb5-pkinit

      Загрузите модуль librtpkcs11ecp.so и установите:

      sudo rpm -i librtpkcs11ecp-2.6.1.0-1.x86_64.rpm

      Настройка DNS

      Через консоль

      Измените имя клиента в нашем домене astradomain.ad на client

      sudo hostnamectl set-hostname client.astradomain.ad

      Узнайте название вашего соединения. Они могут отличаться.

      Название интерфейса, которое использует ваше соединение.

      Адрес dns сервера

      Отключите соединение

      sudo nmcli con down "$CON_NAME"

      Настройте сетевую карту соединения по умолчанию $INT_NAME

      sudo nmcli con mod "$CON_NAME" connection.interface-name $INT_NAME

      Настройте DNS вместо DNS_SERVER_IP указать IP-адрес сервера DNS. При необходимости укажите адрес локального сервера DNS.

      sudo nmcli con mod "$CON_NAME" ipv4.dns "$DNS_SERVER_IP 10.0.2.15"

      sudo nmcli con mod "$CON_NAME" ipv4.ignore-auto-dns yes

      Включите сетевое соединение

      sudo nmcli con up "$CON_NAME"

      Вводите компьютер в домен

      Через графический интерфейс

      Откройте Главное меню Параметры Расширенная конфигурация сети.

      Выберите своё соединение, и на вкладке Параметры IPv4 введите IP клиента (так как на сервере не установлен DHSP) и DNS.

      Обязательно перезагрузите компьютер.

      После перезагрузки, откройте Главное меню  Системные Ввод ПК в домен.

      Выберите параметр «Домен Windows/Samba»

      Далее необходимо ввести параметры для ввода компьютера в домен.

      Обязательно перезагрузите компьютер.

      Узнаем какие пакеты ещё необходимы для подключения к домену

      realm discover astradomain.ad

      Список необходимых для работы пакетов будет выведен в следующем формате:

      required-package: pkg1

      required-package: pkg2

      required-package: pkg3

      Установите отсутствующие пакеты:

      sudo dnf install -y pkg1 pkg2 pkg3 ...

      Если в домене есть пользователь ad_user, к которому можно подключиться с помощью пароля, то можно осуществить проверку настройки получив тикет для него

      kinit ad_user@ASTRADOMAIN.AD

      Проверка получения тикета осуществляется командой

      Удаление тикета

      Проверка аутентификации под пользователем в домене без Рутокена

      su ad_user@astradomain.ad

      Залогиньтесь локальным пользователем для дальнейшей настройки:

      Настройка клиента для аутентификации в домене с помощью Рутокена

      При необходимости удалите старую базу и создайте новую:

      sudo rm -fr /etc/pki/nssdb

      sudo mkdir /etc/pam_pkcs11/nssdb

      sudo chmod 777 /etc/pam_pkcs11/nssdb

      sudo certutil -N -d /etc/pam_pkcs11/nssdb --empty-password

      sudo modutil -dbdir /etc/pam_pkcs11/nssdb -add "Rutoken PKCS11" -libfile /usr/lib64/librtpkcs11ecp.so

      Установите корневой сертификат в /etc/pki/ca-trust/source/anchors/.

      Следующая команда используется из директории, в которой находится корневой сертификат:

      sudo cp ca_cert.cer /etc/pki/ca-trust/source/anchors/

      sudo update-ca-trust force-enable

      sudo update-ca-trust extract

      sudo certutil -d /etc/pam_pkcs11/nssdb -A -n 'AD-ROOT' -t CT,CT,CT -a -i /etc/pki/ca-trust/source/anchors/ca_cert.cer

      Проверьте, что сертификат виден на токене и в базе данных. Система должна запросить PIN-код Рутокена и выдать сертификат с карточки с правами u,u,u и корневого сервера.

      sudo certutil -L -d /etc/pam_pkcs11/nssdb -h all

      Certificate Nickname Trust Attributes
      SSL,S/MIME,JAR/XPI

      Enter Password or Pin for "Rutoken ECP <no label>":
      AD-ROOT CT,C,C
      Rutoken ECP <no label>:te-Rutoken-0329dc84-5937-4b1e-adaf-5cbfe977cda0_E u,u,u

      Добавьте модуль Рутокен к p11-kit

      sudo nano /usr/share/p11-kit/modules/Rutoken.module

      Добавить в файл следующий текст:

      module:/usr/lib64/librtpkcs11ecp.so

      Сделайте модуль Рутокен по умолчанию для p11-tools

      sudo modutil -default "Rutoken PKCS11" -dbdir /etc/pam_pkcs11/nssdb -mechanisms RSA:DSA:RC4:DES

      Отредактируйте pam_pkcs11

      sudo nano /etc/pam_pkcs11/pam_pkcs11.conf

      pam_pkcs11 {

        nullok = false;

        debug = true;

        use_first_pass = false;

        use_authtok = false;

        card_only = false;

        wait_for_card = false;

        use_pkcs11_module = rutokenecp;

        # Aktiv Rutoken ECP

        pkcs11_module rutokenecp {

          module = /usr/lib64/librtpkcs11ecp.so;

          slot_num = 0;

          support_thread = true;

          ca_dir = /etc/pam_pkcs11/cacerts;

          crl_dir = /etc/pam_pkcs11/crls;

          cert_policy = signature;

        }

        use_mappers = ms;

        mapper_search_path = /usr/lib64/pam_pkcs11;

        mapper ms {

        debug = false;

        module = internal;

        ignorecase = true;

        ignoredomain = true;

        domain = "ASTRADOMAIN.AD";

       }

      }

      Настройте PAM стандартным средством RHEL authselect.

      sudo authselect select sssd with-smartcard with-mkhomedir --force

      Общий вид /etc/pam.d/system-auth:

      sudo nano /etc/pam.d/system-auth

      auth        required                                     pam_env.so

      auth        required                                     pam_faildelay.so delay=2000000

      auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

      auth        [default=2 ignore=ignore success=ok]         pam_localuser.so

      auth        [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_sss.so try_cert_auth

      auth        sufficient                                   pam_unix.so nullok try_first_pass

      auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

      auth        sufficient                                   pam_sss.so forward_pass

      auth        required                                     pam_deny.so

      account     required                                     pam_unix.so

      account     sufficient                                   pam_localuser.so

      account     sufficient                                   pam_usertype.so issystem

      account     [default=bad success=ok user_unknown=ignore] pam_sss.so

      account     required                                     pam_permit.so

      password    requisite                                    pam_pwquality.so try_first_pass local_users_only

      password    sufficient                                   pam_unix.so sha512 shadow nullok try_first_pass use_authtok

      password    sufficient                                   pam_sss.so use_authtok

      password    required                                     pam_deny.so

      session     optional                                     pam_keyinit.so revoke

      session     required                                     pam_limits.so

      -session    optional                                     pam_systemd.so

      session     optional                                     pam_oddjob_mkhomedir.so umask=0077

      session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid

      session     required                                     pam_unix.so

      session     optional                                     pam_sss.so

      Общий вид /etc/pam.d/password-auth:

      sudo nano /etc/pam.d/password-auth

      auth        required                                     pam_env.so

      auth        required                                     pam_faildelay.so delay=2000000

      auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

      auth        [default=1 ignore=ignore success=ok]         pam_localuser.so

      auth        [success=done authinfo_unavail=ignore ignore=ignore default=die] pam_sss.so try_cert_auth

      auth        sufficient                                   pam_unix.so nullok try_first_pass

