Информация
На главную Главная

Мой t-cards.ru
Войти Войти
Зарегистрироваться Регистрация

Разное
Форум Форум
Вернуться Форумы на t-cards.ru> Hard"n"Soft
Логин
Пароль
Регистрация Участники Поиск >> FAQ


Сообщения в теме: "Gentoo Linux включаем в w3k домен..."
12.02.2008 12:48
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Здесь будет описано как включить линуху в домен
12.02.2008 12:52
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Итак идем в /etc/make.conf и настраиваем USE флаги
USE="samba unicode ldap winbind kerberos ads"

Эти флаги должны быть включены, флаг unicode нужен, если вы собираетесь иметь машину на UTF8, рекомендую.

После этого необходимо собрать керберос и самбу.
#emerge app-crypt/mit-krb5 -uDNav
#emerge samba -uDNav
12.02.2008 12:54
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Теперь настроим керберос
#vi /etc/krb5.conf
[libdefaults]
ticket_lifetime = 24000
default_tkt_enctypes = des3-hmac-sha1 des-cbc-crc
default_tgs_enctypes = des3-hmac-sha1 des-cbc-crc
forwardable = true
proxiable = true
default_realm = GC-MASTER
dns_lookup_realm = true
dns_lookup_kdc = true
krb4_config = /usr/kerberos/lib/krb.conf
krb4_realms = /usr/kerberos/lib/krb.realms



[realms]
GC-MASTER = {
kdc = gagaren.gc-master:88
kdc = bazooka.gc-master:88
}



[domain_realm]
.gc-master = GC-MASTER
gc-master = GC-MASTER
[kdc]
profile = /etc/kdc.conf


[logging]
# kdc = CONSOLE
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

--------------------------------------
Пояснения:
1. У меня имя домена GC-MASTER
2. gagaren - первичный котролер домена, bazooka - вторичный
3. Регистр крайне важен
12.02.2008 12:58
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Теперь настроим /etc/hosts
192.168.1.1 gagaren.gc-master gagaren
192.168.33.2 bazooka.gc-master bazooka
192.168.33.97 ackiy_gw.gc-master ackiy_gw

-------------------------
Как видим здесь прописаны адреса контролеров и нашей машины

Теперь настроим /etc/resolv.conf
search GC-MASTER
domain GC-MASTER
nameserver 192.168.1.1
nameserver 192.168.33.2

-------------------------
первые две строчки крайне важны и если вы получаете адрес по дшсп, то вам нужно настроить дшсп, чтобы он их передавал.
12.02.2008 13:04
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Теперь настроим самбу /etc/samba/smb.conf
[global]
workgroup = GC-MASTER
netbios name = ACKIY_GW
server string = Samba Server %v
load printers = no
log file = /var/log/samba/log.%m
max log size = 500
log level = 2
security = ads
password server = 192.168.1.1
idmap uid = 10000-20000
wins server = 192.168.1.1
allow trusted domains = yes
winbind separator = +
realm = GC-MASTER
template homedir = /home/%D/%U
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
encrypt passwords = yes
smb passwd file = /etc/samba/smbpasswd
unix password sync = Yes
passwd program = /usr/bin/passwd %u
passwd chat = *New*UNIX*password* %n\\\\n *ReType*new*UNIX*password* %n\\\\n *passwd:*all*authentication*tokens*updated*successfully*
auth methods = winbind
client ntlmv2 auth = yes

local master = no
domain master = no
preferred master = no
domain logons = no
os level = 1
name resolve order = host lmhosts bcast
dns proxy = no

socket options = TCP_NODELAY SO_RCVBUF=8192 SO_SNDBUF=8192

dos charset = 866 #Эти две строчки если у нас UTF8
unix charset = UTF-8

[share]
comment = share
path = /home/share
public = yes
writable = yes
browseable = yes

valid users = @GC-MASTER+Users
create mask = 0744
directory mask = 0770

---------------------------
Пояснения:
1. netbios name - имя нашей машины
2. Workgroup - имя домена
3. password server - ип первичного контролера домена
12.02.2008 13:07
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Теперь поправим ещё одну маленькую приблуду
#vi /etc/nsswitch.conf

passwd: compat winbind
shadow: compat winbind
group: compat winbind

В двух словах, верхние три строки должны выглядеть так, т.е. добавляем winbind в конец
12.02.2008 13:13
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Всё с конфигами покончено, начинаем включаться в домен:
1. Получим ключ(он же билет\\ticket) шифрования у кербероса
#kinit pavel@GC-MASTER
Запросит пароль для пользователя pavel, который должен быть администратором домена
и молча выйдет
проверим что ключ получен:
ackiy_gw ~ # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: pavel@GC-MASTER

Valid starting Expires Service principal
01/31/08 14:30:32 01/31/08 21:10:32 krbtgt/GC-MASTER@GC-MASTER
01/31/08 14:29:56 01/31/08 21:10:32 gagaren$@GC-MASTER

Должно быть где то так.

2. Начинаем включать в домен самбу
для начала её запустим
#/etc/init.d/samba start
и запустим winbind
# winbind -i

В отдельном терминале начинаем включать в домен
# net time set - засинхаем время из за это часто бывают болты
# net join -U pavel
Опять же пользователь pavel должен быть админом домена.
Если # net join -U pavel не проканает, можно попробовать net ads join -U pavel

Должен сказать, что добро пожаловать в домен.
Если так сказал, то ура мы в домене.
Проверим, что всё хорошо:
# wbinfo -u
Покажет список пользователей домена
# wbinfo -g
Покажет список групп домена

12.02.2008 13:22
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

Теперь всё отлизиваем:
1.Завершаем ручками запущенный winbind
2.Останавливаем самбу
3.Лезем в #vi /etc/conf.d/samba
строка должна daemon_list должна выглядеть так
daemon_list="smbd nmbd winbind"
4.Запускаем самбу, должно стартануть три демона
5. Делаем getent group
6. Делаем getent passwd
Это синхронизирует пользователей и группы линухи с доменовскими

Ну вроде ничего не забыл, если не получится спрашивайте

12.02.2008 13:38
Admin

Регистрация: 01.12.2005
Проживание: Москва
Сообщения: 69
По умолчаниюGentoo Linux включаем в w3k домен

И на всякий пожарный как в объявлении доступа использовать доменные учетки

[share]
comment = share
path = /home/share
public = yes
writable = yes
browseable = yes

valid users = @GC-MASTER+Users
create mask = 0744
directory mask = 0770

-----------------------------
valid users = @GC-MASTER+Users
Это для группы gc-master\\user
А для группы gc-master\\domain admins строка должны выглядеть так
valid users = @"GC-MASTER+domain admins"
А если нам нужно дать доступ просто двум пользователям pavel и serg, то строка будет выглядеть так
valid users = GC-MASTER+pavel GC-MASTER+serg

31.07.2013 00:28
Admin

Регистрация: 05.10.2005
Проживание: Москва
Сообщения: 272
По умолчаниюGentoo Linux включаем в w3k домен

Если при выполнении команды kinit возникает такой болт:

kinit: KDC has no support for encryption type while getting initial credentials

, то как вариант самого простого решения - в файл /etc/krb5.conf добавить опцию
allow_weak_crypto = yes
в секцию [libdefaults]