Winbind astra linux что это

Обновлено: 06.07.2024

Ввод компьютера под управлением Astra Liniux в домен Windows AD может быть выполнен двумя способами:

с использованием samba/winbind (графический инструмент fly-admin-ad-client и инструмент командной строки astra-winbind);
с использованием sssd (графический инструмент fly-admin-ad-sssd и инструмент командной строки astra-ad-sssd-client);

Далее рассмативается установка и использование этих инструментов. Рекомендации по выбору одного из двух способов ввода в домен не входят в задачи данной статьи.

Конфигурация стенда

Имя компьютера (hostname)	Операционная система	Роли компьютера	IP-адрес
dc01.example.com	Windows Server 2008R2	Контроллер домена; DNS сервер	192.168.0.1
astra01	Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)	Рабочая станция, член домена	Статический или динамически назначаемый IP-адрес

Для успешного ввода Astra Linux в домен Active Directory следует указать IP-адрес DNS-сервера. Обычно это IP-адреса контроллера домена Active Directory. При условии использования графического инструмента управления настройками сети для того, чтобы указать адрес, следует выполнить следующие действия:

1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения. "

2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.

3) На вкладке "Параметры IPv4" задать ip адрес, маску сети и шлюз (при необходимости), а так же IP-адрес контроллера домена в качестве адреса дополнительного DNS-сервера:

4) Нажать "Сохранить"

5) Что бы изменения вступили в силу нажать левую кнопку мыши (ЛКМ) на иконке NetworkManager в системном трее, после чего ЛКМ на используемое сетевое соединение.

Установка пакетов

В Astra Linux присутствует графическая утилита для ввода компьютера в домен Active Directory. Установить ее можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :

sudo apt install fly-admin-ad-client

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

Ввод Astra Linux в домен Active Directory

1) Открыть "Панель управления"

2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"

3) Заполнить все поля и нажать кнопку "Подключиться":

Установка пакетов

Установить графический инструмент fly-admin-ad-sssd можно с помощью графического менеджера пакетов Synaptic или из командной строки командой :

При установке графического инструмента будет автоматически установлен инструмент командной строки astra-ad-sssd-client.

Ввод Astra Linux в домен Active Directory

После установки пакет доступен в графическом меню: "Пуск" - "Панель управления" - "Сеть" - "Настройка клиента SSSD Fly".

Для ввода компьютера Astra Linux в домен Active Directory нужно запустить инструмент, после запуска инструмента указать имя домена, имя и пароль администратора и нажать кнопку "Подключиться":

Установка пакетов

Инструмент командной строки astra-winbind автоматически устанавливается при установке графического инструмента fly-admin-ad-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

Ввод Astra Linux в домен Active Directory

Ввод компьютера в домен может быть выполнен командой:

Подсказка по команде:

Установка пакетов

Инструмент командной строки astra-ad-sssd-client автоматически устанавливается при установке графического инструмента fly-admin-ad-sssd-client. При необходимости работать в командной строке без использования графики инструмент может быть установлен отдельно:

Описание процесса настройки Astra Linux 1.5 SE для ввода в домен Windows. Настройка SAMBA, Winbind, Apache и Postgresql.

Графическая утилита для ввода Astra Linux SE/CE в домен AD

Существует графическая утилита для ввода Astra Linux SE 1.5 и Astra Linux CE 1.11 в домен AD. Для ее использования необходим пакет astra-winbind_1.7-1_all.deb

Пакет можно скачать по указанной выше ссылке, и установить командой:

sudo dpkg -i astra-winbind_1.7-1_all.deb

Автоматически установить необходимые зависимости:

sudo apt-get -f install

и установить командой:

sudo dpkg -i fly-admin-ad_0.1.2_amd64.deb

После запуска утилиты, в Главном меню → Настройки → появится утилита "Настройка Active Directory"

Напоминаем о том, что перед вводом клиента в AD или ALD необходимо корректно настроить сеть.

Внимание! Если в дальнейшем будет изменятся конфигурационный файл samba, будет выполнено повторное введение в AD или возникнет затруднение, то обязательно потребуется очистка /var/cache/samba/* и /var/lib/samba/*

Ввод Astra Linux в домен Windows

Исходные данные:

Имя - dc
Домен – dev.local
ОС - Windows Server 2008 R2. Настроен как контроллер домена
ip - 192.168.1.1

Имя – ws3
ОС - Astra Linux 1.5 SE. Установлена без ALD и без режима киоска. Из дополнительного ПО на этапе установки выбрано: базовые средства, рабочий стол Fly, средства работы в сети, сетевые сервисы, СУБД.
ip - 192.168.1.3

Разблокирование суперпользователя (root)

Для более удобной работы разблокируем учётную запись root:

sudo passwd –u root

Назначим пароль для учётной записи root:

sudo passwd root

root разблокирован. Можно использовать su или перезайти root-ом. Можно не использовать учётную запись root, а команды выполнять с использованием sudo. По завершении настроек учётную запись root необходимо заблокировать!

Настройка сети

Строку с 127.0.1.1 ws3 удалить.