      auth        [default=1 ignore=ignore success=ok]         pam_usertype.so isregular

      auth        sufficient                                   pam_sss.so forward_pass

      auth        required                                     pam_deny.so

      account     required                                     pam_unix.so

      account     sufficient                                   pam_localuser.so

      account     sufficient                                   pam_usertype.so issystem

      account     [default=bad success=ok user_unknown=ignore] pam_sss.so

      account     required                                     pam_permit.so

      password    requisite                                    pam_pwquality.so try_first_pass local_users_only

      password    sufficient                                   pam_unix.so sha512 shadow nullok try_first_pass use_authtok

      password    sufficient                                   pam_sss.so use_authtok

      password    required                                     pam_deny.so

      session     optional                                     pam_keyinit.so revoke

      session     required                                     pam_limits.so

      -session    optional                                     pam_systemd.so

      session     optional                                     pam_oddjob_mkhomedir.so umask=0077

      session     [success=1 default=ignore]                   pam_succeed_if.so service in crond quiet use_uid

      session     required                                     pam_unix.so

      session     optional                                     pam_sss.so

      Настройте SSSD

      Для того, чтобы аутентификация корректно работала на лок скрине. В настройках sssd нужно указать название сервиса, использующегося при аутентификации через лок скрин, чтобы сделать его доверенным. У каждой графической оболочки свое название данного сервиса. Узнать название вашей графической оболочки можно с помощью команды:

      Название графической оболочки

      echo $XDG_CURRENT_DESKTOP

      Вот список соответствий названий графических оболочек и сервиса, используемого лок скрином. Данный список не является полным.

      MATE → mate-screensaver
      X-Cinnamon → cinnamon-screensaver
      fly → <Отсутствует>
      KDE → kde
      GNOME → xdg-screensaver

      Сконфигурируем SSSD. Для этого отредактируем файл /etc/sssd/sssd,conf.

      sudo nano /etc/sssd/sssd.conf

      Общий вид /etc/sssd/sssd.conf:

      [sssd]
      domains = astradomain.ad
      config_file_version = 2
      services = nss, pam

      [domain/astradomain.ad]
      ad_domain = astradomain.ad
      ad_server = WIN-HAFG0T1O90S.astradomain.ad
      krb5_realm = ASTRADOMAIN.AD
      case_sensitive = Preserving
      realmd_tags = manages-system joined-with-samba

      # Кэширование аутентификационных данных, необходимо при недоступности домена
      cache_credentials = True

      id_provider = ad
      access_provider = ad
      krb5_store_password_if_offline = True
      default_shell = /bin/bash
      ldap_id_mapping = True
      ad_gpo_access_control = disabled

      # Включает/Отключает режим полных имён пользователей при входе
      use_fully_qualified_names = False

      # Определение домашнего каталога для доменных пользователей
      fallback_homedir = /home/%u@%d

      # Параметр access_provider = simple Определяет список доступа на основе имен пользователей или групп.
      #access_provider = simple
      #simple_allow_users = user1@example.com, user2@example.com
      #simple_allow_groups = group@example.com

      # Включает/Отключает перечисление всех записей домена, операция(id или getent) может занимать длительное время при enumerate = true в больших инфраструктурах
      enumerate = false

      # Параметр ignore_group_members может ускорить авторизацию в домене если домен имеет большое количество пользователей, групп и вложенных OU
      # Если установлено значение TRUE, то атрибут членства в группе не запрашивается с сервера ldap и не обрабатывается вызовов поиска группы.
      # ignore_group_members = True

      # Поиск ссылок может привести к снижению производительности в средах, которые их интенсивно используют.
      # true - не рекомендуется для больших инфраструктур. Отключаем этот поиск.
      #ldap_referrals = false

      # Включает/Отключает динамические обновления DNS, если в статусе sssd ошибка "TSIG error with server: tsig verify failure", то установите dyndns_update = false
      #dyndns_update = true
      #dyndns_refresh_interval = 43200
      #dyndns_update_ptr = true
      #dyndns_ttl = 3600

      #[nss]
      # Сколько секунд nss_sss должен кэшировать перечисления (запросы информации обо всех пользователях) Default: 120
      #entry_cache_timeout = 15
      # Задает время в секундах, в течение которого список поддоменов будет считаться действительным. Default: 60
      #get_domains_timeout = 10

      [pam]
      pam_cert_auth = True
      debug_level = 10
      pam_cert_db_path = /etc/pki/ca-trust/source/anchors/ca_cert.cer
      pam_p11_allowed_services = +<mate-screensaver>

      [certmap/files/ms]
      matchrule = <SAN:ntPrincipalName>.*@domain
      maprule =({subject_nt_principal.short_name})

      Измените конфиг Kerberos

      Общий вид файла:

      includedir /etc/krb5.conf.d/

      [logging]

          default = FILE:/var/log/krb5libs.log

          kdc = FILE:/var/log/krb5kdc.log

          admin_server = FILE:/var/log/kadmind.log

      [libdefaults]

      #    dns_lookup_realm = false  # Отключить поиск kerberos-имени домена через DNS

          dns_lookup_kdc = true # Включить поиск kerberos-настроек домена через DNS

          ticket_lifetime = 24h

          renew_lifetime = 7d

          forwardable = true

          rdns = false

      #    spake_preauth_groups = edwards25519

          default_ccache_name = FILE:/tmp/krb5cc_%{uid}

          default_realm = ASTRADOMAIN.AD

          pkinit_kdc_hostname = SERVER.ASTRADOMAIN.AD

          pkinit_anchors = DIR:/etc/pki/ca-trust/source/anchors/

          pkinit_identities = PKCS11:librtpkcs11ecp.so

          pkinit_eku_checking = none

          canonicalize = True

      default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
      default_tkt_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5
      preferred_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 RC4-HMAC DES-CBC-CRC DES3-CBC-SHA1 DES-CBC-MD5

      [realms]

      ASTRADOMAIN.AD = {

          kdc = server.astradomain.ad # Primary Domain Controller

          admin_server = server.astradomain.ad # Primary Domain Controller

          default_domain = astradomain.ad # Domain name

      }

      [domain_realm]

      .astradomain.ad = ASTRADOMAIN.AD

      astradomain.ad = ASTRADOMAIN.AD

      [appdefaults]

              pam = {

                      debug = true

              }

      Обязательно перезагрузите компьютер.

      Проверьте аутентификацию после перезагрузки.

      Содержание

      1. 3.1 Общие положения
      2. 7.13 Получение технической информации о ПК
      3. inxi
      4. hardinfo
      5. lshw
      6. lshw-gui
      7. hwinfo
      8. sensors
      9. Просмотр датчиков
      10. hddtemp
      11. hw-probe
      12. Стандартные средства и команды операционной системы РЕД ОС
      13. 2.3 Ввод РЕД ОС в домен IPA
      14. Предварительная настройка РЕД ОС
      15. Установка ipa-client
      16. 2.1.2 Ввод компьютера в домен Windows
      17. Ввод в домен с помощью скрипта
      18. Ввод в домен консольными командами (для быстрого ввода можно использовать команды в подразделе «Список команд для ввода в домен через консоль» )
      19. Список команд для быстрого ввода в домен через консоль
      20. 2.4 Последовательность установки

      3.1 Общие положения

      Перед началом работы с РЕД ОС пользователю необходимо изучить данное руководство и руководства пользователя, поставляемые с техническими средствами СВТ в составе оборудования рабочего места пользователя. Также пользователь должен пройти инструктаж по технике безопасности при работе с электроприборами и СВТ.

