Вывод из домена с помощью графической программы
Вывод из домена консольными командами
На нашем Youtube-канале вы можете подробнее ознакомиться с информацией по выводу компьютера из домена, просмотрев видео Ввод ПК с РЕД ОС в домен Windows, а также найти много другой полезной информации.
Вывод из домена с помощью графической программы
Вывести компьютер из домена можно с помощью графической программы join-to-domain, установка данной программы:
для РЕД ОС версии 7.1 или 7.2:
sudo yum install join-to-domain
для РЕД ОС версии 7.3 и старше:
sudo dnf install join-to-domain
После установки зайдите в меню, в разделе «Администрирование» выберите новый пункт «Ввод ПК в домен».
Если ПК находится в домене, то при запуске утилиты она предложит вывести компьютер из домена. Для вывода из домена нужно подтвердить выполнение, дождаться окончания процесса и перезагрузить ПК.
Вывод из домена консольными командами
Для получения списка сконфигурированных доменов выполните:
realm list
Если в выводе присутствует одна запись:
sudo realm leave -v -U <username>@<domain>
Если в выводе присутствует две записи (две записи присутствуют при использовании двух client-software — winbind и sssd), тогда нужно выполнить две команды:
sudo realm leave -v --client-software=sssd -U <username>@<domain> sudo realm leave -v --client-software=winbind -U <username>@<domain>
Нужно ввести пароль пользователя <username>@<domain>, который является Администратором домена. Для вывода из домена требуются права администратора. Поэтому при запросе пароля привилегированного пользователя нужно ввести пароль локального пользователя с правами администратора.
В конце вывода команды должно выдаваться сообщение об успешном выводе из домена:Successfully unenrolled machine from realm
Проверить, успешно ли ПК был выведен из домена, можно командой realm list — в выводе не должно быть никаких записей
Если в окне входа в пользовательскую учетную запись после вывода из домена отображаются пользователи домена, выполните с привилегиями суперпользователя команду очистки кэша sssd
sudo sss_cache -E
Дата последнего изменения: 15.07.2022
Если вы нашли ошибку, пожалуйста, выделите текст и нажмите Ctrl+Enter.
Форум программистов Vingrad
| Модераторы: powerfox, ZeeLax |
Поиск: |
  
|
 Как вывести линуксовую машину из домена? |
Опции темы |
| mihanik |
|
||
-=Белый Медведь=- Профиль
Репутация: 1
|
Собственно, сабж. Сижу… Гуглю… Не нахожу… ——————— Программистами не рождаются, — это родовая травма… |
||
|
|||
Загрузка …
| arcsupport |
|
||
|
Опытный Профиль Репутация: нет
|
Этого я никогда не делал, поскольку Ubuntu использую только дома, поэтому используйте на свой страх и риск: http://help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0…5%D0%BD_windows |
||
|
|||
| mihanik |
|
||
|
-=Белый Медведь=- Профиль
Репутация: 1
|
arcsupport, мне не нужно войти в домен. ——————— Программистами не рождаются, — это родовая травма… |
||
|
|||
| arcsupport |
|
||
|
Опытный Профиль Репутация: нет
|
Так а в чем проблема? |
||
|
|||
| mihanik |
|
||
|
-=Белый Медведь=- Профиль
Репутация: 1
|
Кто ж спорит? А линукс? Я вводит машину в домен умею, а выводить нет… ——————— Программистами не рождаются, — это родовая травма… |
||
|
|||
)
| arcsupport |
|
||
|
Опытный Профиль Репутация: нет
|
Как крайние меры (хотя это и запрещено правилами форума):
Я бы сделал так. Добавлено через 3 минуты и 7 секунд Это сообщение отредактировал(а) arcsupport — 10.5.2011, 16:05 |
||
|
|||
Дата 10.5.2011, 16:04 (ссылка)| mihanik |
|
||
|
-=Белый Медведь=- Профиль
Репутация: 1
|
Нет. Это не наш метод. ——————— Программистами не рождаются, — это родовая травма… |
||
|
|||
| bilbobagginz |
|
||
Naughtius Maximus Профиль
Репутация: 34
|
машину высовывают из домена тем же инструментом, которым внесли в него.
посмотри на мануал инструмента которым ты зашел в домен. Это сообщение отредактировал(а) bilbobagginz — 12.5.2011, 00:17 ——————— Я ещё не демон. Я только учусь. |
||
|
|||
| mihanik |
|
||
|
-=Белый Медведь=- Профиль
Репутация: 1
|
Как-то так. ——————— Программистами не рождаются, — это родовая травма… |
||
|
|||
|
|
| Правила форума «Linux/UNIX: Администрирование» | |
|
Этот форум предназначен для решения вопросов по администрации *n?x-систем, в частности по настройке сложных сетей и обслуживанию серверного оборудования.
За интересные статьи, находки, решения, программы и просто реальную помощь будут ставиться + в репу). В данный момент этот раздел модерируют nerezus, nickless, powerfox, pythonwin, Imple и ZeeLax. Если вы хотите помочь нам, пишите в ПМ и мы обсудим. Спасибо. И use UNIX or die; С уважением, nerezus, nickless, powerfox, pythonwin, Imple, ZeeLax. |
| 0 Пользователей читают эту тему (0 Гостей и 0 Скрытых Пользователей) |
| 0 Пользователей: |
| « Предыдущая тема | Администрирование *NIX систем | Следующая тема » |
To remove a system from an identity domain, use the realm leave command. The command removes the domain configuration from SSSD and the local system.
