Настройка kerberos
0) Устанавливаем пакеты:
apt-get install winbind krb5-user ntp - устанавливаем основные пакеты для вода пк с linux в домен ( при установке krb5-user будет произведена настройка)
apt-get install libpam-krb5 libpam-winbind libnss-winbind - устанавливаем дополнительные пакеты ( обычно сами ставятся )
1) Редактируем настройки DNS
nano /etc/resolvconf/resolv.conf.d/head - файл генерирует /etc/resolv.conf, редактируем его если нету dhcp server для добавления своего сервера
--------------head---------------------
nameserver ip_адресc
search mti.local
-------------/head---------------------
1.1) Если как то не правильно берется DNS из DHCP клиента можно поменять тут
nano /etc/dhcp/dhclient.conf - файл настроек dhcp клиента, если DNS сервер выдается не правильно можно раскомментировать следующие:
-----------dhclient.conf----
#supersede domain-name "fugue.com home.vix.com";
#prepend domain-name-servers 127.0.0.1;
----------/dhclient.conf----
3) Изменения имени ПК
nano /etc/hostname - файл имени сервера
nano /etc/hosts - файл генерируется автоматически при загрузке ос
4) Проверка работы DNS
nslookup server_name - проверка работы DNS
5) Настройка синхронизации времени
ntp - программа для синхронизации времени
nano /etc/ntp.conf - меняем строку на наш адрес контроллера домена
-----ntp.conf-----
server dc.name_domain.local
----/ntp.conf-----
service ntp restart
6) настройка kerberos
dpkg-reconfigure krb5-kdc - воспользоватся мастером настройки
nano /etc/krb5.conf - файл настройки
------krb5.conf----
!!! внимание на регистр букв
default_realm = ИМЯ_НАШЕГО_ДОМЕНА.local
kdc = dc.имя_нашего_домена.local
admin_server = dc.имя_нашего_домена.local
[domain_realm] - ищем и дописываем
.имя_нашего_домена.local = ИМЯ_НАШЕГО_ДОМЕНА.local
имя_нашего_домена.local = ИМЯ_НАШЕГО_ДОМЕНА.local
------/krb5.conf---
7) Проверка kerberos
kinit amin@ИМЯ_НАШЕГО_ДОМЕНА.local - делаем запрос к домену
klist - смотрим полученные билеты
настройка samba для работы в AD windows:
0. nano /etc/samba/smb.conf - редактируем конфиг samba
-----------smb.conf--------
workgroup = WORKGROUP - ищем эту строку
workgroup = ИМЯ_НАШЕГО_ДОМЕНА - меняем на короткое имя нашего домена ( полное -> nde.local, короткое -> nde )
realm = ИМЯ_НАШЕГО_ДОМЕНА.local - дописываем (realm днс суфикс)
security = ADS - дописываем ( как работает авторизация )
auth methods = winbind - дописываем ( самба передает всю авторизацию winbind )
winbind enum users = yes - дописываем
winbind enum groups = yes - дописываем
winbind use default domain = yes - дописываем использовать домен по умолчанию
winbind separator = / - дописываем ( какой разделитель использовать в ИМЯ_НАШЕГО_ДОМЕНА\user - им может быть любой символ )
idmap config * : range = 10000-20000 - задаем значения id для пользователей
#server role = standalone server - комментируем эту строку
#passdb backend = tdbsam - комментируем эту строку
#obey pam restrictions = yes - комментируем эту строку
#unix password sync = yes - комментируем эту строку
#passwd program = /usr/bin/passwd %u - комментируем эту строку
#passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* . - комментируем эту строку
#pam password change = yes - комментируем эту строку
#map to guest = bad user - комментируем эту строку
#usershare allow guests = yes - комментируем эту строку
[Shared]
comment = some folder
patch = /data/shared
inherit acls = yes
writable = yes
-----------/smb.conf-------
1. Проверяем конфигурацию samba
testparm - проверка файла /etc/samba/smb.conf на ошибки конфигурации
Вводим наш сервер в домен windows:
net ads join -U admin@ИМЯ_НАШЕГО_ДОМЕНА.local - вводим в домен наш сервер с samba
После ввода в домен windows нужно настроит настроить nsswitch:
nano /etc/nsswitch.conf - отредактируем строки: -------nsswitch.conf---- passwd: files winbind - изменяем слово compat на files winbind group: files winbind - изменяем слово compat на files winbind shadow: files winbind - изменяем слово compat на files winbind -------/nsswitch.conf--- 2. Перезагружаем сервер samba 3. Проверяем работу в домене wbinfo -u - должны увидеть пользователей из AD Windows wbinfo -g - должны увидеть группы из AD Windows id имя_доменного_юзака - должны также увидеть информацию о пользователях getent passwd - команда должна показать пользователей unix + AD getent group - команда должна показать группы пользователей unix + AD