Дано:
имя домена: server-AD.local
контроллер домена: server2k3.server-AD.local
имя компа которую добавляю: paramount-nout
учетная запись админа домена: Paramount
Где я допустил ошибку?
1. Установим следующие пакеты (и все зависимости, которые они за собой тянут):
sudo apt-get update
sudo apt-get install krb5-user winbind samba
2. Поправим /etc/krb5.conf (sudo gedit /etc/krb5.conf), он должен выглядеть точно так, как написано ниже:
[logging]
default = FILE10000:/var/log/krb5lib.log
[libdefaults]
ticket_lifetime = 24000
default_realm = SERVER-AD.LOCAL
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
[realms]
SERVER-AD.LOCAL= {
kdc =SERVER2K3.SERVER-AD.LOCAL
admin_server = SERVER2K3.SERVER-AD.LOCAL
default_domain = SERVER-AD.LOCAL
}
[domain_realm]
.domain.internal =SERVER-AD.LOCAL
domain.internal = SERVER-AD.LOCAL
3. Отредактируем /etc/samba/smb.conf (sudo gedit /etc/samba/smb.conf):
[global]
security = ads
netbios name = paramount-nout
realm = SERVER-AD.LOCAL
password server = SERVER2K3.SERVER-AD.LOCAL
workgroup = SERVER-AD
idmap uid = 500-10000000
idmap gid = 500-10000000
winbind separator = +
winbind enum users = no
winbind enum groups = no
winbind use default domain = yes
template homedir = /home/%D/%U
template shell = /bin/bash
client use spnego = yes
domain master = no
4. Сделаем /etc/nsswitch.conf (sudo gedit /etc/nsswitch.conf) точно таким, как написано ниже:
passwd: compat winbind
group: compat winbind
shadow: compat
hosts: files dns wins
networks: files
protocols: db files
services: db files
ethers: db files
rpc: db files
netgroup: nis
5. Отредактируем настройки PAM (для редактирования каждого из следующих файлов требуются права суперпользователя):
* /etc/pam.d/common-account должны содержать только следующие строки:
account sufficient pam_winbind.so
account required pam_unix.so
* в /etc/pam.d/common-auth должно быть только это:
auth sufficient pam_winbind.so
auth required pam_unix.so nullok_secure use_first_pass
* поправим the /etc/pam.d/common-password так, чтобы параметр max был 50, в качестве примера:
password required pam_unix.so nullok obscure min=4 max=50 md5 (этой строки у меня небыло)
* убедитесь, что /etc/pam.d/common-session содержит следующие строки:
session required pam_mkhomedir.so umask=0022 skel=/etc/skel (этой строки не было, добавил вручную)
6. Создадим home-директорию для пользователей Active Directory:
sudo mkdir -p /home/SERVER-AD
7. Отредактируйте /etc/hosts:
127.0.0.1 paramount-nout.server-AD.local paramount-nout localhost
8. Инициализируем Kerberos:
sudo kinit Paramount@SERVER-AD.local
Проверить, что мы получили билет от Kerberos можно командой klist.
9. Добавим компьютер в Active Directory:
sudo net ads join -U Paramount (после этого попросил пароль, ввел пароль админа домена)
10. Перезапустим службы в следующем порядке:
sudo /etc/init.d/samba stop
sudo /etc/init.d/winbind stop
sudo /etc/init.d/samba start
sudo /etc/init.d/winbind start