- Операционные системы Astra Linux
- Linux машина в домене Windows AD с помощью sssd и krb5
- Читают сейчас
- Редакторский дайджест
- Похожие публикации
- Что я узнал, потратив 5 000 долларов на эксперименты с Facebook Ads
- Вакансии
- Минуточку внимания
- Комментарии 32
- Операционные системы Astra Linux
- Astra linux + MS active directory
- Операционные системы Astra Linux
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
Astra Linux Common Edition предназначена для автоматизации к оммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Linux машина в домене Windows AD с помощью sssd и krb5
Была необходимость ввести в домен Windows машину с Ubuntu. Для этих целей обычно используют Samba и Winbind. Но возможен альтернативный вариант с sssd, краткое руководство по нему ниже.
Для примера будем использовать:
Домен = contoso.com
Контроллер домена = dc.contoso.com
Запускаем терминал Ubuntu:
1. Переключаемся под рута
2. Устанавливаем необходимые пакеты
3. Редактируем /etc/krb5.conf, в качестве отступов используется табуляция
4. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:
5. Пробуем получить Kerberos ticket от имени администратора домена:
Если тикет получен успешно, то теперь можно сгенерировать Kerberos principals для данного хоста, регистр важен:
Сейчас наш хост должен отобразиться в списке компьютеров в каталоге. Если все так — удаляем полученный Kerberos ticket:
6. Создаем файл /etc/sssd/sssd.conf со следующим содержимым:
Описание параметров конфигфайла sssd можно посмотреть тут
Устанавливаем права доступа для файла sssd.conf:
Перезапускаем SSSD service
7. Редактируем настройки PAM
редактируем файл /etc/pam.d/common-session, после строки
переопределить параметры через системные настройки PAM, вызываем
и отмечаем пункты sss auth и makehomdir. Это автоматически добавит
строчку выше в common-session и она не будет перезатерта при обновлении системы.
Теперь мы можем логиниться на машине доменными пользователями, которым разрешен вход.
P.S.: Можно дать права на использование sudo доменным группам. Используя visudo, редактируем файл /etc/sudoers, или лучше, как рекомендует maxzhurkin и iluvar, создаем новый файл в /etc/sudoers.d/ и редактируем его
добавляем требуемую группу — например, Domain Admins (если в названии группы есть пробелы — их необходимо экранировать):
P.S.S.: Спасибо gotch за информацию о realmd. Очень удобно — если не нужны специфические настройки, то ввод машины в домен занимает, по сути, три (как заметил osipov_dv четыре) команды:
1. Устанавливаем нужные пакеты:
2. Редактируем файл /etc/hosts, указываем FQDN для данного хоста:
3. Проверяем, что наш домен виден в сети:
4. Вводим машину в домен:
5. Редактируем настройки PAM
Дополнительный плюс данного варианта — сквозная авторизация на файловых ресурсах домена.
Для того чтоб при входе не указывать дополнительно к логину домен, можно добавить суффикс по умолчанию. В файле /etc/sssd/sssd.conf, в блоке [sssd] добавляем строку:
Читают сейчас
Редакторский дайджест
Присылаем лучшие статьи раз в месяц
Скоро на этот адрес придет письмо. Подтвердите подписку, если всё в силе.
Похожие публикации
Что я узнал, потратив 5 000 долларов на эксперименты с Facebook Ads
Вакансии
AdBlock похитил этот баннер, но баннеры не зубы — отрастут
Минуточку внимания
Комментарии 32
(у вас в начале текста contoso.com потом contoso.domain)
Лучше добавить — «используя visudo»
Файлы в /etc/sudoers.d/ правятся по тем же правилам, что и /etc/sudoers:
Просто так править файлы в /etc/sudoers.d/ не стоит
На счет PBIS ничего сказать не могу, не пробовал, но вот на счет GSSAPI — SMB:
Так тут GSSAPI как раз используется. Есть одно немаловажное различие: SMB не говорит в чем у него проблема при попытке ввода в домен — просто с ошибкой вываливается, а msktutil при —verbose говорит. Например:
modify_ext: ldap_modify_ext_s failed (Insufficient access)
ldap modification of CN=…
failed while trying to change msDs-supportedEncryptionTypes to 28.
