Ввод компьютера в домен Windows Сравнение версий

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
wiki:ввод_в_домен_windows [2012/08/25 15:26]
wiki:ввод_в_домен_windows [2016/06/02 11:59] (текущий)
[Добавление Winbind в качестве источника пользователей и групп]
Строка 10: Строка 10:
 Установить всё это добро можно командой:​ Установить всё это добро можно командой:​
  
-  sudo aptitude install krb5-user samba winbind+  sudo aptitude install krb5-user samba winbind  
 +   
 +Также может понадобиться установить следующие библиотеки:​ 
 +   
 +  sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind
  
 Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic. Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic.
Строка 29: Строка 33:
 </​file>​ </​file>​
  
-Если IP-адрес динамический и присваивается DHCP сервером то после перезагрузки resolv.conf может формироваться "​неправильный"​ resolv.conf'​ , например присутствует только один nameserver 192.168.0.1 и не указаны domain и search, то проще всего отредактировать ''/​etc/​dhcp3/​dhclient.conf''​. Чтобы появились записи domain и search нужно убрать комментарий перед строкой supersede domain-name,​ и вписать свой домен:+В современных дистрибутивах файл resolv.conf создается автоматически и править вручную его не нужно. 
 +Для получение нужного результата нужно добавить необходимые изменения ​ в файл: ''/​etc/​resolvconf/​resolv.conf.d/​head''​ 
 +Данные которые будут добавлены в него, будут автоматически вставлены в файл ''/​etc/​resolv.conf''​ 
 + 
 +Если IP-адрес динамический и присваивается DHCP сервером то после перезагрузки resolv.conf может формироваться "​неправильный"​ resolv.conf'​ , например присутствует только один nameserver 192.168.0.1 и не указаны domain и search. Нужно отредактировать ''/​etc/​dhcp/​dhclient.conf''​. Чтобы появились записи domain и search нужно убрать комментарий перед строкой supersede domain-name,​ и вписать свой домен:
  
 <​file>​ <​file>​
Строка 52: Строка 60:
 </​file>​ </​file>​
  
-Кроме того необходимо отредактировать файл ''/​etc/​hosts''​ так, чтобы в нём была запись с полным доменным именем компьютера и //​обязательно//​ коротким именем хоста, ссылающаяся на один из внутренних IP, так же хорошо добавить полное и короткое имя контроллера домена:+Кроме того необходимо отредактировать файл ''/​etc/​hosts''​ так, чтобы в нём была запись с полным доменным именем компьютера и //​обязательно//​ коротким именем хоста, ссылающаяся на один из внутренних IP:
  
 <​file>​ <​file>​
Строка 58: Строка 66:
 127.0.0.1 localhost 127.0.0.1 localhost
 127.0.1.1 smbsrv01.domain.com smbsrv01 127.0.1.1 smbsrv01.domain.com smbsrv01
-192.168.0.1 dc.domain.com dc 
-192.168.0.2 dc2.domain.com dc2 
 </​file>​ </​file>​
  
Строка 322: Строка 328:
    ​winbind refresh tickets = yes    ​winbind refresh tickets = yes
 </​file>​ </​file>​
 +
 +<note important>​Параметры :
 +
 +idmap uid = 10000 - 40000
 +
 +idmap gid = 10000 - 40000
 +
 +в новых версиях Samba уже устарели и при проверке конфига самбы с помощью testparm
 +будет выдваться предупреждение:​
 +
 +WARNING: The "idmap uid" option is deprecated
 +
 +WARNING: The "idmap gid" option is deprecated
 +
 +Чтобы убрать предупреждения нужно заменить эти строки на новые:
 +
 +idmap config * : range = 10000-20000
 +
 +idmap config * : backend = tdb</​note>​
  
 Теперь перезапустите демон Winbind и Samba в следующем порядке:​ Теперь перезапустите демон Winbind и Samba в следующем порядке:​
Строка 328: Строка 353:
   sudo smbd restart   sudo smbd restart
   sudo /​etc/​init.d/​winbind start    sudo /​etc/​init.d/​winbind start 
 +
 +Запускаем ​
 +  sudo testparm
 +
 +Смотрим есть ли ошибки или предупреждения,​ если появится:​
 +
 +"​rlimit_max:​ rlimit_max (1024) below minimum Windows limit (16384)"​
 +
 +Без перезагрузки можно устранить так:
 +  ulimit -n 16384
 +
 +Для сохранения после перезагрузки отредактировать файл /​etc/​security/​limits.conf
 +  ​
 +  # Добавить в конец файла строки:​
 +  *               ​- ​   nofile ​           16384
 +  root            -    nofile ​           16384
  
