Ввод Astra в домен Windows
Проблема такова контролер домена работает на Windows server 2008 R2 с SMB V1. Первоначальные настройки сети произведены и контроллер пингуется. Файлы конфига прилагаю. Ошибка Failed to join domain: failed to lookup DC info for domain ‘GZHIRO.local’ over rpc: The specified I/O operation on %hs was not completed before the time-out period expired. SMB.conf #astra-winbind [global] server string = Astra linux usershare allow guests = Yes map to guest = Bad User obey pam restrictions = Yes pam password change = Yes passwd chat = Enter\snew\s\spassword:* %n\n Retype\snew\s\spassword:* %n\n password\supdated\ssuccessfully . passwd program = /usr/bin/passwd %u server role = standalone server unix password sync = Yes
workgroup = GZHIRO server min protocol = NT1 client min protocol = NT1 min protocol = NT1 realm = GZHIRO.LOCAL security = ADS encrypt passwords = true dns proxy = no socket options = TCP_NODELAY domain master = no local master = no preferred master = no os level = 0 domain logons = no kerberos method = secrets and keytab load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes idmap config * : range = 100000-199999 idmap config * : backend = tdb idmap config GZHIRO.LOCAL : range = 200000-299999 idmap config GZHIRO.LOCAL : backend = rid winbind nss info = rfc2307 winbind enum groups = no winbind enum users = no winbind use default domain = yes template homedir = /home/%D/%U template shell = /bin/bash winbind refresh tickets = yes winbind offline logon = yes winbind cache time = 1440 password server 10 unix charset = UTF8 dos charset = CP866
dad823
10.11.22 15:26:29 MSK
Последнее исправление: dad823 14.11.22 15:24:58 MSK (всего исправлений: 1)
- Ответить на это сообщение
- Ссылка
Zhbert ★★★★★
( 10.11.22 15:27:36 MSK )
- Ответить на это сообщение
- Ссылка
Строки с большим шрифтом — это ключевая информация?
Mischutka ★★★★★
( 14.11.22 07:59:33 MSK )
- Ответить на это сообщение
- Ссылка
Вместо systemd-resilver используй свои DNS сервера.
Для этого создай файл rezolv.conf и пропиши в них твои сервера, точнее ip-адреса контроллеров домена.
kostik87 ★★★★★
( 14.11.22 08:02:06 MSK )
- Ответить на это сообщение
- Показать ответ
- Ссылка
Ответ на: комментарий от kostik87 14.11.22 08:02:06 MSK
Что-то dad823 затих, интересно, помогла ли ему замена systemd-resilver на DNS сервера?
Mischutka ★★★★★
( 15.11.22 07:56:35 MSK )
- Ответить на это сообщение
- Показать ответ
- Ссылка
Ответ на: комментарий от Mischutka 15.11.22 07:56:35 MSK
dad823
( 15.11.22 09:03:17 MSK ) автор топика
- Ответить на это сообщение
- Показать ответ
- Ссылка
Ответ на: комментарий от dad823 15.11.22 09:03:17 MSK
Ну помимо указания DNS серверов ещё нужно настроить /etc/krb5.conf, nsswitch, pamd.
Правки одного конфига samba недостаточно.
Вот пример с Debian:
apt install samba winbind krb5-user libpam-krb5 libnss-winbind libpam-winbind
В файле /etc/krb5.conf описываешь свой DNS суффикс и указываешь имя контроллера домена
[libdefaults] default_realm = GZHIRO.LOCAL [realms] OMEGA.LOCAL= < kdc = dc-01.gzhiro.local admin_server = dc-01.gzhiro.local default_domain = GZHIRO.LOCAL >[domain_realm] .gzhiro.local = GZHIRO.LOCAL
В файле /etc/nsswitch.conf
# /etc/nsswitch.conf # # Example configuration of GNU Name Service Switch functionality. # If you have the `glibc-doc-reference' and `info' packages installed, try: # `info libc "Name Service Switch"' for information about this file. passwd: compat winbind files systemd group: compat winbind files systemd shadow: files gshadow: files hosts: files dns networks: files protocols: db files services: db files ethers: db files rpc: db files netgroup: nis
Указываешь, что группы (group) и пользователи (passwd) можно искать так же и в winbind.
