1

Тема: Windows авторизация на Ubuntu

Это можно сделать на Ubuntu начиная с версии 14.04.

Ставим пакеты:

apt-get install realmd sssd samba-common samba-common-bin samba-libs sssd-tools krb5-user adcli

Самое главное в windows авторизации иметь уникальное имя ПК linux. Это делается в файлах hostname и hosts, которые должны иметь вид:

/etc/hostname:

lx_hostname15

/etc/hosts:

127.0.0.1 localhost lx_hostname15 lx_hostname15.mydomain.ru

Правим файл krb5.conf, основные параметры в нем:

[libdefaults]

default_realm = MYDOMAIN.RU


[realms]

MYDOMAIN.RU = {

kdc = AD_SERVER.MYDOMAIN.RU

admin_server = AD_SERVER.MYDOMAIN.RU

default_domain = MYDOMAIN.RU

}


[domain_realm]

.mydomain.ru = MYDOMAIN.RU

mydomain.ru  = MYDOMAIN.RU


Начинаем заведение ПК в домен:

Получаем тикет от домена на администратора.

kinit -V Administrator@MYDOMAIN.RU

эта команда запросит пароль администратора домена.
Заводим ПК в домен.

realm --verbose join --computer-ou="ou=Linux_Computer,dc=mydomain,dc=ru" -U Administrator MYDOMAIN.RU

--coputer-ou - OU в домене Windows, где будут находиться ПК. Если не указывать все ПК будут в ou Computer
-U - логин администратора домена
через пробел имя домена.
Все ПК в домене.

Останавливаем сервис sssd

systemctrl stop sssd

правим его конфиг

Добавляем в секцию [domain/NAMEDOMAIN]

ad_gpo_access_control = permissive

где NAMEDOMAIN имя домена
use_fully_qualified_names = True меняем на use_fully_qualified_names = False

fallback_homedir = /home/%d/%u меняем на fallback_homedir = /home/%u/

fallback_homedir - где будет создан домашний каталог пользователя по умолчанию /home/domain/username, мы меняем на /home/username
Удаляем кэшь сервиса sssd

rm -f /var/lib/sss/db/* rm -f /var/lib/sss/mc/* rm -f /var/lib/sss/pipes/* rm -f /var/lib/sss/pipes/private/* rm -f /var/lib/sss/pubconf/*

Запускаем сервис sssd

systemctrl start sssd

Проверка на пользователя:

getent passwd userad

где userad имя пользователя в домене
должно отобразиться, что-то вида

userad:*:931203214:931200513:userad:/home/userad:/bin/bash

Проверка на группу:

getent group linux_users

linux_users:*:931203226:userad,user1,user2,

Во время установки pam файлы сами изменяются на те которые нам нужно.

Все настройка завершена.


Некоторые команды которые могу понадобиться:


Проверка параметров realmd:

realm discover MYDOMAIN.RU

Вывести ПК из домена:

realm --verbose leave -U Administrator MYDOMAIN.RU

-U - имя администратора домена
через пробел имя домена