      Для начала работы в РЕД ОС пользователю необходимо убедиться в работоспособности СВТ своего рабочего места. После проверки и подготовки рабочего места пользователь для начала работы с РЕД ОС должен произвести включение оборудования СВТ (ПЭВМ) рабочего места.

      Базовая система ввода/вывода (BIOS) персонального компьютера пользователя должна быть настроена на автоматическую загрузку операционной системы с локального накопителя жестких дисков.

      После включения питания ПЭВМ и выполнения загрузки BIOS производится запуск РЕД ОС. При запуске РЕД ОС в течение заданного интервала времени предоставляет пользователю возможность выбора варианта загрузки ОС, с которым будет произведена загрузка и работа РЕД ОС.

      1.1

      По умолчанию предлагаются 2 варианта загрузки: обычная загрузка в штатном режиме и загрузка ОС в режиме восстановления с минимальным числом настроек для возможности восстановления системы после сбоя.

      Если в течение заданного интервала времени пользователь не выбрал вариант загрузки клавишами «вверх/вниз», то операционная система производит автоматическую загрузку варианта заданного по умолчанию.

      Далее производится загрузка РЕД ОС, которая визуально для пользователя может проходить двумя способами:

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Источник

      7.13 Получение технической информации о ПК

      Для того, чтобы посмотреть технические данные ПК, на котором установлена операционная система РЕД ОС, можно воспользоваться специализированными программами.

      inxi

      Инструмент для командной строки, который позволяет отображать информацию о системе и об аппаратной части компьютера.

      Установка.
      Если вы используете РЕД ОС версии 7.1 или 7.2, выполните команду:

      Если вы используете РЕД ОС версии 7.3 и старше, выполните команду:

      Для вывода полной информации, в консоли вводим:

      Например для просмотра информации по видеокарте:

      hardinfo

      Это программа так же предназначена для вывода информации о системе. Однако, в отличие от предыдущей, она имеет свой графический интерфейс.

      Установка.
      Если вы используете РЕД ОС версии 7.1 или 7.2, выполните команду:

      Если вы используете РЕД ОС версии 7.3 и старше, выполните команду:

      После завершения установки программа появится в «Меню > Администрирование > Информация о системе». После запуска программа открывает интуитивно понятный интерфейс:

      hardinfo

      В левой части находится список категорий, в правой отображается вся доступная информация по выбранному пункту.

      В HardInfo есть возможность проводить мониторинг системы, то есть в реальном времени отображать информацию о запущенных процессах, загруженности процессора, использовании дискового пространства.

      Немаловажной функцией программы является построение отчетов, которые могут быть сохранены в HTML-формате. При этом вы можете выбрать, какие категории в него включить.

      lshw

      Ещё одна консольная утилита для просмотра информации о характеристиках компьютера.

      Установка.
      Если вы используете РЕД ОС версии 7.1 или 7.2, выполните команду:

      Если вы используете РЕД ОС версии 7.3 и старше, выполните команду:

      Данная утилита требует для запуска права суперпользователя:

      Используя следующие параметры, можно выбрать формат вывода:

      Пример запуска утилиты для получения основной информации о системе:

      lshw-gui

      Простой интерфейс для просмотра информации о аппаратном обеспечении компьютера.

      Установка.
      Если вы используете РЕД ОС версии 7.1 или 7.2, выполните команду:

      Если вы используете РЕД ОС версии 7.3 и старше, выполните команду:

      lshw gui

      В левой части окна отображается оборудование, а в правой части подробная информация о выбранном пункте. lshw-gui позволяет сохранить полученную информацию простым текстом, а так же в XML, HTML, JSON форматах.

      hwinfo

      Консольная утилита для получения информации об аппаратном обеспечении компьютера. Она способна выводить информацию об отдельных категориях аппаратных компонентов, что позволяет получить компактный листинг.

      Установка.
      Если вы используете РЕД ОС версии 7.1 или 7.2, выполните команду:

      Если вы используете РЕД ОС версии 7.3 и старше, выполните команду:

      Для просмотра полной информации о аппаратных компонентах ПК достаточно ввести команду без параметров:

      Однако, полученный вывод не всегда удобен для чтения. Для получения краткого списка компонентов используется параметр short. Он позволяет скрыть подробную информацию о найденных аппаратных компонентах:

      Как видно из примера выше, параметры в этой программе записываются через двойной дефис.

      Так же вы можете выбрать с помощью параметров определённую категорию аппаратных компонентов для просмотра:

      Если вам нужно получить информацию только об одном устройстве из определённой категории, используйте параметр only. Например, для просмотра информации по разделу жёсткого диска /dev/sda1, команда будет иметь вид:

      Для сохранения журнала работы утилиты в файле достаточно использовать параметр —log с последующим именем файла. В файле сохраняется как журнал работы утилиты, так и выводимая в результате ее работы информация.

      Файл будет сохранён в корневом каталоге пользователя.

      Чтобы сохранить в файл только результат вывода команды howinfo, используется формат:

      Для получения справки по доступным параметрам используется параметр help:

      В качестве примера попробуем вывести данные об оперативной памяти:

      sensors

      Данная утилита — свободное ПО, состоящее из драйверов и утилит, позволяющее отслеживать температуру, напряжение, скорость вращения вентиляторов в вашей системе. Следует помнить, что набор датчиков индивидуален для каждой системы, поэтому некоторые возможности могут быть недоступны.

      Используйте sensors-detect для обнаружения и формирования списка модулей ядра.

      По окончанию определения датчиков будут доступны снимаемые ими значения.

      Просмотр датчиков

      Пример запуска sensors:

      hddtemp

      Для успешного прохождения тестов утилиты hddtemp жесткие диски должны поддерживать SMART.
      Просмотреть температуру можно командой:

      hw-probe

      hw-probe — утилита от создателей сайта https://linux-hardware.org/, позволяет одной лаконичной командой собрать в одном файле все основные сведения о системе, аппаратной части и логах, которые могут быть полезными в поисках решения большинства проблем. Результатом работы программы будет ссылка на веб-страницу, по которой можно найти подробную сводку информации о компьютере.

      Приватная информация (включая имя пользователя, имя компьютера, IP-адрес, MAC-адрес, серийные номера) НЕ собирается в пробе. Инструмент загружает лишь часть SHA512 хэша от MAC-адреса и серийных номеров для идентификации уникальных компьютеров и компонентов. Данные в базу отправляются по зашифрованному соединению HTTPS.

      Чтобы сгенерировать отчет о системе, нужно выполнить команду:

      hw probe all upload id

      Терминал предоставляет ссылку, переходя по которой получаем сведения о системе:
      https://linux-hardware.org/?probe=633bd9595f

      probe VB PC by innotek

      Ниже на этой странице находится необходимый набор логов:

      probe VB PC logs

      При выполнении команды без параметра -upload:

      информация сохранится локально по пути: /root/HW_PROBE/LASTEST/hw.info

      Начиная с версии hw-probe 1.5 можно импортировать отчет в формате html-страницы в указанную директорию:

      Стандартные средства и команды операционной системы РЕД ОС

      Если вам нужна более подробная информация, воспользуйтесь следующими командами из консоли РЕД ОС.

      Рассмотрим вывод смонтированных разделов с типом файловой системы ext4:

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Источник

      2.3 Ввод РЕД ОС в домен IPA

      Предварительная настройка РЕД ОС

      Задайте имя компьютера

      Он должен быть в области домена IPA сервера. Например, если ваш домен example.ru, то хостнейм клиента должен может быть — client.example.ru

      Настройте DNS

      Пропишите настройки DNS и домен в создаваемом клиенте, укажите в качестве DNS ваш IPA сервер и опцию, для того, что бы по DHCP не принимался DNS адрес.

      Для этого, используйте утилиту «Сетевые соединения», расположенную в «Меню» → «Параметры» → «Сетевые соединения» в графическом окружении Cinnamon или «Система» → «Параметры» → «Сетевые соединения» в графическом окружении Mate. Выберите ваше активное подключение, нажмите кнопку «Изменить», перейдите на вкладку «Параметры IPv4», поменяйте «Метод» на «Вручную», в поле «Дополнительные серверы DNS» напишите адрес IPA-сервера (например 172.16.0.11), в поле «Дополнительные поисковые домены» введите поисковый домен (например example.ru), нажмите применить и переподключитесь к сети.

      Проверка настроек

      Проверьте заданные настройки в файле /etc/resolv.conf

      Так же выполните команду:

      в выводе нужно удостоверится, что SRV запись берется из DNS контроллера домена Примерный вывод представлен ниже.

      Установка ipa-client

      Установите ipa-client (в РЕД ОС 7.2 установлен по умолчанию):
      для РЕД ОС версии 7.1 или 7.2:

      для РЕД ОС версии 7.3 и старше:

      Настройте клиента.

      Впишите в команду данные для вашей сети:

      Скрипт установки должен автоматически найти настройки на ipa сервере, вывести их и спросить подтверждение для найденных параметров:

      Затем введите имя администратора. Можно просто использовать администратора по умолчанию IPA, который был создан при установке сервера:

      Введите пароль администратора IPA, который был установлен во время настройки сервера IPA.

      После этого клиент IPA подготовит систему.

      Если установка прошла успешно, в конце вывода вы увидите:

      После этого хост должен появиться в веб-интерфейсе ipa сервера.

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Источник

      2.1.2 Ввод компьютера в домен Windows

      Имя ПК должно содержать только буквы (a–z), цифры (0–9), знак »минус» (-) и точку (.).

      Данная инструкция не подходит для ПК, на которых установлено ПО SecretNet версии 1.9.

      Ввод в домен с помощью скрипта

      Установим скрипт для автоматизации ввода компьютера в домен из репозитория РЕД ОС:
      для РЕД ОС версии 7.1 или 7.2:

      для РЕД ОС версии 7.3 и старше:

      Для запуска скрипта необходимы права пользователя root.
      Скрипт может выполнятся в трех режимах:
      — с графическим интерфейсом;
      — в консоли (интерактивный режим);
      — в консоли с входными параметрами.
      Для запуска скрипта ввода в домен с графическим интерфейсом, перейдите в главное Меню — Администрирование — Ввод ПК в домен.

      join to domain

      После ввода пароля от root, появится основное окно программы, где вводятся значения для добавления компьютера в домен.

      domain join2

      Для запуска скрипта в консоли в интерактивном режиме добавления к домену, выполните:

      при этом скриптом будет запрошен ввод имени домена, компьютера, а также имя администратора домена и его пароль.

      join to domain.sh
      Возможен также запуска скрипта с параметрами в консоли:

      Описание параметров запуска:

      -d имя домена
      -n имя компьютера
      -u имя администратора домена
      -p пароль администратора домена
      -g запуск графического интерфейса

      PS: если на ПК установлен Secret Net, то рекомендуется воспользоваться автоматическим скриптом ввода хоста в домен Windows.

      Ввод в домен консольными командами (для быстрого ввода можно использовать команды в подразделе «Список команд для ввода в домен через консоль» )

      Подключаемся к домену Active Directory с помощью realmd.

      Realmd (Realm Discovery) – это сервис, позволяющий производить настройку сетевой аутентификации и членства в домене MS AD без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) (также может использоваться и Winbind).

      Время на контроллере домена и на клиенте должно быть одинаково. Для синхронизации времени клиентского ПК с контроллером домена используйте клиент chrony. Откройте файл конфигурации NTP клиента CHRONY с помощью команды:

      Удалите или закомментируйте в нем строки с серверами по умолчанию, а в качестве сервера времени укажите сервер контроллера домена:

      После изменений конфигурационного файла вам надо перезапустить chronyd:

      Проверьте работу chrony с помощью двух команд::

      Пример вывода команды:

      Пример вывода команды:

      для РЕД ОС версии 7.1 или 7.2:

      для РЕД ОС версии 7.3 и старше:

      Если нужно получить доступ к ресурсам в уже существующей среде (Windows AD). То необходимо внести изменения в процесс разрешения хостов на linux машине. Отредактируйте /etc/nsswitch.conf. Изначально интересующий нас раздел содержит следующие записи:

      Соответственно, в этом режиме сначала производится поиск в файле /etc/hosts, затем запрос идет к mdns, после чего возвращается ответ «не найдено». Mdns кэширует данные и работает с демоном Avahi. Модифицируйте эту «схему» к классическому виду:

      В РЕД ОС 7.3 изменять конфигурацию /etc/nsswitch.conf следует через файл

      после чего выполнить применение настроек:

      При успешном вводе ПК в домен, в конце вы увидите сообщение «* Successfully enrolled machine in realm»

      Приведите строки к указанному ниже виду:

      Для доступа к сетевым ресурсам без запроса пароля (с помощью Kerberos) в файле /etc/krb5.conf нужно закомментировать строку

      После нее вставить строку:

      Изменить значение параметра можно следующей командой:

      В секцию [libdefaults] нужно добавить параметр default_realm = REALM NAME

      Пример записи для домена win.redos:

      Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

      Этот параметр позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS).

      В связи с тем, что клиент Kerberos в Linux использует самый безопасный алгоритм шифрования при подключении к серверу Kerberos на MS AD, а 2003 версия windows не поддерживает его, вам придется явно указать, какими алгоритмами пользоваться клиенту. Отредактируйте файл /etc/krb5.conf. В секцию [libdefaults] впишите

      Перезагрузите компьютер и попробуйте зайти под учетной записью доменного пользователя.

      Добавьте в файл следующую строку, сохраните изменения и закройте редактор.

      Данный параметр можно добавить командой:

      Имя доменного пользователя должно состоять из латинских символов (кириллицу в имени пользователя использовать не рекомендуется ).

      Список команд для быстрого ввода в домен через консоль

      В данном разделе собраны команды из раздела Ввод в домен консольными командами. Описание всех команд можно посмотреть в вышеуказанном подразделе. Не забудьте выполнить предварительную настройку ПК (задать имя и настроить сетевое соединение).

      1. Настройте NTP-клиент

      Здесь введите своё FQDN имя контроллера домена.

      2. Установите необходимые пакеты, выполните поиск и настройку домена и введите компьютер в домен.

      Для РЕД ОС версии 7.1 или 7.2:

      Для РЕД ОС версии 7.3 и старше:

      При успешном вводе машины в домен вы увидите сообщение «* Successfully enrolled machine in realm»

      3. Отредактируйте файл sssd.conf и разрешите доменным пользователям создавать домашние категории.

      Добавление параметра default_realm = REALM NAME в секцию [libdefaults] позволит пользователям при выполнении команды kinit не указывать полное имя пользователя (то есть можно использовать короткое имя пользователя user вместо user@WIN.REDOS). Добавить параметр можно следующей командой (вместо REALM NAME укажите название своего домена ПРОПИСНЫМИ буквами):

      Источник

      2.4 Последовательность установки

      До того, как будет произведена установка РЕД ОС на жесткий диск СВТ, программа установки работает с образом системы, загруженным в оперативную память компьютера.

      Если инициализация оборудования СВТ завершилась успешно, будет запущен псевдографический интерфейс программы-установщика (anaconda). Процесс установки реализован в виде «мастера» установки, который представляет из себя интерактивный графический интерфейс, в котором пользователю предлагается отвечать на вопросы и указывать необходимые опции РЕД ОС. Мастер установки разделен на шаги, каждый шаг посвящен настройке или установке определенного сервиса системы. Шаги нужно проходить последовательно, переход к следующему шагу происходит по нажатию кнопки «Далее». При помощи кнопки «Назад» при необходимости можно вернуться к уже пройденному шагу и изменить настройки. На некоторых этапах установки возможность перехода к предыдущему шагу ограничена теми шагами, где нет зависимости от данных, введенных ранее.

      Если по каким-то причинам возникла необходимость прекратить установку, нажмите Reset на системном блоке компьютера. Помните, что совершенно безопасно прекращать установку только до шага «Подготовка диска», поскольку до этого момента не производится никаких изменений на жестком диске. Если прервать установку между шагами «Подготовка диска» и «Установка загрузчика», вероятно, что после этого с жесткого диска не сможет загрузиться ни одна из установленных систем.

      Технические сведения о ходе установки можно посмотреть, нажав «Ctrl+Alt+F1», вернуться к программе установки — «Ctrl+Alt+F7». По нажатию «Ctrl+Alt+F2» откроется отладочная виртуальная консоль.

      Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.

      Источник

      image

      Поговорив в прошлых статьях о вариантах, «отечественных» гипервизорах и «отечественных» Операционных Системах, продолжим сбор информации о необходимых системах и сервисах, которые на этих ОСях можно развернуть.

      На самом деле данная статья получилась в основном теоретической. Проблема в том, что ничего нового и оригинально в «отечественных» системах нет. А переписывать в сотый раз одно и тоже, не добавив ничего нового, я смысла не вижу. Так что тут будет сборка и анализ данных касательно импортозамещаемых систем.

      Плюс к этому, более-менее нормальное Wiki есть только у Альт, Astra и Rosa. У Ред ОС есть база знаний (весьма скромная на мой вкус). Причем у Rosa статьи в этом Wiki зачастую устаревшие и неактуальные, датированные 2013-2014 годами и относящиеся к старым дистрибутивам… Но у остальных систем Wiki считай, что вообще нет. Поэтому для дистрибутивов, у которых нет БЗ или Wiki, будем считать, что смотреть надо в Wiki или БЗ их родительского дистрибутива. Для ROSA — CentOS (Red Hat), Astra — Debian, Calculate — Gentoo, Ред ОС — Red Hat, AlterOS — openSUSE, ОСь — CentOS (Red Hat), Ульяновск.BSD — FreeBSD, QP OC — полностью отечественная разработка (по уверениям ее создателей это не Linux).

      Так же я пока опущу тот момент, что я оставляю всю инфраструктуру на базе Microsoft, и начну с основ — DNS, Directory Service, Proxy-server. Ну и далее пойдут user oriented системы и сервисы, типа почтового сервера, офиса, чата и т.д.

      1. Инфраструктура

      1.1. DNS

      DNS-сервер представлен во всех «отечественных» ОС в виде BIND9. Ничего нового. Да и в настройке нет ничего сложного. Только у Calculate в репозитории BIND’a нет. Но есть другие.

      DDNS — чуточку сложнее, но тоже ничего из ряда вон выходящего тут нет.
      Инструкция для Astra
      Инструкция для Альт
      У ROSA в Wiki есть следующая инструкция, не имеющая никакого отношения к реальному положению вещей. Так что будем считать, что инструкцию по настройке DDNS для ROSA нужно искать как относящуюся к CentOS.

      1.2. DHCP

      Опять же — ничего нового, ничего сложного.
      Astra Linux Wiki DHCP
      ROSA Enterprise Linux Server DHCP

      1.3. Directory Service

      1.3.3. ROSA directory

      В интернетах есть упоминания того, что у ROSA есть своя разработка ROSA Directory Server. В их Wiki есть статья на этот счет. Датированная 28 февраля 2013. Есть еще и упоминания интересного инструмента Rosa Server Setup. И я начал копать, интересно же потрогать.

      В общем, в релизе R7 все это выпилили. Как я понял, связано это было с тем, что Rosa пересобрали на базе CentOS вместо Mandriva, а их Directory был основан на Mandriva Directory Server, и на CentOS просто не налез.

      По этому, как и на все другие-остальные ОС, на ROSA можно установить SAMBA, и использовать ее в качестве контроллера домена.

      Почти у всех представленных на рынке «отечественных» ОС есть возможность работать в качестве контроллера домена на базе SAMBA. Но у SAMBA есть серьезное ограничение при работе с Windows based клиентами:

      Samba AD DC функционирует на уровне контроллера доменов Windows 2008 R2. Вы можете ввести его в домен Windows 2012 как клиента, но не как контроллер домена.

      Таким образом, для нормальной работы Windows серверов и рабочих станций, если они нам нужны, а они нужны, так как есть ПО, которое не может работать под Linux (те же САПР-пакеты или устаревшие программные пакеты для устройств, которые вообще ни на что, кроме Win XP поставить невозможно), нам необходимо разворачивать домен на базе Windows или FreeIPA. Развернуть FreeIPA — достаточно трудоемкий процесс, тогда как домен под управлением Windows разворачивается за пару часов. В моем случае — нулевые временные затраты, потому что у меня уже есть домен под управлением Windows. При этом Linux умеет авторизовываться с помощью AD. Справедливости ради замечу, что Windows может авторизовываться через FreeIPA.

      Это я так подвожу к обоснованию того, почему я не хочу отказываться от контроллеров домена на базе Microsoft Windows. Он у меня уже есть. Я не вижу смысла тратить уйму сил и времени, переучивать администраторов, привыкших к удобству графического интерфейса Windows, на работу с текстовыми файликами Linux-систем. Да, у IPA есть web-интерфейс, но это дела не особо меняет. (Линуксоиды меня за эти слова скорее всего четвертуют, но я, как Windows-админ, которому довелось работать с Linux, представляю, о чем говорю. Я не могу взять в толк, как можно любить копаться в текстовых редакторах, вчитываясь в тысячи строк кода, боясь опечататься при внесении изменений. Тогда как графический интерфейс сам тебе все покажет, подскажет, объяснит, только кнопку нажми и нужные параметры введи. Все. Я высказался. Стреляйте!)

      На всякий случай, вот тут есть весьма годная статья о разворачивании IPA-сервера. Вдруг кому-то будет полезной.

      1.4. Proxy-сервер

      Squid можно найти в репозиториях почти всех «отечественных» ОС. Не знаю, как у кого, но у меня Squid развернут уже давно. Меня устраивает.
      Astra Linux Squid
      Альт Squid с авторизацией через AD
      Squid для РЕД ОС с авторизацией через IPA
      У ROSA в Wiki подобной статьи не нашлось. Но литературы по настройке Squiid в интернете очень много. И настройка будет отличаться лишь командой установки менеджеру пакетов и, возможно, расположением файлов-конфигов.