Убедиться, что в файле /etc/hostname правильно указано имя машины:

Назначим статический ip-адрес. В файл /etc/network/interfaces добавить строки:

Создать файл /etc/resolv.conf и добавить строки:

Перезапустим сетевую службу:

sudo service networking restart

Просмотреть доступные сетевые интерфейсы и назначенные адреса:

с ws3 можно проверить отклик контроллера домена по протоколу icmp по имени:

ping dc.dev.local

Синхронизируем время с контроллером домена:

Установка требуемых пакетов

Проверить установлены ли samba, winbind, ntp, apache2 и postgresql:

Установить дополнительные пакеты (потребуется диск с дистрибутивом):

sudo apt-get install nscd nslcd libpam-winbind libpam-krb5 libapache2-mod-auth-kerb php5 php5-pgsql php5-sybase php5-ldap libsasl2-modules-ldap libsasl2-modules-gssapi-mit krb5-user

Настройка конфигурационных файлов

Редактируем файл /etc/krb5.conf и добавляем недостающую информацию в соответствующие разделы:

Редактируем файл /etc/samba/smb.conf. Если каких-то параметров нет, то добавляем:

Внимание! Если в дальнейшем будет изменятся конфигурационный файл samba, обязательно требуется очистка /var/cache/samba/* и /var/lib/samba/*

Проверим нет ли ошибок в конфигурации samba, выполнив команду:

Редактируем файл /etc/security/limits.conf. Добавляем в конец:

ulimit -n 65536

Радактируем файл /etc/nsswitch.conf:

Редактируем файл /etc/pam.d/common-session. Добавляем в конец:

sudo service samba restart
sudo service winbind restart
sudo service ntp restart
sudo service nscd restart
sudo service nslcd restart

Вводим Astra Linux в домен windows (требуется учётная запись администратора домена):

sudo net ads join -U Administrator

В результате успешного выполнения предыдущей команды должен появиться файл /etc/krb5.keytab. Просмотреть список принципалов в этом файле можно командой:

sudo net ads keytab list

Позволим остальным читать файл /etc/krb5.keytab:

sudo chmod 0644 /etc/krb5.keytab

Добавим в автозапуск:

Проверить установлен ли Postgresql в автозагрузку:

chkconfig --list postgresql

Проверим загрузились ли требуемые службы:

sudo service samba status
sudo service winbind status
sudo service nscd status
sudo service nslcd status
sudo service apache2 status
sudo service postgresql status

Проверим связь с доменом и работу служб, последовательно выполнив команды:

sudo net ads testjoin
sudo wbinfo –p
sudo wbinfo –t
sudo wbinfo –u
sudo getent passwd | grep DEV

Проверим Kerberos. Попробуем получить tgt для доменного пользователя:

kinit Administrator
klist
kdestroy

Настройка Apache и Postgresql на работу с Kerberos

Редактируем файл /etc/apache2/sites-available/default. Настраиваем директорию на использование Kerberos:

Принципал, задаваемый параметром KrbServiceName, должен быть в файле таблицы ключей /etc/krb5.keytab. Проверить можно командой:

net ads keytab list

Назначим права для пользователя www-data, от имени которого работает Apache, для доступа к macdb и к файлу таблицы ключей:

usermod -a -G shadow www-data
setfacl -d -m u:www-data:r /etc/parsec/macdb
setfacl -R -m u:www-data:r /etc/parsec/macdb
setfacl -m u:www-data:rx /etc/parsec/macdb
setfacl -m u:www-data:r /etc/krb5.keytab

Всем доменным пользователям, которым требуется доступ к веб-серверу, необходимо назначить метки безопасности:

sudo service apache2 restart

Редактируем файл /etc/postgresql/9.4/main/postgresql.conf.:

Редактируем файл /etc/postgresql/9.4/main/pg_hba.conf:

Назначим права для пользователя postgres, от имени которого работает Postgresql, для доступа к macdb и к файлу таблицы ключей:

sudo service postgresql restart

На контроллере домена dc нужно добавить принципала к учётной записи машины ws3, для чего выполнить команду от имени администратора:

sudo setspn -A postgres/ws3.dev.local ws3

Если пользователь root был разблокирован, то его необходимо заблокировать выполнив команду:

В состав дистрибутивов Astra Linux входит пакет программ Samba, обеспечивающий совместимость со средой Microsoft Active Directory (далее - AD).
Samba позволяет компьютерам с ОС Astra Linux выступать как в роли контроллера домена AD, так и в роли клиента домена AD.
Помимо пакета Samba в состав дистрибутивов Astra Linux входят консольные и графические средства, позволяющие быстро инициализировать Active Directory домен или подключиться к уже существующему домену AD.

• Служба аутентификации на базе Kerberos v5;
• LDAP-совместимая служба каталогов с поддержкой репликации;
• Поддержка групповых политик;
• Поддержка доверительных отношений;
• DNS-сервер на базе BIND или собственной реализации.

В состав Astra Linux входят инструменты обеспечивающие сценарии автоматизированной настройки и построения нового контроллера домена или включения в существующий домен в роли контроллера домена.