В /etc/samba/smb.conf делаешь примерно так:
/etc/samba/smb.conf [global] ## Browsing/Identification ### # Change this to the workgroup/NT-domain name your Samba server will part of # workgroup = WORKGROUP workgroup = GZHIRO realm = GZHIRO.LOCAL security = ADS netbios name = WS-01 winbind enum users = yes winbind enum groups = yes vfs objects = acl_xattr map acl inherit = yes store dos attributes = yes allocation roundup size = 4096 client use spnego = yes client ntlmv2 auth = yes encrypt passwords = yes winbind use default domain = No #restrict anonymous = 2 domain master = no local master = no preferred master = no os level = 0 admin users = @"GZHIRO.LOCAL\Администраторы домена" passdb backend = tdbsam idmap uid = 10000-400000 idmap gid = 10000-400000 template shell = /bin/bash # idmap config * : range = 10000-400000 idmap config LAN : backend = rid idmap config LAN : default = yes idmap config LAN : range = 10000-89999 idmap config * : backend = autorid idmap config * : range = 100000-400000
Надо указать параметр netbios name, без него машину в домен не введёшь.
/etc/pam.d/common-session # here are the per-package modules (the "Primary" block) session [default=1] pam_permit.so # here's the fallback if no module succeeds session requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around session required pam_permit.so # The pam_umask module will set the umask according to the system default in # /etc/login.defs and user settings, solving the problem of different # umask settings with different shells, display managers, remote sessions etc. # See "man pam_umask". session optional pam_umask.so # and here are more per-package modules (the "Additional" block) session optional pam_krb5.so minimum_uid=1000 session required pam_unix.so session required pam_mkhomedir.so umask=0022 skel=/etc/skel session optional pam_winbind.so session optional pam_sss.so session optional pam_systemd.so # end of pam-auth-update config
Добавляя поддержку winbind. Обрати внимание на mkhomedir, чтобы создавались домашние директории доменных пользователей.
/etc/pam.d/common-auth # # /etc/pam.d/common-auth - authentication settings common to all services # # This file is included from other service-specific PAM config files, # and should contain a list of the authentication modules that define # the central authentication scheme for use on the system # (e.g., /etc/shadow, LDAP, Kerberos, etc.). The default is to use the # traditional Unix authentication mechanisms. # # As of pam 1.0.1-6, this file is managed by pam-auth-update by default. # To take advantage of this, it is recommended that you configure any # local modules either before or after the default block, and use # pam-auth-update to manage selection of other modules. See # pam-auth-update(8) for details. # here are the per-package modules (the "Primary" block) auth [success=4 default=ignore] pam_krb5.so minimum_uid=1000 auth [success=3 default=ignore] pam_unix.so nullok try_first_pass auth [success=2 default=ignore] pam_winbind.so krb5_auth krb5_ccache_type=FILE cached_login try_first_pass auth [success=1 default=ignore] pam_sss.so use_first_pass # here's the fallback if no module succeeds auth requisite pam_deny.so # prime the stack with a positive return value if there isn't one already; # this avoids us returning an error just because nothing sets a success code # since the modules above will each just jump around auth required pam_permit.so # and here are more per-package modules (the "Additional" block) auth optional pam_cap.so # end of pam-auth-update config
systemctl restart nmbd systemctl restart smbd
net ads join -U admin@GZHIRO
Присоединение Astra Linux к домену Active Directory
Кратко законспектирую процесс присоединение Astra Linux к домену Active Directory. Возможно, что кому-то эта шпаргалка будет полезна или коллег в комментариях поделятся своим опытом и нюансами.
Краткая схема развертывания
Далее я буду использовать следующую схему:
Предварительная подготовка
После установки необходимо убедиться, что хост с Astra Linux может корректно разрешать FQDN и короткие имена для домена. Предварительно установлю пакет утилит для разрешения DNS-имен.
sudo apt install dnsutils
Теперь проверю, что хост может разрешить имя контроллера домена в IP-адрес:
dig +short srv-dc01.itproblog.ru
root@AS02:/home/roman# dig +short dc01.itproblog.ru 10.10.10.71 root@AS02:/home/roman#
Также проверю разрешения короткого имени:
ping dc01
root@AS02:/home/roman# ping dc01 PING dc01.itproblog.ru (10.10.10.71) 56(84) bytes of data. 64 bytes from 10.10.10.71 (10.10.10.71): icmp_seq=1 ttl=128 time=0.309 ms 64 bytes from 10.10.10.71 (10.10.10.71): icmp_seq=2 ttl=128 time=0.438 ms 64 bytes from 10.10.10.71 (10.10.10.71): icmp_seq=3 ttl=128 time=0.411 ms ^C
Если у вас не получается разрешить полное или короткое имя контроллера домена, то проверьте настройки DNS-клиента. Возможно вам потребуется скорректировать параметры файла /etc/resolv.conf или выполнить ряд других дополнительных настроек.
