Форум русскоязычного сообщества Ubuntu


Получить помощь и пообщаться с другими пользователями Ubuntu можно
на irc канале #ubuntu-ru в сети Freenode
и в Jabber конференции ubuntu@conference.jabber.ru

Автор Тема: Ввод в домен Ubuntu-машины.  (Прочитано 4403 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн evg89

  • Автор темы
  • Активист
  • *
  • Сообщений: 468
  • СПО'шник
    • Просмотр профиля
Ввод в домен Ubuntu-машины.
« : 01 Августа 2011, 11:43:22 »
Здравствуйте! Настраиваю домен для Ubuntu-сети. На сервер поставил zentyal, задумка такая - создать каждому по пользователю и при входе в домен монтировать каждому свою домашнюю папку с сервера. Вопрос наверное банальный, но как подцепить Ubuntu машину к созданному домену? Гугл выдает все про актив директори....

Пользователь решил продолжить мысль 01 Августа 2011, 12:56:41:
должен же быть какой-нибудь клиент???

Пользователь решил продолжить мысль 01 Августа 2011, 18:51:27:
неужели никто zentyal не поднимал??? Как подцепить комп с бубунтой?!
« Последнее редактирование: 01 Августа 2011, 18:51:27 от evg89 »
РАБОТА: win server 2008 r2, ubuntu server 12.04, freebsd 8.3 - сервера; edubuntu 10.04, win 7 pro - обслуживаемые ПК.
ДОМ: ubuntu 12.04 - ПК; windows 7 starter - нетбук;  android 2.2 - коммуникатор.

Оффлайн _A_n_G_e_L_

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Ввод в домен Ubuntu-машины.
« Ответ #1 : 24 Марта 2012, 21:12:56 »
Здравствуйте! Настраиваю домен для Ubuntu-сети. На сервер поставил zentyal, задумка такая - создать каждому по пользователю и при входе в домен монтировать каждому свою домашнюю папку с сервера. Вопрос наверное банальный, но как подцепить Ubuntu машину к созданному домену? Гугл выдает все про актив директори....

Пользователь решил продолжить мысль 01 Августа 2011, 12:56:41:
должен же быть какой-нибудь клиент???

Пользователь решил продолжить мысль 01 Августа 2011, 18:51:27:
неужели никто zentyal не поднимал??? Как подцепить комп с бубунтой?!
тебе цеплять к видовскому демену убунтик или к линуксовому???
я могу скинуть баш скрипт который води в домен Win2003 машину на линуксе в нём тока самбу нада вручную править
« Последнее редактирование: 24 Марта 2012, 21:28:15 от _A_n_G_e_L_ »

Оффлайн evg89

  • Автор темы
  • Активист
  • *
  • Сообщений: 468
  • СПО'шник
    • Просмотр профиля
Re: Ввод в домен Ubuntu-машины.
« Ответ #2 : 25 Марта 2012, 18:33:38 »
сделал на основе nis полностью убунтовую сеть.
Во 2м корпусе у меня домен вин2008, как к  нему подцепить машину с Ubuntu на борту?
Расскажите поподробней про скрипт.
РАБОТА: win server 2008 r2, ubuntu server 12.04, freebsd 8.3 - сервера; edubuntu 10.04, win 7 pro - обслуживаемые ПК.
ДОМ: ubuntu 12.04 - ПК; windows 7 starter - нетбук;  android 2.2 - коммуникатор.