 После перезапуска проверьте,​ что Winbind установил доверительные отношения с AD командой:​ После перезапуска проверьте,​ что Winbind установил доверительные отношения с AD командой:​
Строка 342: Строка 383:
  
 Итак, Winbind работает,​ однако в систему он ещё не интегрирован. Итак, Winbind работает,​ однако в систему он ещё не интегрирован.
- 
 ===== Добавление Winbind в качестве источника пользователей и групп ===== ===== Добавление Winbind в качестве источника пользователей и групп =====
  
Строка 360: Строка 400:
 group: ​         compat winbind group: ​         compat winbind
 </​file>​ </​file>​
 +
 +также рекомендую привести строку files в файле ''/​etc/​nsswitch.conf''​ к виду:
 +
 +<​file>​
 +files: ​         dns mdns4_minimal[NotFoud=return] mdns4
 +</​file> ​
 +
 +<note important>​ubuntu server 14.04, файл ''/​etc/​nsswitch.conf''​ не содержал строку ​
 +"​files: ​         dns mdns4_minimal[NotFoud=return] mdns4"
 +вместо неё было:
 +"​hosts: ​         files mdns4_minimal [NOTFOUND=return] dns wins"
 +Которую я преобразовал в:
 +"​hosts: ​         dns mdns4_minimal[NotFoud=return] mdns4 files"
 +после чего всё заработало
 +</​note>​
  
 Теперь проверьте,​ что Ubuntu запрашивает у Winbind информацию о пользователях и группах,​ выполнив Теперь проверьте,​ что Ubuntu запрашивает у Winbind информацию о пользователях и группах,​ выполнив
Строка 369: Строка 424:
  
 Теперь вы можете взять любого пользователя домена и сделать его, например,​ владельцем какого-нибудь файла. Теперь вы можете взять любого пользователя домена и сделать его, например,​ владельцем какого-нибудь файла.
- 
 ===== Авторизация в Ubuntu через пользователей домена ===== ===== Авторизация в Ubuntu через пользователей домена =====
  
Строка 380: Строка 434:
 <​file>​ <​file>​
 session ​ optional ​ pam_mkhomedir.so skel=/​etc/​skel/​ umask=0077 session ​ optional ​ pam_mkhomedir.so skel=/​etc/​skel/​ umask=0077
 +</​file>​
 +
 +Для **Ubuntu 13.10** чтобы появилось поле ручного ввода логина необходимо в любой файл из папки ''/​etc/​lightdm/​lightdm.conf/''​ снизу добавить строку:​
 +
 +<​file>​
 +greeter-show-manual-login=true
 </​file>​ </​file>​
  
 Для **Ubuntu 9.10 и ниже** придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 - он тоже работает):​ Для **Ubuntu 9.10 и ниже** придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 - он тоже работает):​
 +
 <note important>​Последовательность строк в файлах имеет значение! </​note>​ <note important>​Последовательность строк в файлах имеет значение! </​note>​
  
Строка 422: Строка 483:
  
   mv /​etc/​rc4.d/​S20winbind /​etc/​rc4.d/​S99winbind   mv /​etc/​rc4.d/​S20winbind /​etc/​rc4.d/​S99winbind
 +  ​
 +<note important>​В некоторых случаях winbind может иметь иной уровень запуска (например,​ S02winbind). Поэтому сначала проверьте имена файлов,​ вполнив команду "ls /​etc/​rc{2,​3,​4,​5}.d/​ | grep winbind"​ (без кавычек).</​note>​
  
 Готово,​ все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена. Готово,​ все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.
Строка 486: Строка 549:
 </​file>​ </​file>​
  
- 
-==== Установка последовательности запуска Winbind ==== 
- 
-Иногда возникают проблемы с тем что Winbind и Samba приходится перезапускать, ​ чтобы все нормально заработало после перезагрузки сервера,​ решением может быть простым,​ выставляем запуск Winbind после всех служб: 
-<​file>​ 
-sudo mv /​etc/​rc2.d/​S20winbind /​etc/​rc2.d/​S99winbind 
-sudo mv /​etc/​rc3.d/​S20winbind /​etc/​rc3.d/​S99winbind 
-sudo mv /​etc/​rc4.d/​S20winbind /​etc/​rc4.d/​S99winbind 
-sudo mv /​etc/​rc5.d/​S20winbind /​etc/​rc5.d/​S99winbind 
-</​file>​