Пример моего файла с настройками сетевого интерфейса /etc/network/interfaces:
# The primary network interface auto eth0 iface eth0 inet static address 10.10.10.22 netmask 255.255.255.0 gateway 10.10.10.254 dns-nameservers 10.10.10.71 dns-domain itproblog.ru
Мой файл /etc/resolv.conf:
nameserver 10.10.10.71 domain itproblog.ru
Присоединение Astra Linux к домену Active Directory
Опорное руководство по методам и нюансам присоединения Astra Linux к домену Active Directory приведено в документации к продукту.
Для присоединения к домену я буду использовать утилиту astra-ad-sssd-client.
Поскольку у меня сервер без графического интерфейса, то предварительно необходимо установить утилиту astra-ad-sssd-client:
sudo apt install astra-ad-sssd-client
Теперь можно выполнить попытку присоединения сервера Astra Linux к домену Active Directory:
sudo astra-ad-sssd-client -d itproblog.ru -u roman
sudo astra-ad-sssd-client -d itproblog.ru -u roman compname = AS02 Домен: itproblog.ru Реалм: itproblog.ru Рабочая группа: ITPROBLOG Сервер NTP: itproblog.ru Обнаружен только один сетевой интерфейс. Будет использован сетевой интерфейс "eth0", имеющий статический IP-адрес 10.10.10.22. username = roman введите пароль администратора домена: ok продолжать ? (y\N) y настройка сервисов. * Resolving: _ldap._tcp.itproblog.ru * Performing LDAP DSE lookup on: 10.10.10.71 * Successfully discovered: itproblog.ru Пароль для roman: * Unconditionally checking packages * Resolving required packages * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.JBEDH2 -U roman ads join itproblog.ru Enter roman's password: Using short domain name -- IT Joined 'AS02' to dns domain 'itproblog.ru' * LANG=C LOGNAME=root /usr/bin/net -s /var/cache/realmd/realmd-smb-conf.JBEDH2 -U roman ads keytab create Enter roman's password: * /usr/sbin/update-rc.d sssd enable * /usr/sbin/service sssd restart * Successfully enrolled machine in realm debconf: не удалось инициализировать интерфейс: Dialog debconf: (Ни одна из dialog-подобных программ не установлена, поэтому вы не можете использовать dialog-интерфейс. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 78.) debconf: будет использован интерфейс: Readline update-alternatives: используется /usr/lib/x86_64-linux-gnu/cifs-utils/cifs_idmap_sss.so для предоставления /etc/cifs-utils/idmap-plugin (idmap-plugin) в ручном режиме Завершено! Компьютер подключен к домену itproblog.ru Для продолжения работы, необходимо перезагрузить компьютер
Параметр -d – это DNS имя домена.
Параметр -u – имя пользователя Active Directory с разрешениями администратора домена.
После завершения процедуры присоединения необходимо перезагрузить компьютер.
Первый признак успешного присоединения – в домене Active Directory должен появиться объект сервера.
Также должна появиться A-запись на сервере DNS.
Шаги по дальнейшей проверке приведены в разделе ниже.
Проверка
Сначала проверим статус утилитой astra-ad-sssd-client:
sudo astra-ad-sssd-client -i
root@AS02:/home/roman# sudo astra-ad-sssd-client -i Обнаружен настроенный клиент в домене itproblog.ru
Попробуем запросить билет Kerberos для учетной записи roman:
kinit roman
Посмотрим, что билет удалось получить:
klist
Ticket cache: FILE:/tmp/krb5cc_0 Default principal: roman@ITPROBLOG.RU Valid starting Expires Service principal 10.01.2024 22:57:23 11.01.2024 08:57:23 krbtgt/ITPROBLOG.RU@ITPROBLOG.RU renew until 11.01.2024 22:57:19
Теперь попробуем посмотреть состав групп для одного из доменных пользователей:
id u1
root@AS02:/home/roman# id u1 uid=127001108(u1) gid=127000513(domain users) группы=127000513(domain users),127001105(grafanaadmin)
Финальная проверка – это попробовать аутентифицироваться под доменной учетной записью:
Как видно из скриншота выше – у меня получилось выполнить вход на сервер под доменной учетной записью, а это значит, что все настройки были выполнены корректно и присоединение Astra Linux к домену Active Directory завершено успешно.