Оффлайн _A_n_G_e_L_

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Ввод в домен Ubuntu-машины.
« Ответ #3 : 26 Марта 2012, 22:55:04 »
сделал на основе nis полностью убунтовую сеть.
Во 2м корпусе у меня домен вин2008, как к  нему подцепить машину с Ubuntu на борту?
Расскажите поподробней про скрипт.
M_dom= "DOMAIN.LOCAL"
sDom= "DOMAIN"
m_dom= "domain.local"
sdc1="srvrad1.$m_dom"
ip_dc1="192.168.121.1"
sdc2="srvad2.$m_dom"
ip_dc2="192.168.121.2"
ip_gw="192.168.121.10"
sname="alinux"
my_ip="192.168.121.111"
suser="angel"
spass="pas"
apt-get install -y krb5-user samba winbind ntp smbclient
#Проверка требований
#- Проверяем что Samba собрана с поддержкой Kerberos:
smbd -b | grep KRB
#- Также проверим что поддерживается LDAP
smbd -b | grep LDAP
#- Для корректной работы Samba в домене Windows 2003 нужны версии MIT Kerberos version >=1.3.1. Проверим:
dpkg -l | grep krb
#- Для корректной работы с Windows 2008 серверами сама Samba должна быть достаточно свежая:
smbd -V
#Version 3.2.5
#gedit /etc/network/interfaces /etc/resolv.conf /etc/hostname /etc/hosts
echo "---1.----------------------------Настройка DNS----------------------------"
echo "domain $m_dom
search $m_dom
nameserver $ip_dc1
nameserver $ip_gw
nameserver $ip_dc2">/etc/resolv.conf
echo "$sname">/etc/hostname
echo "127.0.0.1 localhost
127.0.1.1 $sname.$m_dom $sname
# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters">/etc/hosts
echo "auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
 address $my_ip
 netmask 255.255.255.0
 broadcast 192.168.121.0
 network 192.168.121.0
 gateway $ip_gw
iface eth1 inet dhcp
auto eth1">/etc/network/interfaces
echo "driftfile /var/lib/ntp/ntp.drift
statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable
server $ip_dc1
#server ntp.ubuntu.com
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
restrict ::1">/etc/ntp.conf
echo "NTPDATE_USE_NTP_CONF=no
#NTPSERVERS=\"ntp.ubuntu.com\"
NTPSERVERS=\"192.168.121.1\"
NTPOPTIONS=\"\"">/etc/default/ntpdate
net time set $ip_dc1
/etc/init.d/ntp restart
service ntp restart
/etc/init.d/networking restart
#echo"# NTP outgoing client request
#iptables -A output -p udp -s $my_ip --sport 1024:65535 -d 0/0  --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
#iptables -A input -p udp -s 0/0 --sport 123 -d $my_ip  --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT">ntp_fairfall.sh
sleep 11
echo "---1.----------------------------Настройка DNS----------------------------"
echo "---2.----------------------------Настройка krb5----------------------------"
echo"passwd:         compat winbind
group:          compat winbind
shadow:         compat winbind
hosts:          files dns
networks:       files
protocols:      db files
services:       db files
ethers:         db files
rpc:            db files
netgroup:       nis">/etc/nsswitch.conf
#Проверить что все работает можно пропинговав полное dns имя домена
ping -c 3 -A $m_dom > /dev/null
if [ $? -ne 0 ]
then
 echo "`date`: Пинга c $m_dom нету!"
 exit 0
else
 echo "`date`: Пинг c $m_dom существует!"
fi
sleep 22
echo "[libdefaults]
default_realm = $M_dom
kdc_timesync = 1
ccache_type = 4
forwardable = true
proxiable = true
[realms]
$M_dom = {
kdc = $ip_dc1
kdc = $ip_dc2
admin_server = $ip_dc1
default_domain = $M_dom
}
[domain_realm]
.$m_dom = $M_dom
$m_dom = $M_dom
[login]
krb4_convert = false
krb4_get_tickets = false">/etc/krb5.conf
kinit $suser@$M_dom > /dev/null
if [ $? -ne 0 ]
then
 echo "`date`: Авторизации нет!"
 exit 0
else
 echo "`date`: Всё окей!"
 klist && sleep 11 && kdestroy && sleep 11
fi
sleep 22
echo "---2.----------------------------Настройка krb5----------------------------"
echo "---3.----------------------------Настройка Samba и вход в домен----------------------------"

