Различия
Здесь показаны различия между двумя версиями данной страницы.
Предыдущая версия справа и слева Предыдущая версия Следующая версия | Предыдущая версия | ||
wiki:ввод_в_домен_windows [2012/08/25 15:26] |
wiki:ввод_в_домен_windows [2016/06/02 11:59] (текущий) [Добавление Winbind в качестве источника пользователей и групп] |
||
---|---|---|---|
Строка 10: | Строка 10: | ||
Установить всё это добро можно командой: | Установить всё это добро можно командой: | ||
- | sudo aptitude install krb5-user samba winbind | + | sudo aptitude install krb5-user samba winbind |
+ | |||
+ | Также может понадобиться установить следующие библиотеки: | ||
+ | |||
+ | sudo aptitude install libpam-krb5 libpam-winbind libnss-winbind | ||
Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic. | Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic. | ||
Строка 29: | Строка 33: | ||
</file> | </file> | ||
- | Если IP-адрес динамический и присваивается DHCP сервером то после перезагрузки resolv.conf может формироваться "неправильный" resolv.conf' , например присутствует только один nameserver 192.168.0.1 и не указаны domain и search, то проще всего отредактировать ''/etc/dhcp3/dhclient.conf''. Чтобы появились записи domain и search нужно убрать комментарий перед строкой supersede domain-name, и вписать свой домен: | + | В современных дистрибутивах файл resolv.conf создается автоматически и править вручную его не нужно. |
+ | Для получение нужного результата нужно добавить необходимые изменения в файл: ''/etc/resolvconf/resolv.conf.d/head'' | ||
+ | Данные которые будут добавлены в него, будут автоматически вставлены в файл ''/etc/resolv.conf'' | ||
+ | |||
+ | Если IP-адрес динамический и присваивается DHCP сервером то после перезагрузки resolv.conf может формироваться "неправильный" resolv.conf' , например присутствует только один nameserver 192.168.0.1 и не указаны domain и search. Нужно отредактировать ''/etc/dhcp/dhclient.conf''. Чтобы появились записи domain и search нужно убрать комментарий перед строкой supersede domain-name, и вписать свой домен: | ||
<file> | <file> | ||
Строка 52: | Строка 60: | ||
</file> | </file> | ||
- | Кроме того необходимо отредактировать файл ''/etc/hosts'' так, чтобы в нём была запись с полным доменным именем компьютера и //обязательно// коротким именем хоста, ссылающаяся на один из внутренних IP, так же хорошо добавить полное и короткое имя контроллера домена: | + | Кроме того необходимо отредактировать файл ''/etc/hosts'' так, чтобы в нём была запись с полным доменным именем компьютера и //обязательно// коротким именем хоста, ссылающаяся на один из внутренних IP: |
<file> | <file> | ||
Строка 58: | Строка 66: | ||
127.0.0.1 localhost | 127.0.0.1 localhost | ||
127.0.1.1 smbsrv01.domain.com smbsrv01 | 127.0.1.1 smbsrv01.domain.com smbsrv01 | ||
- | 192.168.0.1 dc.domain.com dc | ||
- | 192.168.0.2 dc2.domain.com dc2 | ||
</file> | </file> | ||
Строка 322: | Строка 328: | ||
winbind refresh tickets = yes | winbind refresh tickets = yes | ||
</file> | </file> | ||
+ | |||
+ | <note important>Параметры : | ||
+ | |||
+ | idmap uid = 10000 - 40000 | ||
+ | |||
+ | idmap gid = 10000 - 40000 | ||
+ | |||
+ | в новых версиях Samba уже устарели и при проверке конфига самбы с помощью testparm | ||
+ | будет выдваться предупреждение: | ||
+ | |||
+ | WARNING: The "idmap uid" option is deprecated | ||
+ | |||
+ | WARNING: The "idmap gid" option is deprecated | ||
+ | |||
+ | Чтобы убрать предупреждения нужно заменить эти строки на новые: | ||
+ | |||
+ | idmap config * : range = 10000-20000 | ||
+ | |||
+ | idmap config * : backend = tdb</note> | ||
Теперь перезапустите демон Winbind и Samba в следующем порядке: | Теперь перезапустите демон Winbind и Samba в следующем порядке: | ||
Строка 328: | Строка 353: | ||
sudo smbd restart | sudo smbd restart | ||
sudo /etc/init.d/winbind start | sudo /etc/init.d/winbind start | ||
+ | |||
+ | Запускаем | ||
+ | sudo testparm | ||
+ | |||
+ | Смотрим есть ли ошибки или предупреждения, если появится: | ||