      1.5. Мониторинг

      Zabbix есть в репозиториях Astra, ROSA, Альт, Ред ОС. С этим проблем не возникнет, нужно будет только экспортировать из продуктового сервера всю нужную информацию, а затем импортировать в новый сервер. Да, мы потеряем историю, но это не критично в большинстве случаев. В случаях, когда это критично, можно оставить в работе оба сервера до тех пор, пока информация на старом сервере устареет и потеряет необходимость. И еще один момент. Была информация, судя по которой, можно сделать вывод, что Maria DB попадет в черный список, и будет выпилена из репозиториев всех «отечественных» ОС.
      Установка и настройка Zabbix на Astra
      Установка и настройка Zabbix на Альт
      Установка и настройка Zabbix на РЕД ОС

      1.6. IP-телефония

      В реестре Минсвязи есть несколько программных решений от отечественных разработчиков.
      Ideco PBX не требует под собой ОС. Офф сайт.
      Роском. IP-АТС также не требует под собой работающей ОС. Офф сайт.
      MetPBX тоже не требует ОС под собой. Офф сайт.
      СКИТ.АТС может быть развернута на базе Linux. Офф сайт.
      И, наконец, платформа GetCall, которая также не требует под собой ОС. Офф сайт.

      С IP-телефонией я сам лично дела не имел, так что сказать про них ничего не могу.

      2. User oriented системы

      2.1. Как было указано в одной из предыдущих статей, у нас на Firebird 1.5 работает система под названием ТЕКТОН. Соответственно, при импортозамещении нужно это дело переносить в новую инфраструктуру. У Firebird есть версии для Linux, но в репозиториях «отечественных» ОС версии 1.5 нет. А перейти на более позднюю версию возможности нет, так как на стыке 1 и 2 версий Firebird изменился принцип работы хранимых процедур, и переписывать их никто не будет… да и не сможет… да и смысла нет, так как в ближайшее время эту систему должна заменить 1с. Так что «на первое время» можно будет скачать пакет и установить не из репозитория.

      2.2. Система электронной отчетности ОАЗИС под Linux не работает. Более того, ОАЗИС не работает ни на чем, кроме MSSQL Server. Таким образом, нам потребуется виртуальная машина с Windows и MSSQL Server. Достаточно будет Express версии, так как БД маленькая. Но уйти от этого нельзя, так как на этом основана отчетность в ПФР и налоговую.

      2.3. В качестве веб-сервера MS IIS, естественно, не подойдет, придется использовать входящие в репозитории Apache или Nginx (последний есть в репозиториях ROSA, Альт, Calculate).
      Что из них лучше? Можно ознакомиться со статьей товарища rrromka

      Ссылка на Wiki:
      Для Альт
      Для Calculate
      Для ROSA есть только команды установки, конфигурировать придется по другой литературе. Например, документация с официального сайта. Или можно найти кучу статей по настройке на Хабре.

      2.4. Корпоративный чат c авторизацией через AD. OpenFire или ejabberd. Просто и бесплатно.
      ejabberd на Альт
      Настройка ejabberd без привязки к ОС
      Настройка OpenFire

      В качестве клиента чата можно использовать что угодно, начиная от Pidgin и Miranda, которые есть в сборках ОС, и заканчивая чем-то самописным.

      2.5. Почтовый сервер. Как я уже неоднократно упоминал, мне нравится Zimbra. Её можно развернуть на базе RELS.
      Внедрение Zimbra Collaboration Open Source, авторизация через AD и автоматическое создание почтовых ящиков
      Настройка резервного копирования и восстановления Zimbra OSE целиком и отдельными ящиками
      Создание и обновление списков рассылки в Zimbra Collaboration OSE на основе групп и пользователей Active Directory

      Тут конкретно развертывание на базе RELS

      Так же в репозиториях ОС есть пакеты Postfix/exim/Dovecot.
      Альт Wiki Postfix Dovecot
      Astra Linux. Установка почтового сервера Dovecot
      По поводу настройки Rosa. В их Wiki есть статья по развертыванию почтового сервера, датированная 28 февраля 2013. Беда лишь в том, что там описан метод с использованием RSS (ROSA Server Setup), который, как я говорил выше, был випилен из актуальной версии дистрибутива. Так что теперь можно использовать инструкции по настройке почтового сервера без привязки к ОС. Например, вот такую.

      Так же можно рассмотреть вариант проприетарного ПО в виду «МойОфис сервер» или «CommuniGate Pro«. Но мне этот вариант не нравится. Как минимум потому, что он платный. С другой стороны, поддержка — это хорошо, это гарантия. Но при условии, что почти все администраторы могут гарантировать работоспособность почтового сервера, необходимость поддержки вызывает сомнения. И если CommuniGate это проверенное ПО, то «МойОфис» был создан в 2014 году, и лично у меня вызывает опасения мысль о количестве багов, которые в этой системе еще можно словить. При всем при этом цена обоих продуктов на мой взгляд необоснованно завышена.

      2.6. Резервное копирование в дистрибутивах представлено Bacula. Настройка этого монстра — целая эпопея. Материалов по этому вопросу достаточно много, но все равно это целый труд. Но Bacula — мощный и крайне полезный мультиплатформенный инструмент.
      Инструкция для Astra
      Инструкция для Альт
      Документация на официальном сайте</a
      Официальный сайт проекта web-интерфейса для Bacula

      Взяв в расчет тот факт, что Альт является официальным партнером Bacula в России, можно надеяться на то, что у них в репозитории будут появляться относительно свежие версии этого дистрибутива.

      2.7. Про почтовый клиент Thunderbird, представленный со всех «отечественных» ОС ничего говорить не буду.

      2.8. О web-браузерах Mozilla Firefox, представленном во всех «отечественных» ОС и Яндекс.Браузере, который может быть установлен на всех «отечественные» ОС, так же промолчу.

      2.9. Офисный пакет. LibreOffice входит в состав всех «отечественных» ОС. У него есть 2 платных альтернативы — это «МойОфис» и «Р7-Офис«. У Р-7 есть тестовая версия дистрибутива «на попробовать». Можно запросить здесь. Что касается «МойОфис», то я просто оставлю тут вот эту ссылку и вот эту ссылку (особое внимание советую уделить комментариям).

      2.10. 1С: ПРЕДПРИЯТИЕ. Например, ВСЕ ВЕРСИИ ASTRA LINUX СОВМЕСТИМЫ С ПРОГРАММОЙ 1С: ПРЕДПРИЯТИЕ 8
      В Wiki Astra есть устаревшая статья про установку 1с как клиентской, так и серверной частей.
      В ROSA Wiki есть статья про установку клиента 1с. Странно, что нет статьи по настройке сервера, так как на CentOS эска встает. Например, вот тут есть статья.
      В Альт Wiki есть статья с подробным описанием установки и настройки, в которой так же приведены полезные ссылки.

      3. Заключение

      Ну что я могу сказать после изучения информации, связанной с импортозамещением? Все это профанация. От импорта это никоим образом не избавляет, зависимость от зарубежных разработчиков никоим образом не отменяет. Просто заменяет одних на других, позволяя кормить не забугорных дядей, а наших, отечественных. Налоги с продаж пойдут в казну государства, это плюс. Но большая часть денег осядет на руках и без того богатых «дядей и тётей», а не дойдет до целевых фондов, это минус. Всякие предприятия типа «Новых Облачных Технологий», которые заявляют, что «их цель не обогатиться на программе импортозамещения …», на самом деле преследуют именно эту цель, иначе бы подобных заявлений не было, не было бы исков в суды и заявлений в ФАС. Не стали бы они брать кусок LibreOffice и перекрашивать под «СвойОфис».

