Debian \ ввод ПК в домен Windows \ ntp \ samba \ winbind \ kerberos \ ad

!!!

Есть утилита для ввода в домен likewise можно ввести в домен с помощью ее и дальше не читать.

1	Есть утилита для ввода в домен likewise можно ввести в домен с помощью ее и дальше не читать.

ссылки

http://insidedeb.blogspot.ru/2011/10/debian-squeeze-active-directory.html вот тут решение

1	http://insidedeb.blogspot.ru/2011/10/debian-squeeze-active-directory.html вот тут решение

0. Редактируем файл /etc/resolv.conf

Вписываем наш контроллер домена в /etc/resolv.conf
nano /etc/resolv.conf

Должно получиться примерно следующее:
search domain.local 
nameserver 192.168.0.100

Проверим резолвится ли КД по FQDN имени:
ping server.domain.local

Если всё нормально,переходим к следующему шагу

Вписываем наш контроллер домена в /etc/resolv.conf

nano /etc/resolv.conf

Должно получиться примерно следующее:

search domain.local

nameserver 192.168.0.100

Проверим резолвится ли КД по FQDN имени:

ping server.domain.local

Если всё нормально,переходим к следующему шагу

1. Установим пакет NTP

apt-get update
apt-get install ntp
Для синхронизации времени с контроллером домена внесём изменения в файл /etc/ntp.conf

nano /etc/ntp.conf

Нужно найти строку в конфигурации:
# You do need to talk to an NTP server or two (or three).
и добавть туда ваши контроллеры домена:
# You do need to talk to an NTP server or two (or three). #server ntp.your-provider.example server server server.domain.local
Пере запускаем и тестируем:
invoke-rc.d ntp restart
ntpq -p

apt-get update

apt-get install ntp

Для синхронизации времени с контроллером домена внесём изменения в файл /etc/ntp.conf

nano /etc/ntp.conf

Нужно найти строку в конфигурации:

# You do need to talk to an NTP server or two (or three).

и добавть туда ваши контроллеры домена:

# You do need to talk to an NTP server or two (or three). #server ntp.your-provider.example server server server.domain.local

Пере запускаем и тестируем:

invoke-rc.d ntp restart

ntpq -p

2. Установим Kerberos:

apt-get install krb5-user libkrb53
При установке ничего не меняем, оставляем всё по умолчанию.
Настроим kerberos:

cp /etc/krb5.conf /etc/krb5.conf.default
cat /dev/null > /etc/krb5.conf
nano /etc/krb5.conf

Минимальная конфигурация:
[libdefaults]
default_realm = DOMAIN.LOCAL
dns_lookup_kdc = no
dns_lookup_realm = no
ticket_lifetime = 24h
default_keytab_name = FILE:/etc/krb5.keytab

; for Windows 2003
default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
; for Windows 2008 with AES
; default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
; default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
; permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5
[realms]
 EXAMPLE.LOCAL = {
 kdc = server.domain.local
 kdc = server2.example.local
 admin_server = server.domain.local
 default_domain = domain.local
 }
[domain_realm]
.domain.local = DOMAIN.LOCAL
domain.local = DOMAIN.LOCAL


Соответственно раскомментируйте строки если у вас 2008 КД. 
И не забудьте поменять названия доена на актуальное.

apt-get install krb5-user libkrb53

При установке ничего не меняем, оставляем всё по умолчанию.

Настроим kerberos:

cp /etc/krb5.conf /etc/krb5.conf.default

cat /dev/null > /etc/krb5.conf

nano /etc/krb5.conf

Минимальная конфигурация:

[libdefaults]

default_realm = DOMAIN.LOCAL

dns_lookup_kdc = no

dns_lookup_realm = no

ticket_lifetime = 24h

default_keytab_name = FILE:/etc/krb5.keytab

; for Windows 2003

default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

; for Windows 2008 with AES

; default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

; default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

; permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5

[realms]

EXAMPLE.LOCAL = {

kdc = server.domain.local

kdc = server2.example.local

admin_server = server.domain.local

default_domain = domain.local

}

[domain_realm]

.domain.local = DOMAIN.LOCAL

domain.local = DOMAIN.LOCAL

Соответственно раскомментируйте строки если у вас 2008 КД.

И не забудьте поменять названия доена на актуальное.

3. Теперь попробуем подключиться к домену:

kinit Administrator

Проверим как прошло подключение и получили ли мы билет:
klist

Если всё прошло удачно, то переходим к следующему пункту.

kinit Administrator

Проверим как прошло подключение и получили ли мы билет:

klist

Если всё прошло удачно, то переходим к следующему пункту.

4. Установим samba:

apt-get install winbind samba

Далее приведу минимально необходимый конфиг самбы:
nano /etc/samba/smb.conf
------------------------
[global]
realm = DOMAIN.LOCAL
workgroup = DOMAIN
netbios name = server
disable spoolss = Yes
show add printer wizard = No
security = ads
idmap uid = 10000-20000
idmap gid = 10000-20000
template shell = /bin/bash
template homedir = /home/%D/%U
winbind use default domain = yes
[share]
comment = Write for Domain Users
path = /media/samba/share
browseable = yes
writable = yes
create mask = 0664
directory mask = 0777
valid users = @"DOMAIN\domain admins", @"DOMAIN\domain users"
write list = @"DOMAIN\domain admins", @"DOMAIN\domain users"
-----------------------

Перезапустим самбу и winbind
/etc/init.d/samba restart
/etc/init.d/winbind restart

apt-get install winbind samba

Далее приведу минимально необходимый конфиг самбы:

nano /etc/samba/smb.conf

------------------------

[global]

realm = DOMAIN.LOCAL

workgroup = DOMAIN

netbios name = server

disable spoolss = Yes

show add printer wizard = No

security = ads

idmap uid = 10000-20000

idmap gid = 10000-20000

template shell = /bin/bash

template homedir = /home/%D/%U

winbind use default domain = yes

[share]

comment = Write for Domain Users

path = /media/samba/share

browseable = yes

writable = yes

create mask = 0664

directory mask = 0777

valid users = @"DOMAIN\domain admins", @"DOMAIN\domain users"

write list = @"DOMAIN\domain admins", @"DOMAIN\domain users"

-----------------------

Перезапустим самбу и winbind

/etc/init.d/samba restart

/etc/init.d/winbind restart

5. Изменим настройки в конфге /etc/nsswitch.conf

nano /etc/nsswitch.conf

Приводим к следующему виду:
passwd: files winbind
group: files winbind
shadow: files winbind
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 winbind
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis

Применяем изменения:
ldconfig

nano /etc/nsswitch.conf

Приводим к следующему виду:

passwd: files winbind

group: files winbind

shadow: files winbind

hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4 winbind

networks: files

protocols: db files

services: db files

ethers: db files

rpc: db files

netgroup: nis

Применяем изменения:

ldconfig

6. Ввод в домен

Теперь для ввода в домен выполняем следующую команду 
net ads join -U Administrator
Вводим пароль администратора.
На этом настройка завершена.
Пере запускаем самбу и винбинд, и убеждаемся в том что Debian видит доменные учётки:
wbinfo -u

Если есть необходимость логиниться в Debian с учетными данными из АД, то необходимо так же поправить конфигурацию PAM.

Теперь для ввода в домен выполняем следующую команду

net ads join -U Administrator

Вводим пароль администратора.

На этом настройка завершена.

Пере запускаем самбу и винбинд, и убеждаемся в том что Debian видит доменные учётки:

wbinfo -u

Если есть необходимость логиниться в Debian с учетными данными из АД, то необходимо так же поправить конфигурацию PAM.