+ | |||
+ | "rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)" | ||
+ | |||
+ | Без перезагрузки можно устранить так: | ||
+ | ulimit -n 16384 | ||
+ | |||
+ | Для сохранения после перезагрузки отредактировать файл /etc/security/limits.conf | ||
+ | | ||
+ | # Добавить в конец файла строки: | ||
+ | * - nofile 16384 | ||
+ | root - nofile 16384 | ||
После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой: | После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой: | ||
Строка 342: | Строка 383: | ||
Итак, Winbind работает, однако в систему он ещё не интегрирован. | Итак, Winbind работает, однако в систему он ещё не интегрирован. | ||
- | |||
===== Добавление Winbind в качестве источника пользователей и групп ===== | ===== Добавление Winbind в качестве источника пользователей и групп ===== | ||
Строка 360: | Строка 400: | ||
group: compat winbind | group: compat winbind | ||
</file> | </file> | ||
+ | |||
+ | также рекомендую привести строку files в файле ''/etc/nsswitch.conf'' к виду: | ||
+ | |||
+ | <file> | ||
+ | files: dns mdns4_minimal[NotFoud=return] mdns4 | ||
+ | </file> | ||
+ | |||
+ | <note important>ubuntu server 14.04, файл ''/etc/nsswitch.conf'' не содержал строку | ||
+ | "files: dns mdns4_minimal[NotFoud=return] mdns4" | ||
+ | вместо неё было: | ||
+ | "hosts: files mdns4_minimal [NOTFOUND=return] dns wins" | ||
+ | Которую я преобразовал в: | ||
+ | "hosts: dns mdns4_minimal[NotFoud=return] mdns4 files" | ||
+ | после чего всё заработало | ||
+ | </note> | ||
Теперь проверьте, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив | Теперь проверьте, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив | ||
Строка 369: | Строка 424: | ||
Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла. | Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла. | ||
- | |||
===== Авторизация в Ubuntu через пользователей домена ===== | ===== Авторизация в Ubuntu через пользователей домена ===== | ||
Строка 380: | Строка 434: | ||
<file> | <file> | ||
session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 | session optional pam_mkhomedir.so skel=/etc/skel/ umask=0077 | ||
+ | </file> | ||
+ | |||
+ | Для **Ubuntu 13.10** чтобы появилось поле ручного ввода логина необходимо в любой файл из папки ''/etc/lightdm/lightdm.conf/'' снизу добавить строку: | ||
+ | |||
+ | <file> | ||
+ | greeter-show-manual-login=true | ||
</file> | </file> | ||
Для **Ubuntu 9.10 и ниже** придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 - он тоже работает): | Для **Ubuntu 9.10 и ниже** придется редактировать несколько файлов (но никто не запрещает использовать этот способ и в 10.04 - он тоже работает): | ||
+ | |||
<note important>Последовательность строк в файлах имеет значение! </note> | <note important>Последовательность строк в файлах имеет значение! </note> | ||
Строка 422: | Строка 483: | ||
mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind | mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind | ||
+ | | ||
+ | <note important>В некоторых случаях winbind может иметь иной уровень запуска (например, S02winbind). Поэтому сначала проверьте имена файлов, вполнив команду "ls /etc/rc{2,3,4,5}.d/ | grep winbind" (без кавычек).</note> | ||
Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена. | Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена. | ||
Строка 486: | Строка 549: | ||
</file> | </file> | ||
- | |||
- | ==== Установка последовательности запуска Winbind ==== | ||
- | |||
- | Иногда возникают проблемы с тем что Winbind и Samba приходится перезапускать, чтобы все нормально заработало после перезагрузки сервера, решением может быть простым, выставляем запуск Winbind после всех служб: | ||
- | <file> | ||
- | sudo mv /etc/rc2.d/S20winbind /etc/rc2.d/S99winbind | ||
- | sudo mv /etc/rc3.d/S20winbind /etc/rc3.d/S99winbind | ||
- | sudo mv /etc/rc4.d/S20winbind /etc/rc4.d/S99winbind | ||
- | sudo mv /etc/rc5.d/S20winbind /etc/rc5.d/S99winbind | ||
- | </file> | ||