Что-то не работает
Как и для любой Linux системы причин может быть много. С чего можно начать:
1. Проверьте журнал системы на наличие ошибок. Возможно вы найдете какие-то зацепки.
journalctl -r
less /var/log/syslog
2. Попробуйте посмотреть журналы вот в этой директории:
ls -l /var/log/sssd/
3. Проверьте конфигурацию файла /etc/nsswitch.conf. Пример моей конфигурации:
passwd: files sss group: files sss shadow: files sss gshadow: files hosts: files dns networks: files protocols: db files services: db files sss ethers: db files rpc: db files netgroup: nis sss automount: sss
4. Проверьте конфигурацию файла /etc/krb5.conf. Конфигурация моего файла:
[[libdefaults] default_realm = ITPROBLOG.RU # The following krb5.conf variables are only for MIT Kerberos. kdc_timesync = 1 ccache_type = 4 forwardable = true proxiable = true # The following encryption type specification will be used by MIT Kerberos # if uncommented. In general, the defaults in the MIT Kerberos code are # correct and overriding these specifications only serves to disable new # encryption types as they are added, creating interoperability problems. # # The only time when you might need to uncomment these lines and change # the enctypes is if you have local software that will break on ticket # caches containing ticket encryption types it doesn't know about (such as # old versions of Sun Java). # default_tgs_enctypes = des3-hmac-sha1 # default_tkt_enctypes = des3-hmac-sha1 # permitted_enctypes = des3-hmac-sha1 # The following libdefaults parameters are only for Heimdal Kerberos. fcc-mit-ticketflags = true [realms] ITPROBLOG.RU = < admin_server = DC01.ITPROBLOG.RU default_domain = ITPROBLOG.RU >[domain_realm] itproblog.ru = ITPROBLOG.RU .itproblog.ru = ITPROBLOG.RU
Linux машина в домене Windows AD с помощью sssd и krb5
Была необходимость ввести в домен Windows машину с Ubuntu. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.
Для примера будем использовать:
Домен = contoso.com
Контроллер домена = dc.contoso.com
Запускаем терминал Ubuntu:
1. Переключаемся под рута
sudo -i
2. Устанавливаем необходимые пакеты
apt install sssd heimdal-clients msktutil
3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция
[libdefaults] default_realm = CONTOSO.COM [realms] CONTOSO.COM = < kdc = DC admin_server = dc.contoso.com default_domain = contoso.com >[login] krb4_convert = true krb4_get_tickets = false [domain_realm] .contoso.com = CONTOSO.COM contoso.com = CONTOSO.COM
4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:
127.0.0.1 localhost 127.0.1.1 .contoso.com
5. Пробуем получить Kerberos ticket от имени администратора домена:
root@ubuntu:~# kinit YourDomainAdmin YourDomainAdmin@CONTOSO.COM's Password:
root@ubuntu:~# klist Credentials cache: FILE:/tmp/krb5cc_0 Principal: YourDomainAdmin@CONTOSO.COM Issued Expires Principal Dec 1 15:08:27 2018 Dec 2 01:08:22 2018 krbtgt/CONTOSO.COM@CONTOSO.COM
Если тикет получен успешно, то теперь можно сгенерировать Kerberos principals для данного хоста, регистр важен:
msktutil -c -b 'CN=YourComputersOU' -s HOST/HOSTNAME.contoso.com -k /etc/sssd/HOSTNAME.keytab --computer-name HOSTNAME --upn HOSTNAME$ --server dc.contoso.com —user-creds-only msktutil -c -b 'CN=YourComputersOU' -s HOST/HOSTNAME -k /etc/sssd/HOSTNAME.keytab --computer-name HOSTNAME --upn HOSTNAME$ --server dc.contoso.com --user-creds-only
Сейчас наш хост должен отобразиться в списке компьютеров в каталоге. Если все так — удаляем полученный Kerberos ticket:
kdestroy
6. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:
[sssd] services = nss, pam config_file_version = 2 domains = contoso.com [nss] entry_negative_timeout = 0 debug_level = 3 [pam] debug_level = 3 [domain/contoso.com] debug_level = 3 ad_domain = contoso.com ad_server = dc.contoso.com enumerate = false id_provider = ad auth_provider = ad chpass_provider = ad access_provider = simple simple_allow_groups = users #каким группам разрешено логиниться, через запятую. Есть ограничение — названия групп должны быть с маленькой буквы. ldap_schema = ad ldap_id_mapping = true fallback_homedir = /home/%u default_shell = /bin/bash ldap_sasl_mech = gssapi ldap_sasl_authid = $ ldap_krb5_init_creds = true krb5_keytab = /etc/sssd/.keytab