Error was: Insufficient access
А без этого старые линухи, например RHEL 6.5 или 6.9 не могут нормально подключиться к домену, а SMB говорит просто:
$ net ads join -U admin.account
Failed to join domain: failed to lookup DC info for domain ‘. ‘ over rpc: NT_STATUS_CONNECTION_RESET
Или какие-нибудь другие ошибки RPC, но не конкретно что не нравится (пробовал дебаги включать — бес толку).
# klist -k -e
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
— — 4 UBUNTU-AD2$@MSSUP.LOCAL (des-cbc-crc)
4 UBUNTU-AD2$@MSSUP.LOCAL (des-cbc-md5)
4 UBUNTU-AD2$@MSSUP.LOCAL (arcfour-hmac)
4 UBUNTU-AD2$@MSSUP.LOCAL (aes128-cts-hmac-sha1-96)
4 UBUNTU-AD2$@MSSUP.LOCAL (aes256-cts-hmac-sha1-96)
4 host/UBUNTU-AD2@MSSUP.LOCAL (des-cbc-crc)
4 host/UBUNTU-AD2@MSSUP.LOCAL (des-cbc-md5)
4 host/UBUNTU-AD2@MSSUP.LOCAL (arcfour-hmac)
4 host/UBUNTU-AD2@MSSUP.LOCAL (aes128-cts-hmac-sha1-96)
4 host/UBUNTU-AD2@MSSUP.LOCAL (aes256-cts-hmac-sha1-96)
4 host/ubuntu-ad2@MSSUP.LOCAL (des-cbc-crc)
4 host/ubuntu-ad2@MSSUP.LOCAL (des-cbc-md5)
4 host/ubuntu-ad2@MSSUP.LOCAL (arcfour-hmac)
4 host/ubuntu-ad2@MSSUP.LOCAL (aes128-cts-hmac-sha1-96)
4 host/ubuntu-ad2@MSSUP.LOCAL (aes256-cts-hmac-sha1-96)
4 RestrictedKrbHost/UBUNTU-AD2@MSSUP.LOCAL (des-cbc-crc)
4 RestrictedKrbHost/UBUNTU-AD2@MSSUP.LOCAL (des-cbc-md5)
4 RestrictedKrbHost/UBUNTU-AD2@MSSUP.LOCAL (arcfour-hmac)
4 RestrictedKrbHost/UBUNTU-AD2@MSSUP.LOCAL (aes128-cts-hmac-sha1-96)
4 RestrictedKrbHost/UBUNTU-AD2@MSSUP.LOCAL (aes256-cts-hmac-sha1-96)
4 RestrictedKrbHost/ubuntu-ad2@MSSUP.LOCAL (des-cbc-crc)
4 RestrictedKrbHost/ubuntu-ad2@MSSUP.LOCAL (des-cbc-md5)
4 RestrictedKrbHost/ubuntu-ad2@MSSUP.LOCAL (arcfour-hmac)
4 RestrictedKrbHost/ubuntu-ad2@MSSUP.LOCAL (aes128-cts-hmac-sha1-96)
4 RestrictedKrbHost/ubuntu-ad2@MSSUP.LOCAL (aes256-cts-hmac-sha1-96)
А вот так работает:
root@ubuntu-ad2:
# klist -k
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
— — 3 host/ubuntu-ad2.mssup.local@MSSUP.LOCAL
3 host/UBUNTU-AD2@MSSUP.LOCAL
3 host/ubuntu-ad2.mssup.local@MSSUP.LOCAL
3 host/UBUNTU-AD2@MSSUP.LOCAL
3 host/ubuntu-ad2.mssup.local@MSSUP.LOCAL
3 host/UBUNTU-AD2@MSSUP.LOCAL
3 host/ubuntu-ad2.mssup.local@MSSUP.LOCAL
3 host/UBUNTU-AD2@MSSUP.LOCAL
3 host/ubuntu-ad2.mssup.local@MSSUP.LOCAL
3 host/UBUNTU-AD2@MSSUP.LOCAL
3 UBUNTU-AD2$@MSSUP.LOCAL
3 UBUNTU-AD2$@MSSUP.LOCAL
3 UBUNTU-AD2$@MSSUP.LOCAL
3 UBUNTU-AD2$@MSSUP.LOCAL
3 UBUNTU-AD2$@MSSUP.LOCAL
решение — запускать hostname FQDN перед присоединением в домен.
simple_allow_groups = users #каким группам разрешено логиниться, через запятую. Есть ограничение — названия групп должны быть с маленькой буквы.