# realm leave ad.example.com
By default, the removal is performed as the default administrator. For AD, the administrator account is called Administrator; for IdM, it is called admin. If a different user was used to join to the domain, it might be required to perform the removal as that user. To specify a different user, use the -U option:
# realm leave ad.example.com -U 'AD.EXAMPLE.COM\user'
The command first attempts to connect without credentials, but it prompts for a password if required.
Note that when a client leaves a domain, the computer account is not deleted from the directory; the local client configuration is only removed. If you want to delete the computer account, run the command with the --remove option specified.
For more information about the realm leave command, see the realm(8) man page.
Hi everyone,
I was experimenting with integrating an Ubuntu server into our existing Active Directory domain in order to allow users to log in to the server with their AD accounts. I achieved this by installing samba, winbind, and kerberos and configuring them by hand. I was able to successfully join the domain and log in with AD accounts, but I now want to remove the server from the domain and the commands don’t seem to work.
When I run net ads leave as a local user on the machine I get this:
Could not initialise message context. Try running as root
When I run the command as a domain user, I get the same result.
When I run the command as root I get this response:
Enter root's password:
kerberos_kinit_password root@COMPANYDOMAIN failed: Client not found in Kerberos database
Failed to leave domain: failed to connect to AD: Client not found in Kerberos database
What should I do? Will I have to make a user in AD named root? Should I just delete samba and winbind and disable the computer account in AD? Any help is appreciated.
Table of Contents
Сервис WINBIND
Установка службы winbindd
Debian/Ubuntu
root@gate:~# apt install winbind
Аутентификация
Регистрация unix системы в домене в режиме ADS
-
!!! Удалить все старые принципалы сервисов, привязанные к gate
gate# cat /etc/samba/smb.conf
[global]
workgroup = CORPX
security = ADS
realm = CORPX.UN
kerberos method = system keytab
winbind use default domain = Yes
gate# net ads join -U Administrator или gate# kinit Administrator gate# net ads join -k gate# net ads testjoin gate# host gate gate# service winbind restart gate# wbinfo -t gate# wbinfo -u gate# wbinfo -g
Вывод unix системы из домена в режиме ADS
gate# net ads leave -U Administrator или gate# net ads leave -k gate# rm /etc/krb5.keytab
Управление ключами KERBEROS в режиме ADS
-
!!! Перезагрузить клиентов и сервисы
На Linux системе
gate# klist -ek /etc/krb5.keytab gate# kinit Administrator samba4.9+# net ads keytab add_update_ads HTTP -k samba4.9+# net ads keytab add_update_ads imap -k samba4.9+# net ads keytab add_update_ads smtp -k samba4.9+# net ads keytab add_update_ads xmpp -k # С MS AD не работает, но, можно оставить через ktpass, с samba4 - OK ... gate# klist -ek /etc/krb5.keytab gate# net ads setspn list gate
Пример команд на будущее (сейчас пишет в keytab файл http в нижнем регистре)
# net ads setspn add HTTP/gate.corp13.un # net ads keytab create -k
На контроллере домена
Проверка:
C:\>setspn -L gate
Использование WINBIND в библиотеке PAM
FreeBSD
[gate:~] # cat /etc/pam.d/sshd ... auth sufficient /usr/local/lib/pam_winbind.so auth required pam_unix.so no_warn try_first_pass
Ubuntu
root@gate:~# more /etc/pam.d/sshd ... auth sufficient pam_winbind.so # Standard Un*x authentication. ...
Авторизация
Авторизация в режиме ADS/DOMAIN
gate# wbinfo -n user1 gate# cat /etc/samba/smb.conf
[global]
...
winbind use default domain = Yes
winbind expand groups = 1
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 36
idmap config * : range = 20000-40000
template homedir = /home/%U
#use suitable shell (what abount /usr/sbin/nologin ?)
template shell = /bin/sh
gate# service winbind restart
Использование WINBIND в библиотеке NSSWITCH
!!! Тесты проходят с задержкой !!!
gate# wbinfo -S `wbinfo -n user1|cut -d' ' -f1` gate# wbinfo -i user1
gate# apt install libnss-winbind gate# cat /etc/nsswitch.conf
... passwd: files systemd winbind group: files systemd winbind shadow: files winbind ...
Может понадобиться, если установлен nscd debian# service nscd restart && service nscd reload gate# id user1 gate# getent passwd gate# getent group gate# chown -R user1:'domain users' /home/user1/ gate# chown user1 /var/mail/user1 gate# chown -R user2:'domain users' /home/user2/ gate# chown user2 /var/mail/user2
Дополнительные материалы
Регистрация unix системы в домене в режиме DOMAIN
gate# cat smb.conf
[global]
workgroup = CORPX
security = DOMAIN
winbind use default domain = Yes
[gate:~] # /usr/local/etc/rc.d/samba stop или root@gate:~# /etc/init.d/winbind stop gate# net rpc join -U root Administrators's password: Joined domain CORPX [gate:~] # /usr/local/etc/rc.d/samba start или root@gate:~# /etc/init.d/winbind start gate# wbinfo -t gate# wbinfo -u gate# wbinfo -g
Аутентификация в режиме DOMAIN
gate# ntlm_auth --username=user1 password: NT_STATUS_OK: Success (0x0)