Описание параметров конфигфайла sssd можно посмотреть тут
Устанавливаем права доступа для файла sssd.conf:
chmod 600 /etc/sssd/sssd.conf
Перезапускаем SSSD service
service sssd restart
7. Редактируем настройки PAM
Плохое решение:
редактируем файл /etc/pam.d/common-session, после строки
session required pam_unix.so
session required pam_mkhomedir.so skel=/etc/skel umask=0022
Хорошее решение:
переопределить параметры через системные настройки PAM, вызываем
pam-auth-update
и отмечаем пункты sss auth и makehomdir. Это автоматически добавит
строчку выше в common-session и она не будет перезатерта при обновлении системы.
Теперь мы можем логиниться на машине доменными пользователями, которым разрешен вход.
P.S.: Можно дать права на использование sudo доменным группам. Используя visudo, редактируем файл /etc/sudoers, или лучше, как рекомендует maxzhurkin и iluvar, создаем новый файл в /etc/sudoers.d/ и редактируем его
visudo -f /etc/sudoers.d/ваш_файл
добавляем требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):
%Domain\ Admins ALL=(ALL) ALL
P.S.S.: Спасибо gotch за информацию о realmd. Очень удобно — если не нужны специфические настройки, то ввод машины в домен занимает, по сути, три (как заметил osipov_dv четыре) команды:
1. Устанавливаем нужные пакеты:
sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli
2. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:
127.0.0.1 localhost 127.0.1.1 .contoso.com
3. Проверяем, что наш домен виден в сети:
realm discover contoso.com
4. Вводим машину в домен:
sudo realm --verbose join contoso.com -U YourDomainAdmin --install=/
5. Редактируем настройки PAM
sudo pam-auth-update
Дополнительный плюс данного варианта — сквозная авторизация на файловых ресурсах домена.
Для того чтоб при входе не указывать дополнительно к логину домен, можно добавить суффикс по умолчанию. В файле /etc/sssd/sssd.conf, в блоке [sssd] добавляем строку:
default_domain_suffix = contoso.com
Ввод Astra Linux в домены Windows AD
Active Directory представляет собой службы для системного управления. Они являются намного лучшей альтернативой локальным группам и позволяют создать компьютерные сети с эффективным управлением и надёжной защитой данных. Но это всё технические аспекты внедрения и поддержания работоспособности служб Active Directory. Давайте поговорим о тех преимуществах, которые получает компания, отказываясь от одноранговой сети с использованием рабочих групп.
1. Единая точка аутентификации
В рабочей группе на каждом компьютере или сервере придётся вручную добавлять полный список пользователей, которым требуется сетевой доступ. Если вдруг один из сотрудников захочет сменить свой пароль, то его нужно будет поменять на всех компьютерах и серверах. Хорошо, если сеть состоит из 10 компьютеров, но если их больше? При использовании домена Active Directory все учётные записи пользователей хранятся в одной базе данных, и все компьютеры обращаются к ней за авторизацией. Все пользователи домена включаются в соответствующие группы, например, «Бухгалтерия», «Финансовый отдел». Достаточно один раз задать разрешения для тех или иных групп, и все пользователи получат соответствующий доступ к документам и приложениям. Если в компанию приходит новый сотрудник, для него создаётся учётная запись, которая включается в соответствующую группу, – сотрудник получает доступ ко всем ресурсам сети, к которым ему должен быть разрешён доступ. Если сотрудник увольняется, то достаточно заблокировать – и он сразу потеряет доступ ко всем ресурсам (компьютерам, документам, приложениям).