gedit /etc/samba/smb.conf
[global]
   #unix charset = UTF8
   unix charset = ASCII
# Эти две опции нужно писать именно в заглавном регистре, причём workgroup без
# последней секции после точки, а realm - полное имя домена
   workgroup = $sDom
   realm = M_dom
#Netbios имя вашего сервера (то имя, которое вы увидите в сетевом окружении вашей windows машины), если не сделаете этого, то будет использовано имя сервера (hostname).
#Должен ли ваш сервер быть wins сервером
; Wins сервер позволяет использовать разделяемые ресуры нескольких подсетей
   wins support=0
   netbios name=$sname
#Список пользователей которым запрещен доступ, например "root" рекомендуется включить в этот список.
   invalid users=root
#Если машина имеет несколько сетевых интерфейсов, то нужно указать какой необходимо использовать samba серверу.
   interfaces=eth0
   bind interfaces only = yes
# Эта опция не сильно важна 
   server string = %h T_e_R_a_N_o_Z_a_V_r_I_k
# Эти две опции отвечают как раз за авторизацию через AD
#Выбор режима безопасности, при security=user каждый пользователь должен иметь учетную запись (account) на GNU/Linux сервере, если вы хотите что бы samba сервер управлял доступом и пользователями, то используйте security=share
   security = ADS
#Должны ли вы использовать зашифрованные пароли? Это важно знать, потому, что каждая версия windows (почти) использует различные схемы авторизации.
   encrypt passwords = true
# Просто важные Будем ли работать как DNS прокси?
   dns proxy = no
   socket options = TCP_NODELAY IPTOS_LOWDELAY SO_KEEPALIVE SO_RCVBUF=8192 SO_SNDBUF=8192
# Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе,
# или даже стать доменконтроллером, то всегда прописывайте эти четыре опции именно в таком виде
   domain master = no
   local master = no
   preferred master = no
#Определяет шансы samba сервера стать local mastero`ом для своей рабочей группы (чем выше значение тем меньше у конкурирующего сервера шансов).
   os level = 0
#Тrue если хотите чтобы samba выполняла функции ПЕРВИЧНОГО КОНТРОЛЕРА ДОМЕНА (PDC), для дополнительной информации по этому вопросу прочтите Samba-PDC-HOWTO.
   domain logons = no
# Отключить поддержку принтеров
   load printers = no
   show add printer wizard = no
   printcap name = /dev/null
   disable spoolss = yes
# регистр букв !!!!
   preserve case = no
   short preserve case = no
#Это даст возможность шарить папки на ntfs и fat разделах.
   usershare owner only = false
testparm && testparm -s
# Load smb config files from /etc/samba/smb.conf
# Loaded services file OK.
# Server role: ROLE_DOMAIN_MEMBER
# Press enter to see a dump of your service definitions
et ads join -U $suser
apt-get install -y smbclient
smbclient -k -L it1 -U $suser%$spass #Вы должны увидеть список общих ресурсов на этом компьютере.
echo "---3.----------------------------Настройка Samba и вход в домен----------------------------"
echo "---4.----------------------------Настройка Winbind----------------------------"

#Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.
gedit /etc/samba/smb.conf
[global]
   # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind.
   # Диапазоны идентификаторов для виртуальных пользователей и групп.
   idmap uid = 10000 - 40000
   idmap gid = 10000 - 40000
   # Эти опции не стоит выключать.
   winbind enum groups = yes
   winbind enum users = yes
   # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп
   # будут использоваться с доменом, т.е. вместо username - DOMAIN\username.
   # Возможно именно это вам и нужно, однако обычно проще этот параметр включить.
   winbind use default domain = yes
   # Если вы хотите разрещить использовать командную строку для пользователей домена, то
   # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false
   template shell = /bin/bash
   # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку
   winbind refresh tickets = yes
#------------------------Офф-лайн авторизация
   # Возможность оффлайн-авторизации при недоступности доменконтроллера
   winbind offline logon = yes
   # Период кэширования учетных записей, по умолчанию равен 300 секунд
   winbind cache time = 300
#Обычно этого достаточно. Если же возникают ошибки, то необходимо создать файл
gedit /etc/security/pam_winbind.conf
[global]
  # turn on debugging
  debug = no
  # request a cached login if possible
  # (needs "winbind offline logon = yes" in smb.conf)
  cached_login = yes
  # authenticate using kerberos
  krb5_auth = yes
  # when using kerberos, request a "FILE" krb5 credential cache type
  # (leave empty to just do krb5 authentication but not have a ticket
  # afterwards)
  krb5_ccache_type = FILE
  # make successful authentication dependend on membership of one SID
  # (can also take a name)
  ;require_membership_of =
  silent = yes
#Файл /etc/pam.d/gnome-screensaver в таком случае принимает вид:
echo"auth    sufficient      pam_unix.so nullok_secure
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so">>/etc/pam.d/gnome-screensaver
echo"auth    optional        pam_group.so
auth    sufficient      pam_unix.so nullok_secure  use_first_pass
auth    sufficient      pam_winbind.so use_first_pass
auth    required        pam_deny.so">>/etc/pam.d/common-auth
#------------------------Офф-лайн авторизация
#Теперь перезапустите демон Winbind и Samba, в следующем порядке:
/etc/init.d/winbind stop && smbd restart && /etc/init.d/winbind start
#После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой
wbinfo -t
#checking the trust secret for domain DCN via RPC calls succeeded
sleep 11
#А так же что Winbind увидел пользователей и группы из AD командами:
wbinfo -u && wbinfo -g
sleep 11
#Если нас не понимают, то подсказываем пароль для wbinfo и смотрим: список доменов в сети, информацию о домене WORKGROUP, список пользователей и групп домена:
wbinfo --set-auth-user=$suser%spass
wbinfo --all-domains
wbinfo -D $sDom
wbinfo -t
echo "---4.----------------------------Настройка Winbind----------------------------"
#Проверяем, как работает NSS. Команда getent показывает инфо о пользователе, который может быть как в домене, так и юниксовый:
getent passwd | grep $suser
getent passwd
getent group
#Первая команда должна вам вернуть всё содержимое вашего файла /etc/passwd, то есть ваших локальных пользователей, плюс пользователей домена с ID из заданного вами в smb.conf диапазона. Вторая должна сделать тоже самое для групп.
#Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла.
echo "---5.-------------------Авторизация в Ubuntu через пользователей домена-------------------"
echo "session  optional  pam_mkhomedir.so skel=/etc/skel/ umask=0077">>/etc/pam.d/common-session
echo "auth        required      pam_env.so
auth        sufficient    pam_unix.so likeauth nullok try_first_pass
auth        sufficient    pam_winbind.so use_first_pass krb5_auth krb5_ccache_type=FILE
auth        required      pam_deny.so">>/etc/pam.d/common-auth
echo "account     sufficient    pam_winbind.so
account     required      pam_unix.so">>/etc/pam.d/common-account
echo "session     optional      pam_mkhomedir.so skel=/etc/skel/ umask=0077
session     optional      pam_ck_connector.so nox11
session     required      pam_limits.so
session     required      pam_env.so
session     required      pam_unix.so">>/etc/pam.d/common-session
echo "password    sufficient    pam_unix.so try_first_pass use_authtok nullok sha512 shadow
password    sufficient    pam_winbind.so
password    required      pam_deny.so">>/etc/pam.d/common-password
echo "---5.-------------------Авторизация в Ubuntu через пользователей домена-------------------"
# Перенос запуска Winbind на конец
for i in `seq 2 5`
  do
  mv /etc/rc$i.d/S20winbind /etc/rc$i.d/S99winbind
done
exit 0
сдесь тока всё что связано с самбой в ручную приписывать в ней надо все рук нехвотает до автоматизма довести...

