Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Ubuntu 18.04 + PAM + realm + SSSD = ввод в домен (с монтированием дисков)  (Прочитано 15650 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн Sozdatel

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Инструкция.
Как добавить Ubuntu 18.04 домен Windows
1. У Вас должен быть настроен DNS (в том числе и обратные запросы), значительная часть проблем из-за ДНС.

2. Настройка синхронизации времени, время должно совпадать с AD
sed -i 's/#NTP=/NTP=0.ru.pool.ntp.org/g' /etc/systemd/timesyncd.conf
timedatectl set-ntp true
systemctl restart systemd-timesyncd.service
timedatectl --adjust-system-clock
Как выглядит файл timesyncd.conf
(Нажмите, чтобы показать/скрыть)

3. Устанавливаем софт
apt update
apt -y install realmd sssd sssd-tools libpam-sss krb5-user adcli samba-common-bin packagekit samba libpam-mount libpam-winbind cifs-utils keyutils

4. Исправление nsswitch.conf
sed -i "s/dns myhostname/myhostname/g" /etc/nsswitch.conf
sed -i "s/files mdns4/dns files mdns4/g" /etc/nsswitch.conf
/etc/init.d/networking restart
Как выглядит файл /etc/nsswitch.conf
(Нажмите, чтобы показать/скрыть)

5. Настройка krb5.conf (то что написано в верхнем регистре не просто так )
(Нажмите, чтобы показать/скрыть)

6. Настройка realm.conf
(Нажмите, чтобы показать/скрыть)

7. Ввод в домен
realm join --user=$USERDOMEN ДОМЕН.LOCAL
,где $USERDOMEN - пользователь домена который имеет права вводить в домен
вывод из домена  realm leave -v домен.local

8. Настройка для монтирования сетевого диска
,где ~\/Disk_H - Это каталог в домашней директории вошедшего пользователя
sed -i '/<!-- Volume definitions -->/ a <volume fstype="cifs" server="SERVE" path="SHARA" mountpoint="~\/Disk_H" options="nodev,nosuid"\/>' /etc/security/pam_mount.conf.xmlИзвестные проблемы: при активном использовании шары зависает nautilus, при потери сети не монтируется обратно
Решение: подключить диски через systemd (описание ниже)
Как выглядит файл pam_mount.conf.xml
(Нажмите, чтобы показать/скрыть)

9. Указание дефолтного профиля.
При заходе нового пользователя брать дефолтный профиль по указанному пути
sed -i '/pam_unix.so/ a session optional pam_mkhomedir.so skel=\/etc\/skel\/ umask=0077' /etc/pam.d/common-session
sed -i "s/# SKEL=/SKEL=/g" /etc/default/useradd
Как выглядит файл /etc/pam.d/common-session
(Нажмите, чтобы показать/скрыть)

10. Авторизация по ssh согласно роли AD
sed -i '/success=2/d' /etc/pam.d/common-auth
sed -i '/pam_unix.so nullok_secure/ a auth \[success=2 default=ignore\] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass require_membership_of=RoleAD' /etc/pam.d/common-auth
Как выглядит файл /etc/pam.d/common-auth
(Нажмите, чтобы показать/скрыть)
Известные проблемы: при заходе обычного пользователя будет высвечиваться надпись, что он не состоит в RoleAD
Как убрать эту надпись пока решения не нашел

11. Даем доменной группе права sudo
sed -i '/%RoleAD/d;/%sudo/a %RoleAD\  ALL=(ALL) ALL ' /etc/sudoersКак выглядит файл /etc/sudoers
(Нажмите, чтобы показать/скрыть)

12. Настройка sssd.conf
(Нажмите, чтобы показать/скрыть)

13. Убираем пользователя, под которым настраивали, из списка login screen
sed -i 's/false/true/g' /var/lib/AccountsService/users/TEST
Как выглядит файл /var/lib/AccountsService/users/TEST
(Нажмите, чтобы показать/скрыть)

sudo reboot
Монтирование сетевых дисков через systemd

1. Создаем файл mount, где имя файла = пути, только через тире
touch /etc/systemd/system/mnt-Disk_H.mountСодержимое файла mnt-Disk_H.mount
(Нажмите, чтобы показать/скрыть)
UID можно узнать набрав в терминале id

2. Создаем файл automount, где имя файла = пути, только через тире
touch /etc/systemd/system/mnt-Disk_H.automountСодержимое файла mnt-Disk_H.automount
(Нажмите, чтобы показать/скрыть)

3. Перезапуск конфигурации systemd
systemctl daemon-reload
4. Автозагрузка
systemctl enable mnt-Disk_H.automountТеперь при обращении к содержимому /mnt/Disk_H, монтируется автоматически

Известные проблемы: Не разобрался как использовать переменные в Options, допустим когда сменится пользователь дынные будут от старого.
« Последнее редактирование: 13 Мая 2019, 11:26:59 от Sozdatel »

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Зачем так сложно?
Я уже молчу про "домен.local" - за это просто надо сразу увольнять администратора.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Sozdatel

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
OK
Как легко ?))


Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
winbind и NSS на уровне домена.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн Domitory

  • Активист
  • *
  • Сообщений: 565
    • Просмотр профиля
Добрый день!

Может кто подсказать где в Lubuntu 18.04 искать файл  /etc/sssd/sssd.conf  ?

sssd установлен файла настроечного нет

Когда скопировал его из каталога /usr/share/doc/sssd-common/examples/

sudo cp /usr/share/doc/sssd-common/examples/sssd-example.conf /etc/sssd/sssd.conf

То sssd не стартует


Смотрю статус сервиса sssd

systemctl status sssd.service

Выдает такое

sssd.service - System Security Services Daemon
   Loaded: loaded (/lib/systemd/system/sssd.service; enabled; vendor preset: enabled)
   Active: failed (Result: exit-code) since Fri 2021-02-05 21:37:45 MSK; 5s ago
  Process: 1239 ExecStart=/usr/sbin/sssd -i ${DEBUG_LOGGER} (code=exited, status=4)
 Main PID: 1239 (code=exited, status=4)

фев 05 21:37:45 lubu systemd[1]: Starting System Security Services Daemon...
фев 05 21:37:45 lubu sssd[1239]: Cannot read config file /etc/sssd/sssd.conf. Please check that the file is accessible only by the owner and owned by root.root.
фев 05 21:37:45 lubu systemd[1]: sssd.service: Main process exited, code=exited, status=4/NOPERMISSION
фев 05 21:37:45 lubu systemd[1]: sssd.service: Failed with result 'exit-code'.
фев 05 21:37:45 lubu systemd[1]: Failed to start System Security Services Daemon.


Права на файл такие

-rwxr--r-- 1 root root  688 фев  5 21:30 sssd.conf


Где взять нормальный sssd.conf ?

« Последнее редактирование: 05 Февраля 2021, 21:49:44 от Domitory »

Оффлайн Akmee

  • Любитель
  • *
  • Сообщений: 53
    • Просмотр профиля
домен.local
Претензию к домену .local поддерживаю. По опыту, этот домен в перспективе при использовании сулит проблемы и непонятные, неопредилимые ошибки при масштабировании сети, потому что он зашит в конфигурациях серверных программ как имеющий существенные ограничения. Уж лучше даже произвольный домен ".фирма" использовать, а в идеале сразу использовать систему поддоменов с настоящим доменом второго уровня "фирмы" типа "локалка_1.фирма_такая-то.com"
У20.04ЛТСх64, Интел_КореИ7_8750, Нвидия_ГП107М, 16Гб ОЗУ

Оффлайн EvangelionDeath

  • Администратор
  • Старожил
  • *
  • Сообщений: 3487
  • Ubuntu 22.04 х64
    • Просмотр профиля
Права на файл такие

-rwxr--r-- 1 root root  688 фев  5 21:30 sssd.conf

The owner and group owner must be set to root:root and the permissions to 600.
rwx = 7, r-- = 4, rw- = 6
И что же не так с правамиa?
sudo chmod 600 /etc/sssd/sssd.confЭто даже в первом посте есть, в пункте 13.
« Последнее редактирование: 06 Февраля 2021, 16:00:45 от EvangelionDeath »
HP Pro 840 G3: Intel i5-6300U, 32GB DDR4 2133MHz, Intel 520, Intel Pro 2500 180GB/Ubuntu 22.04
Dell Latitude 5590: Intel i5-8350U, 16GB DDR4 2400MHz, Intel 620, Samsung 1TB/Ubuntu 22.04

Оффлайн ivul

  • Любитель
  • *
  • Сообщений: 74
    • Просмотр профиля
Приветствую!

Сервис sssd после перезапуска ругается на отсутствие /etc/krb5.keytab

root@U1708-6:/home/tmp# service sssd status
(Нажмите, чтобы показать/скрыть)

Было такое? Если да, то как решили?

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Решили. Не использовали sssd. Чем winbind не угодил?
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

Оффлайн ivul

  • Любитель
  • *
  • Сообщений: 74
    • Просмотр профиля
Winbind готов к работе сильно позже появления графического приглашения ввода имени и пароля пользователя.
Т.е. пользователь вводит имя и пароль, а связи с сервером AD ещё нет. В результате либо осуществляется вход в систему по кэшированным данным без монтирования сетевых дисков, либо пользователь получает сообщение о неверном имени или пароле.

С sssd подобного не наблюдается. Появилось приглашение ввести имя и пароль - вводи, ждать не надо.

Оффлайн AnrDaemon

  • Заслуженный пользователь
  • Старожил
  • *
  • Сообщений: 28358
    • Просмотр профиля
Видимо, что-то идёт не так. У меня нет такого эффекта.
Проверяйте зависимости стартующих сервисов.
Хотите получить помощь? Потрудитесь представить запрошенную информацию в полном объёме.

Прежде чем [Отправить], нажми [Просмотр] и прочти собственное сообщение. Сам-то понял, что написал?…

 

Страница сгенерирована за 0.057 секунд. Запросов: 25.