Рубрики
debian daemons \ демоны \ службы \ сервисы

Debian \ ввод ПК в домен Windows \ ntp \ samba \ winbind \ kerberos \ ad

!!!

Есть утилита для ввода в домен likewise можно ввести в домен с помощью ее и дальше не читать.

ссылки

http://insidedeb.blogspot.ru/2011/10/debian-squeeze-active-directory.html вот тут решение 

0. Редактируем файл /etc/resolv.conf

Вписываем наш контроллер домена в /etc/resolv.conf
nano /etc/resolv.conf

Должно получиться примерно следующее:
search domain.local 
nameserver 192.168.0.100

Проверим резолвится ли КД по FQDN имени:
ping server.domain.local

Если всё нормально,переходим к следующему шагу

1. Установим пакет NTP


apt-get update
apt-get install ntp
Для синхронизации времени с контроллером домена внесём изменения в файл /etc/ntp.conf

nano /etc/ntp.conf

Нужно найти строку в конфигурации:
# You do need to talk to an NTP server or two (or three).
и добавть туда ваши контроллеры домена:
# You do need to talk to an NTP server or two (or three). #server ntp.your-provider.example server server server.domain.local
Пере запускаем и тестируем:
invoke-rc.d ntp restart
ntpq -p

2. Установим Kerberos:


apt-get install krb5-user libkrb53
При установке ничего не меняем, оставляем всё по умолчанию.
Настроим kerberos:

cp /etc/krb5.conf /etc/krb5.conf.default
cat /dev/null > /etc/krb5.conf
nano /etc/krb5.conf

Минимальная конфигурация:
[libdefaults]
default_realm = DOMAIN.LOCAL
dns_lookup_kdc = no
dns_lookup_realm = no
ticket_lifetime = 24h
default_keytab_name = FILE:/etc/krb5.keytab

; for Windows 2003
default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; for Windows 2008 with AES
; default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
; default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
; permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
 EXAMPLE.LOCAL = {
 kdc = server.domain.local
 kdc = server2.example.local
 admin_server = server.domain.local
 default_domain = domain.local
 }
[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL


Соответственно раскомментируйте строки если у вас 2008 КД. 
И не забудьте поменять названия доена на актуальное.


3. Теперь попробуем подключиться к домену:

kinit Administrator

Проверим как прошло подключение и получили ли мы билет:
klist

Если всё прошло удачно, то переходим к следующему пункту.

4. Установим samba:

apt-get install winbind samba

Далее приведу минимально необходимый конфиг самбы:
nano /etc/samba/smb.conf
------------------------
[global]
realm = DOMAIN.LOCAL
workgroup = DOMAIN
netbios name = server
disable spoolss = Yes
show add printer wizard = No
security = ads
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind use default domain = yes
[share]
comment = Write for Domain Users
path = /media/samba/share
browseable = yes
writable = yes
create mask = 0664
directory mask = 0777
valid users = @"DOMAIN\domain admins", @"DOMAIN\domain users"
write list = @"DOMAIN\domain admins", @"DOMAIN\domain users"
-----------------------

Перезапустим самбу и winbind
/etc/init.d/samba restart
/etc/init.d/winbind restart

5. Изменим настройки в конфге /etc/nsswitch.conf

nano /etc/nsswitch.conf

Приводим к следующему виду:
passwd: files winbind
group: files winbind
shadow: files winbind
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 winbind
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis

Применяем изменения:
ldconfig

6. Ввод в домен

Теперь для ввода в домен выполняем следующую команду 
net ads join -U Administrator
Вводим пароль администратора.
На этом настройка завершена.
Пере запускаем самбу и винбинд, и убеждаемся в том что Debian видит доменные учётки:
wbinfo -u

Если есть необходимость логиниться в Debian с учетными данными из АД, то необходимо так же поправить конфигурацию PAM.