P/S с удовольствием взялбы у тебя инструкцию по поднятию линуксовой сетки если можно...

Оффлайн evg89

  • Автор темы
  • Активист
  • *
  • Сообщений: 468
  • СПО'шник
    • Просмотр профиля
Re: Ввод в домен Ubuntu-машины.
« Ответ #4 : 27 Марта 2012, 15:56:24 »
https://help.ubuntu.ru/wiki/централизованное_управление_linux - это костяк (уже приводил ссылку в какой-то теме), на основе этого все остальное накручивал, там уж просто в поиск. Будут вопросы задавайте.
РАБОТА: win server 2008 r2, ubuntu server 12.04, freebsd 8.3 - сервера; edubuntu 10.04, win 7 pro - обслуживаемые ПК.
ДОМ: ubuntu 12.04 - ПК; windows 7 starter - нетбук;  android 2.2 - коммуникатор.

Оффлайн _A_n_G_e_L_

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Ввод в домен Ubuntu-машины.
« Ответ #5 : 27 Марта 2012, 16:22:41 »
https://help.ubuntu.ru/wiki/централизованное_управление_linux - это костяк (уже приводил ссылку в какой-то теме), на основе этого все остальное накручивал, там уж просто в поиск. Будут вопросы задавайте.
т.е. мои наработки непомогли и их можно удолять ибо бесполезны или в чём косяк???? хотя я уже 30 машин ввёл в домен Windowsкий

Оффлайн evg89

  • Автор темы
  • Активист
  • *
  • Сообщений: 468
  • СПО'шник
    • Просмотр профиля
Re: Ввод в домен Ubuntu-машины.
« Ответ #6 : 27 Марта 2012, 16:33:18 »
ваши нароботки пригодятся во втором корпусе. вы посмотрите на дату первого поста, задачу решал и решил, как описано в статье, год назад.
РАБОТА: win server 2008 r2, ubuntu server 12.04, freebsd 8.3 - сервера; edubuntu 10.04, win 7 pro - обслуживаемые ПК.
ДОМ: ubuntu 12.04 - ПК; windows 7 starter - нетбук;  android 2.2 - коммуникатор.

Оффлайн _A_n_G_e_L_

  • Новичок
  • *
  • Сообщений: 37
    • Просмотр профиля
Re: Ввод в домен Ubuntu-машины.
« Ответ #7 : 27 Марта 2012, 16:38:52 »
ваши нароботки пригодятся во втором корпусе. вы посмотрите на дату первого поста, задачу решал и решил, как описано в статье, год назад.
в отпуск пора ничего незамечаю )))) сам в шоке ) внатуре пос получается усторевший)

 

Страница сгенерирована за 0.042 секунд. Запросов: 25.