Created
October 1, 2021 06:20
-
-
Save v-bus/b3f9c9f7c05fe1e7c796046ed099c104 to your computer and use it in GitHub Desktop.
Add Ubuntu to AD
This file contains bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Введение Ubuntu в домен | |
Предполагается что перед этим у вас уже корректно настроен netplan и доменные сервисы доступны с Linux машины и все действия будут выполнять с правами root. | |
1.Устанавить realmd командой: apt install realmd | |
2.Выполнить команду realm discover [ваш].[домен]. Это команда проверит доступность домена и выдаст необходимые для работы с данным доменом пакеты. Пример команды: realm discover contoso.com | |
Пример вывода команды для Active Directory домена: | |
contoso.com | |
type: kerberos | |
realm-name: CONTOSO.COM | |
domain-name: contoso.com | |
configured: kerberos-member | |
server-software: active-directory | |
client-software: sssd | |
required-package: sssd-tools | |
required-package: sssd | |
required-package: libnss-sss | |
required-package: libpam-sss | |
required-package: adcli | |
required-package: samba-common-bin | |
login-formats: %U | |
login-policy: allow-realm-logins | |
3.Устанавлить required-package из предыдущего пункта командой apt install [список пакетов]. Например, для Active Directory команда обычно выглядит так: apt install sssd-tools sssd libnss-sss libpam-sss adcli samba-common-bin | |
4.Присоединить машину к домену командой realm join -v [ваш].[домен] -U [Учётная запись с правами введения в домен]. Пример: realm join -v contoso.com -U Administrator | |
5.Открыть файл /etc/sssd/sssd.conf и убедиться, что его содержимое схоже со следующим: | |
[sssd] | |
domains = contoso.com | |
config_file_version = 2 | |
services = nss, pam | |
[domain/contoso.com] | |
ad_domain = contoso.com | |
krb5_realm = CONTOSO.COM | |
realmd_tags = manages-system joined-with-adcli | |
cache_credentials = True | |
id_provider = ad | |
krb5_store_password_if_offline = True | |
default_shell = /bin/bash | |
ldap_id_mapping = True | |
use_fully_qualified_names = true | |
fallback_homedir = /home/%u@%d | |
access_provider = ad | |
По умолчанию вход в систему производится с указанием домена по типу [имя пользователя]@[ВАШ].[ДОМЕН]. Это можно изменить, указав в строчке use_fully_qualified_names значение false. Это позволит входить в систему просто по имени пользователя без указания домена. | |
6.Перезапустить sssd командой: service sssd restart | |
7.Проверить что машина видит доменных пользователей можно командой id [имя пользователя] или id [имя пользователя]@[ВАШ].[ДОМЕН], в зависимости от того какое значение вы указали в параметре use_fully_qualified_names | |
8.Открыть файл /etc/pam.d/common-session и добавить в конец строчку "session required pam_mkhomedir.so umask=0022 skel=/etc/skel" | |
Это необходимо чтобы при входе в систему нового пользователя ему автоматически создавалась домашняя директория. | |
9.Установить пакет krb5-user командой: apt install krb5-user | |
При запросе доменного имени указать ваш домен. | |
10.Открыть файл /etc/krb5.conf и проверить что в разделе [libdefaults] в параметре default_realm указан ваш домен и что он указан заглавными буквами. |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment