1. Должны быть установлены следующие пакеты: krb5_client, pam_krb5, samba_winbind, samba_client, samba.
2. В файл hosts добавить ip-адреса контроллеров домена, свой ip-адрес.
3. Дать полные права группе в которую включены доменные пользователи (или группе "другие пользователи") или самим пользователям на папку /home/%domain_name (при отсутствии папки, создать её). Необходимо для возможности создания домашней папки пользователя.
4. Настроить сервер samba, для чего изменить smb.conf. Пример smb.conf
5. Сконцентрировать порядок выбора службы имён, для чего изменить nsswitch.conf. Пример:
6. Включить в домен используя графический интерфейс SUSE (YAST2 -> Принадлежность к домену). Установить галочку на использование SMB для аутентификации.
7. Перезагрузить компьютер.
8. Войти под доменным администратором, например: %domain_name\%domain_user. Пусть даже если в качестве входа будет указан "Локальный вход", а не домен.
9. Изменить krb5.conf в котором в качестве kerberos-сервера указать контроллер домена.
10. Перезагрузить компьютер.
11. Зайти под доменным пользователем при этом вход должен производится в домен, а не "Локальный вход".
2. В файл hosts добавить ip-адреса контроллеров домена, свой ip-адрес.
3. Дать полные права группе в которую включены доменные пользователи (или группе "другие пользователи") или самим пользователям на папку /home/%domain_name (при отсутствии папки, создать её). Необходимо для возможности создания домашней папки пользователя.
4. Настроить сервер samba, для чего изменить smb.conf. Пример smb.conf
[global]
workgroup = %имя_домена
idmap gid = 10000-20000
idmap uid = 10000-20000
auth methods = winbind
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
usershare allow guests = Yes
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain logons = No
domain master = No
security = ADS
encrypt passwords = yes
wins support = No
usershare max shares = 100
realm = UTB.UDM.RU
template homedir = /home/%D/%U
winbind refresh tickets = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
template shell = /bin/bash
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
admin users = UTB\riv UTB\alexmin
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
workgroup = %имя_домена
idmap gid = 10000-20000
idmap uid = 10000-20000
auth methods = winbind
printing = cups
printcap name = cups
printcap cache time = 750
cups options = raw
map to guest = Bad User
include = /etc/samba/dhcp.conf
logon path = \\%L\profiles\.msprofile
logon home = \\%L\%U\.9xprofile
logon drive = P:
usershare allow guests = Yes
add machine script = /usr/sbin/useradd -c Machine -d /var/lib/nobody -s /bin/false %m$
domain logons = No
domain master = No
security = ADS
encrypt passwords = yes
wins support = No
usershare max shares = 100
realm = UTB.UDM.RU
template homedir = /home/%D/%U
winbind refresh tickets = yes
winbind uid = 10000-20000
winbind gid = 10000-20000
winbind enum groups = yes
winbind enum users = yes
template shell = /bin/bash
[homes]
comment = Home Directories
valid users = %S, %D%w%S
browseable = No
read only = No
inherit acls = Yes
[profiles]
comment = Network Profiles Service
path = %H
read only = No
store dos attributes = Yes
create mask = 0600
directory mask = 0700
[users]
comment = All users
path = /home
read only = No
inherit acls = Yes
veto files = /aquota.user/groups/shares/
admin users = UTB\riv UTB\alexmin
[groups]
comment = All groups
path = /home/groups
read only = No
inherit acls = Yes
[printers]
comment = All Printers
path = /var/tmp
printable = Yes
create mask = 0600
browseable = No
[print$]
comment = Printer Drivers
path = /var/lib/samba/drivers
write list = @ntadmin root
force group = ntadmin
create mask = 0664
directory mask = 0775
5. Сконцентрировать порядок выбора службы имён, для чего изменить nsswitch.conf. Пример:
passwd: files winbind
shadow: files winbind
group: files winbind
hosts: files dns wins
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
bootparams: files
automount: files nis
aliases: files
shadow: files winbind
group: files winbind
hosts: files dns wins
networks: files dns
services: files
protocols: files
rpc: files
ethers: files
netmasks: files
netgroup: files nis
publickey: files
bootparams: files
automount: files nis
aliases: files
6. Включить в домен используя графический интерфейс SUSE (YAST2 -> Принадлежность к домену). Установить галочку на использование SMB для аутентификации.
7. Перезагрузить компьютер.
8. Войти под доменным администратором, например: %domain_name\%domain_user. Пусть даже если в качестве входа будет указан "Локальный вход", а не домен.
9. Изменить krb5.conf в котором в качестве kerberos-сервера указать контроллер домена.
[libdefaults]
ticket_lifetime = 24000
default_realm = %имя_домена
dns_lookup_realm = false
dns_lookup_kds = false
clockskew = 300
# default_realm = EXAMPLE.COM
[realms]
%имя_домена = {
kdc = %ip_или_имя_контролера_домена
default_domain = %имя_домена
admin_server = %ip_или_имя_контролера_домена
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.%имя_домена = %имя_домена
[appdefaults]
pam = {
debug = false
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 1
clockskew = 300
external = sshd
use_shmem = sshd
}
ticket_lifetime = 24000
default_realm = %имя_домена
dns_lookup_realm = false
dns_lookup_kds = false
clockskew = 300
# default_realm = EXAMPLE.COM
[realms]
%имя_домена = {
kdc = %ip_или_имя_контролера_домена
default_domain = %имя_домена
admin_server = %ip_или_имя_контролера_домена
}
[logging]
kdc = FILE:/var/log/krb5/krb5kdc.log
admin_server = FILE:/var/log/krb5/kadmind.log
default = SYSLOG:NOTICE:DAEMON
[domain_realm]
.%имя_домена = %имя_домена
[appdefaults]
pam = {
debug = false
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 1
clockskew = 300
external = sshd
use_shmem = sshd
}
10. Перезагрузить компьютер.
11. Зайти под доменным пользователем при этом вход должен производится в домен, а не "Локальный вход".
Комментариев нет:
Отправить комментарий