      Взять бесплатный продукт, кем-то уже сделанный, чуточку его допилить и продавать под видом своего, на мой взгляд, как минимум немного нае… надувательство. Нет, системы защиты они, конечно, сделали, шифрование там, все дела, подвели все под сертификацию ФСТЭК… Но это все равно не ими сделанные продукты. За исключением QP ОС, Криптософт сделал все сам. И у них из-за этого будут проблемы с совместимостью, с отсутствием софта под их ОС, неотловленные баги и т.д. и т.п. Но они сделали. Альт сделал еще до хайпа с импортозамещением, они тоже молодцы, не ради сиюминутной выгоды делали, на совесть, ибо деньги зарабатывали на том, что не было main stream’ом.

      Я не просто так слово «отечественные» пишу в кавычках, так как отечественных систем раз, два и обчелся. Операционных систем — вообще только одна. О каком «импортозамещении» идет речь — остается загадкой.

      Нет, в целом, если ооочень захотеть и потратить кучу сил и времени, то поднять инфраструктуру и большинство сервисов на Linux можно. Но для этого нужно переучить или поменять windows-администраторов, и заставить их красноглазить в текстовые файлики настройки приложений. Но 90% этих систем не будут отечественными, они будут свободными и в, редких случаях, чуточку перекрашенными. С нескучными обоями. В общем и целом, вся эта возня выглядит как дорогостоящий нонсенс. Если немцы не смогли, тогда что говорить о нас?.. «Мыши плакали и кололись..», а большой брат продолжал набивать карман. Здравое зерно во всей этой программе закончилось на стадии идеи, когда было сказано о том, что секретку нужно перевести на наши защищенные системы, чтобы «враг ничего не выведал». А в итоге это вылилось в то, во что у нас выливается все нормальные идеи. Ну бизнес у нас в стране так построен — максимальная прибыль при минимальных затратах.

      4. Что делать?

      Плакать и колоться… Приказ есть — надо делать, иначе покарают. Как покарают — неизвестно. Проблема в том, что никто не знает, как будут проверять результаты выполнения программы импортозамещения, в том числе и те, кто будет проверять. Нет данных о возможности использовать ПО из репозиториев ОС. Можно его использовать? Нельзя? Все используют — значит можно? Но в реестре Минкомсвязи нет — значит нельзя? Ответов на эти вопросы нет. Но кто-то отчитался с использованием того же LibreOffice, входящего в состав ОС. Прокатило. А Zabbix? Тот, который входит в репозторий — можно, а если ту же версию скачать у официалов — нельзя? И т.д. и т.п. И где тут логика?

      В итоге остается лишь приводить к установленным показателям доли используемого программного обеспечения, тратить кучу денег на его закупку и поддержку, и обучать сотрудников работе с новым для них софтом. Есть мнение, что «суровость российских законов компенсируется необязательностью их исполнения», но на это надеяться — дело такое…

      5. P.S.:

      Пока я писал эти статьи, мне пришлось перелопатить такое количество информации, что я диву даюсь, как у меня все это в голове удержалось. И я рад, что цикл статей подошел к концу. Осталась только статья про QP OC, которую я обещал написать их представителю в обмен на возможность потрогать дистрибутив. Возможно, потом будет еще что-то про железо в рамках того же импортозамещения, но пока это вилами по воде.

      Надеюсь, что собранная воедино и проанализированная мною информация поможет кому-то в нелегком деле перехода на «отечественное» ПО. Всем спасибо и до новых встреч.

      Так же по теме можете почитать:

      Предыдущие публикации:

      статья про планирование импортозамещения.

      Статья про «отечественные» операционные системы.

      Статья про системы и сервисы.

      Ну и про QP ОС в придачу.


      Дата публикации:

      23.07.2020 17:45


      Продолжительность:

      06:47

      Ссылка:

      https://thewikihow.com/video_mczVBwVWLwc


      Действия:


      Источник:

      Описание

      В этом видео мы покажем как ввести пк с РЕД ОС в домен Windows.
      Добавление РЕД ОС в домен Windows позволит пользователям авторизоваться под своими учетными записями в едином центре аутентификации (контроллер домена) и получить доступ к сетевым ресурсам в соответствии с правами, которые имеют доменные учетные записи. Также мы рассмотрим способы ввода в домен с помощью команд и с помощью скрипта из репозитория РЕД ОС. В заключении продемонстрируем вывод из домена. Приятного просмотра! Лист с командами из видео
      1. Настроить DNS
      2. Команда поиска домена:
      realm discover win.redos
      3. Новое имя пк:
      hostnamectl set-hostname client5
      nano /etc/hosts
      127.0.0.1 client5.win.redos client5
      4. realm join -U -v admin win.redos
      5. Настройка sssd
      nano /etc/sssd/sssd.conf

      use_fully_qualified_names = False
      ad_gpo_access_control = permissive
      6. authconfig enablemkhomedir enablesssdauth updateall
      7. nano /etc/krb5.conf

      вставить строку
      default_ccache_name = FILE:/tmp/krb5cc_%{uid}
      и добавить
      default_realm = WIN.REDOS

      8. Настройка samba, секция [Global]

      workgroup = WIN
      realm = WIN.REDOS
      security = ADS
      idmap config * — range = 10000-99999
      client min protocol = NT1
      client max protocol = SMB3
      dedicated keytab file = /etc/krb5.keytab
      kerberos method = secrets and keytab
      winbind refresh tickets = True
      machine password timeout = 60
      vfs objects = acl_xattr
      map acl inherit = yes
      store dos attributes = yes

      Новые видео на канале Ред Ос

      • Р7-Офис И Ред Ос
      • Screentest — Утилита Тестирования Мониторов
      • Назначение Пароля На Загрузчик Grub2

      Подписывайтесь на наш Telegram канал!@thewikihowоткрытьМониторим видео тренды 24/7

      Что еще посмотреть на канале Ред Ос

      В этом видео мы покажем как ввести пк с РЕД ОС в домен Windows.
      Добавление РЕД ОС в домен Windows позволит пользователям авторизоваться под своими учетными записями в едином центре аутентификации (контроллер домена) и получить доступ к сетевым ресурсам в соответствии с правами, которые имеют доменные учетные записи. Также мы рассмотрим способы ввода в домен с помощью команд и с помощью скрипта из репозитория РЕД ОС. В заключении продемонстрируем вывод из домена. Приятного просмотра!

      =
      Ввод компьютера в домен Windows: 🤍redos.red-soft.ru/base/arm/arm-domen/arm-msad/joindomain/

      =
      Лист с командами из видео

      1. Настроить DNS
      2. Команда поиска домена:
      realm discover win.redos
      3. Новое имя пк:
      hostnamectl set-hostname client5
      nano /etc/hosts
      127.0.0.1 client5.win.redos client5
      4. realm join -U -v admin win.redos
      5. Настройка sssd
      nano /etc/sssd/sssd.conf

      use_fully_qualified_names = False
      ad_gpo_access_control = permissive

      6. authconfig enablemkhomedir enablesssdauth updateall
      7. nano /etc/krb5.conf

      вставить строку
      default_ccache_name = FILE:/tmp/krb5cc_%{uid}
      и добавить
      default_realm = WIN.REDOS

      8. Настройка samba, секция [Global]

      workgroup = WIN
      realm = WIN.REDOS
      security = ADS
      idmap config * : range = 10000-99999
      client min protocol = NT1
      client max protocol = SMB3
      dedicated keytab file = /etc/krb5.keytab
      kerberos method = secrets and keytab
      winbind refresh tickets = True
      machine password timeout = 60
      vfs objects = acl_xattr
      map acl inherit = yes
      store dos attributes = yes

      9. Проверка: входим под доменным пользователем

      arsld

      2022-10-01 04:06:32

      Добрый день, подскажите. Как добавить доменного польхователя в группу wheel ?
      в /etc/group прописал, в файл sudoers прописал его ALL ALL, а когда делаю команду groups в терминале, то не вижу что состою в группе wheel

      Андрей

      2022-08-25 12:20:31

      Можно поинтересоваться. Не могу понять как добавить пользователя в группу (sudo) из домена. Выполняю команду: sermod -aG sudo <user> . Пишет ошибку: sermod: группа «sudo» не существует. Как правильно добавить повышенные привилегии для пользователя домена?