2. Единая точка управления политиками
В рабочей группе все компьютеры равноправны. Ни один из компьютеров не может управлять другим, невозможно проконтролировать соблюдение единых политик, правил безопасности. При использовании единого каталога Active Directory, все пользователи и компьютеры иерархически распределяются по организационным подразделениям, к каждому из которых применяются единые групповые политики. Политики позволяют задать единые настройки и параметры безопасности для группы компьютеров и пользователей. При добавлении в домен нового компьютера или пользователя, он автоматически получает настройки, соответствующие принятым корпоративным стандартам. При помощи политик можно централизованно назначить пользователям сетевые принтеры, установить необходимые приложения, задать параметры безопасности браузера, настроить приложения Microsoft Office.
3. Повышенный уровень информационной безопасности
Использование служб Active Directory значительно повышает уровень безопасности сети. Во-первых – это единое и защищённое хранилище учётных записей. В доменной среде все пароли доменных пользователях хранятся на выделенных серверах контроллерах домена, которые, как правило, защищены от внешнего доступа. Во-вторых, при использовании доменной среды для аутентификации используется протокол Kerberos, который значительно безопаснее, чем NTLM, использующийся в рабочих группах.
4. Интеграция с корпоративными приложениями и оборудованием
Большим преимуществом служб Active Directory является соответствие стандарту LDAP, который поддерживается другими системами, например, почтовыми серверами (Exchange Server), прокси-серверами (ISA Server, TMG). Причем это не обязательно только продукты Microsoft. Преимущество такой интеграции заключается в том, что пользователю не требуется помнить большое количество логинов и паролей для доступа к тому или иному приложению, во всех приложениях пользователь имеет одни и те же учётные данные – его аутентификация происходит в едином каталоге Active Directory. Windows Server для интеграции с Active Directory предоставляет протокол RADIUS, который поддерживается большим количеством сетевого оборудования. Таким образом, можно, например, обеспечить аутентификацию доменных пользователей при подключении по VPN извне, использование Wi-Fi точек доступа в компании.
5. Единое хранилище конфигурации приложений
Некоторые приложения хранят свою конфигурацию в Active Directory, например, Exchange Server. Развёртывание службы каталогов Active Directory является обязательным условием для работы этих приложений. Хранение конфигурации приложений в службе каталогов является выгодным с точки зрения гибкости и надёжности. Например, в случае полного отказа сервера Exchange, вся его конфигурация останется нетронутой. Для восстановления работоспособности корпоративной почты, достаточно будет переустановить Exchange Server в режиме восстановления.
Подводя итоги, хочется еще раз акцентировать внимание на том, что службы Active Directory являются сердцем ИТ-инфраструктуры предприятия. В случае отказа вся сеть, все сервера, работа всех пользователей будут парализованы. Никто не сможет войти в компьютер, получить доступ к своим документам и приложениям. Поэтому служба каталогов должна быть тщательно спроектирована и развёрнута, с учётом всех возможных нюансов, например, пропускной способности каналов между филиалами или офисами компании (от этого напрямую зависит скорость входа пользователей в систему, а также обмен данными между контроллерами домена).
Графический инструмент fly-admin-ad-client
Установка пакетов
В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно Графический менеджер пакетов synaptic или из командной строки командой:
sudo apt install fly-admin-ad-client -y
При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.
Ввод в домен с помощью fly-admin-ad-client
Открыть «Панель управления»
Выбрать раздел «Сеть» → «Настройка клиента Active Directory»:
Заполнить все поля и нажать кнопку «Подключиться»:
Инструмент командной строки astra-winbind
Установка пакетов
Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:
sudo apt install astra-winbind
Ввод компьютера в домен может быть выполнен командой:
sudo astra-winbind -dc dc01.example.com -u Администратор
-dc dc01.example.com — указание контроллера домена;
-u Администратор — указание имени администратора домена;
Подсказка по команде:
sudo astra-winbind -h Usage: astra-winbind ключи: -h этот текст -dc имя контроллера домена. если FQDN, ключ -d можно опустить -d домен. если отсутствует, берется из файла /etc/resolv.conf -g группа. если отсутствует, берется из домена -n сервер времени. если нет, используется контроллер домена -y отключает запрос подтверждения -i информация по текущему подключению -u логин администратора домена -px получает пароль администратора домена из stdin -p пароль администратора домена (небезопасно) -s разрешить и запустить службу подключения к домену -S запретить и остановить службу подключения к домену -l вывести компьютер из домена