Это не совсем так…
Есть специальный параметр, я бы рекомендовал его явно ставить в False:
case_sensitive (string)
Treat user and group names as case sensitive. At the moment, this
option is not supported in the local provider. Possible option
values are:
True
Case sensitive. This value is invalid for AD provider.
False
Case insensitive.
Preserving
Same as False (case insensitive), but does not lowercase names
in the result of NSS operations. Note that name aliases (and in
case of services also protocol names) are still lowercased in
the output.
Default: True (False for AD provider)
Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
Astra Linux Common Edition предназначена для автоматизации к оммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
Astra linux + MS active directory
Альтернатива «Active Directory» в среде Linux
Приветствую вас, уважаемые коллеги и участники форума. На работе поставили задачу перейти на.
Логирование в astra linux
Всем привет. Не могу настроить логирование входа/выхода пользователя в астре, в /var/log/auth.log.
Два монитора в astra linux
Всем привет! Может кто-нибудь подсказать как в astra linux сделать два монитора? Единственное что.
Squid, Авторизация, Домен Active Directory, Группы пользователей
Здравствуйте! В настоящий момент в организации используется прокси сервер Squid на CentOS и доступ.
1. нет никаких доменов в линуксах, это исключительно проприетарная технология и терминология от MS. В линуксах в дистрибутивах есть реализации, обспечивающие местами сходный функциоанал
2. отечественный дистрибутив… ну не знаю, никогда ни один не использовал по очевидным причинам
3. мой товарищ использует в аналогичной ситуации не первый год Calculate directory Server вместе с Calculate Linux Desktop
AD и домены – это обширная и проработанная концепция централизованного и достаточного управления довольно сложной иерархией, хм, пусть будет хостов 
не будем углубляться в то, что там плохо и хорошо.
Про то, что напилено на разных коленках в рамках «сделать нечто похожее», говорить не будем, это как минимум совершенно иной уровень.
мотоциклы и тепловозы – это тоже ДВС плюс колеса. ну и оба для ездить 
Добавлено через 2 минуты
да и вообще – в рамках вопроса ТС мы как-то далеко зашли. полагаю, он может взять и начинать мучаться с абсолютно любого дистрибутива.
Операционные системы Astra Linux
Операционные системы Astra Linux Common Edition и Astra Linux Special Edition разработаны коллективом открытого акционерного общества «Научно-производственное объединение Русские базовые информационные технологии» и основаны на свободном программном обеспечении. С 17 декабря 2019 года правообладателем, разработчиком и производителем операционной системы специального назначения «Astra Linux Special Edition» является ООО «РусБИТех-Астра».
Astra Linux Common Edition предназначена для автоматизации к оммерческих предприятий и органов государственного управления.
Astra Linux Special Edition предназначена для применения в автоматизированных системах в защищенном исполнении, обрабатывающих информацию ограниченного распространения, включая государственную тайну до степени секретности «особой важности» .
На сайте представлена подробная информация о разработанных операционных системах семейства Astra Linux, а также техническая документация для пользователей операционных систем и разработчиков программного обеспечения. Кроме того, предоставлена возможность скачать дистрибутивы и исходные тексты операционной системы Astra Linux Common Edition, а также задать интересующие вопросы разработчикам .
Мы будем признательны Вам за вопросы и предложения, которые позволят совершенствовать наши изделия в Ваших интересах и адаптировать их под решаемые Вами задачи!
Репозитория открытого доступа в сети Интернет для операционной системы Astra Linux Special Edition нет. Операционная система распространяется посредством DVD-дисков.
Информацию о сетевых репозиториях операционной системы Astra Linux Common Edition Вы можете получить на нашем сайте.