      Снытин Дмитрий

      2022-08-19 08:00:26

      если комп введен в домен и отключены все локальные учетные данные то что делать если не пускает в домен или забыл пароль или комп отключил из сети?

      Ando Money

      2022-06-25 07:02:28

      Версия RED OS 7.1, Введен в домен, авторизация пользователя без проблем, но другому пользователю залогиниться невозможно. Допустим авторизовался пользователь, поработал какой то время, заблокировал УЗ, и вот другой пользователь уже не зайдет без перезагрузки ПК, пока первый пользователь не зайдет и не выйдет с учетной записи. Как решить в чем проблема?

      Doveray No Proveray

      2021-12-03 12:32:25

      Скажите почему на ред ос не получается залогиниться в оболочке доменным пользователем

      Все делал по инструкциям на сайте redos и еще тут посмотрел — вроде все сделал правильно, есть 2 вопроса: очень, нет, ооооочень долго открываются SMB шары домена Windows при подключении smb по доменным именам, по ip открываются быстро. Вопрос 2 — при подключении к smb все равно запрашивает пароль, хотя я уже залогинен под доменным пользователем..ввожу его пароль — и только после этого заходит, в видео — ничего не спрашивает..

      Djek Asgardov

      2021-02-01 09:21:59

      Приветствую. Подскажите, если домен на REDOS samba AD, можно ли клиентов на РедОС вводить в этот домен? И есть ли инструкция?

      starikhatabjch

      2020-12-22 07:21:16

      здорово, что есть видео инструкция, но введение в домен с таким гемороем, по сравнению с тем как это делается в виндовс, в линукс в частности сентос (редос) это просто каменный век какой-то :(

      Stanley Kubrick

      2020-12-16 12:46:22

      Полезная инструкция.

      Alex S

      2020-07-28 17:55:10

      Спасибо за видео! Сделайте пожалуйста видео по работе с samba в домене windows.

      В этом видео мы покажем как ввести пк с РЕД ОС в домен Windows.
      Добавление РЕД ОС в домен Windows позволит пользователям авторизоваться под своими учетными записями в едином центре аутентификации (контроллер домена) и получить доступ к сетевым ресурсам в соответствии с правами, которые имеют доменные учетные записи. Также мы рассмотрим способы ввода в домен с помощью команд и с помощью скрипта из репозитория РЕД ОС. В заключении продемонстрируем вывод из домена. Приятного просмотра!

      =
      Ввод компьютера в домен Windows: 🤍redos.red-soft.ru/base/arm/arm-domen/arm-msad/joindomain/

      =
      Лист с командами из видео

      1. Настроить DNS
      2. Команда поиска домена:
      realm discover win.redos
      3. Новое имя пк:
      hostnamectl set-hostname client5
      nano /etc/hosts
      127.0.0.1 client5.win.redos client5
      4. realm join -U -v admin win.redos
      5. Настройка sssd
      nano /etc/sssd/sssd.conf

      use_fully_qualified_names = False
      ad_gpo_access_control = permissive

      6. authconfig enablemkhomedir enablesssdauth updateall
      7. nano /etc/krb5.conf

      вставить строку
      default_ccache_name = FILE:/tmp/krb5cc_%{uid}
      и добавить
      default_realm = WIN.REDOS

      8. Настройка samba, секция [Global]

      workgroup = WIN
      realm = WIN.REDOS
      security = ADS
      idmap config * : range = 10000-99999
      client min protocol = NT1
      client max protocol = SMB3
      dedicated keytab file = /etc/krb5.keytab
      kerberos method = secrets and keytab
      winbind refresh tickets = True
      machine password timeout = 60
      vfs objects = acl_xattr
      map acl inherit = yes
      store dos attributes = yes

      9. Проверка: входим под доменным пользователем

      Freeman FeNiX

      2022-10-02 23:04:28

      Немного не понятно. скрипт join-to-domain настраивает вход доменного пользователя и создания домашней директории или нужно это настраивать отдельно?

      arsld

      2022-10-01 04:06:32

      Добрый день, подскажите. Как добавить доменного польхователя в группу wheel ?
      в /etc/group прописал, в файл sudoers прописал его ALL ALL, а когда делаю команду groups в терминале, то не вижу что состою в группе wheel

      Андрей

      2022-08-25 12:20:31

      Можно поинтересоваться. Не могу понять как добавить пользователя в группу (sudo) из домена. Выполняю команду: sermod -aG sudo <user> . Пишет ошибку: sermod: группа «sudo» не существует. Как правильно добавить повышенные привилегии для пользователя домена?

      Снытин Дмитрий

      2022-08-19 08:00:26

      если комп введен в домен и отключены все локальные учетные данные то что делать если не пускает в домен или забыл пароль или комп отключил из сети?

      Ando Money

      2022-06-25 07:02:28

      Версия RED OS 7.1, Введен в домен, авторизация пользователя без проблем, но другому пользователю залогиниться невозможно. Допустим авторизовался пользователь, поработал какой то время, заблокировал УЗ, и вот другой пользователь уже не зайдет без перезагрузки ПК, пока первый пользователь не зайдет и не выйдет с учетной записи. Как решить в чем проблема?

      Doveray No Proveray

      2021-12-03 12:32:25

      Скажите почему на ред ос не получается залогиниться в оболочке доменным пользователем

      Все делал по инструкциям на сайте redos и еще тут посмотрел — вроде все сделал правильно, есть 2 вопроса: очень, нет, ооооочень долго открываются SMB шары домена Windows при подключении smb по доменным именам, по ip открываются быстро. Вопрос 2 — при подключении к smb все равно запрашивает пароль, хотя я уже залогинен под доменным пользователем..ввожу его пароль — и только после этого заходит, в видео — ничего не спрашивает..

      Djek Asgardov

      2021-02-01 09:21:59

      Приветствую. Подскажите, если домен на REDOS samba AD, можно ли клиентов на РедОС вводить в этот домен? И есть ли инструкция?

      starikhatabjch

      2020-12-22 07:21:16

      здорово, что есть видео инструкция, но введение в домен с таким гемороем, по сравнению с тем как это делается в виндовс, в линукс в частности сентос (редос) это просто каменный век какой-то :(

      Stanley Kubrick

      2020-12-16 12:46:22

      Полезная инструкция.

      Alex S

      2020-07-28 17:55:10

      Спасибо за видео! Сделайте пожалуйста видео по работе с samba в домене windows.

    • Редактирование файлов linux в windows
    • Ред органайзер для windows 10
    • Редактирование файла из командной строки windows
    • Регулировка громкости колесиком мыши windows 10 скачать
    • Регулировка яркости монитора в windows 10 программа