Инструмент командной строки:

Установить эти инструменты можно с помощью графического менеджера пакетов или из командной строки:

sudo apt install astra-sambadc
sudo apt install fly-admin-ad-server

При установке инструментов автоматически будут автоматически установлены необходимые для работы домена AD пакеты samba, winbind и ntp.
Samba как контроллер домена поддерживает два режима работы с DNS:

с использованием DNS-сервера bind9. Если предполагается, что будет использоваться сервер bind9 следует установить его и установить пакет dnsutils:

Подготовка компьютера

Рекомендуется назначить компьютеру постоянный IP-адрес. Допускается использовать динамическое назначение адресов, но при этом должно быть настроено автоматическое обновление адресов (настройка работы в таком режиме выходит за рамки данной статьи, см. статьи DHCP-сервер ISC-DHCP).
Если используется получение адреса по DHCP, то отдельно следует обеспечить, чтобы вместе с адресом по DHCP не принимались посторонние имя поискового домена и адрес сервера DNS. Общие инструкции по настройке см. в статье Настройка сети в ОС Astra Linux.

Должно быть настроено разрешение имён, а именно: в файле /etc/resolv.conf в качестве адреса сервера DNS (параметр nameserver) должен быть указан собственный IP-адрес компьютера и в качестве поискового домена (параметр search) следует указать используемое имя домена, например:

При использовании службы автоматической настройки сети NetworkManager этот файл нельзя редактировать напрямую, и следует использовать инструменты NetworkManager. Общие инструкции по настройка см. в статье Настройка сети в ОС Astra Linux.

Для создания нового домена с помощью инструмента командной строки используется команда:

или (небезопасно с точки зрения сохранности пароля):

astra-sambadc -d <имя_домена> -p <пароль_администратора_домена>

Для содания нового домена с использованием DDNS следует дополнительно использовать опцию -b, например:

Данные, необходимые для создания домена и не указанные в аргументах команды при выполнении команды будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-sambadc с параметром -h:

Графический инструмент после установки доступен для запуска из командной строки или через систему меню: «Пуск» - «Панель управления» - «Сеть» - «Настройка сервера Active Directory»

После установки домена Samba AD требуется перазагрузить компьютер.

В состав дистрибутивов Astra Linux входит графический инструмент:

и инструмент командной строки:

реализующие сценарий автоматизированной настройки компьютера Astra Linux для ввода в существующий домен AD.

При написании этой статьи в качестве контроллера домена Active Directory использовался демонстрационный образ Windows Server 2012 R2, доступный на WEB-сайте Microsoft, в качестве клиентов использовались компьютеры под управлением Astra Linux Common Edition и Astra Linux Special Edition.

Перед вводом компьютера в домен необходимо настроить на этом компьютере службу разрешения имён (DNS) так, чтобы в качестве сервера DNS использовался сервер DNS этого домена.
Если этого не сделать, то контроллер домена не будет обнаружен.

Для ввода компьютера в домен используется команда:

sudo astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -px

astra-winbind -dc <имя_домена> -u <имя_администратора_домена> -p <пароль_администратора_домена>

Данные, необходимые для ввода в домен и не указанные в аргументах команды, будут запрошены в интерактивном режиме.

Дополнительная информация по использованию команды доступна при выполнении команды astra-winbind с параметром -h:

Графический инструмент для ввода компьютера в существующий домен AD fly-admin-ad-client после установки доступен для запуска из командной строки или через систему меню:

«Пуск» - «Панель управления» - «Сеть» - «Настройка клиента Active Directory»

Проверка успешности присоединения к домену

Для проверки успешности присоединения к домену рекомендуется использовать команду:

Дополнительно, можно использовать различные варианты команды wbinfo, например проверка регистрации:

Ввод компьютера под управлением Astra Liniux в домен Windows AD может быть выполнен двумя способами:

с использованием samba/winbind (графический инструмент fly-admin-ad-client и инструмент командной строки astra-winbind);
с использованием sssd (графический инструмент fly-admin-ad-sssd и инструмент командной строки astra-ad-sssd-client);

Конфигурация стенда

Имя компьютера (hostname)	Операционная система	Роли компьютера	IP-адрес
dc01.example.com	Windows Server 2008R2	Контроллер домена; DNS сервер	192.168.0.1
astra01	Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)	Рабочая станция, член домена	Статический или динамически назначаемый IP-адрес

1) Нажать правой кнопкой мыши (ПКМ) на иконке NetworkManager в системном трее → "Изменить соединения. "

2) В открывшемся окне выбрать используемое сетевое соединение и дважды кликнуть по нему.

4) Нажать "Сохранить"

Установка пакетов

sudo apt install fly-admin-ad-client

При установке пакета fly-admin-ad-client будет автоматически установлен инструмент командной строки astra-winbind.

Ввод Astra Linux в домен Active Directory

1) Открыть "Панель управления"

2) Выбрать раздел "Сеть" → "Настройка клиента Active Directory"

3) Заполнить все поля и нажать кнопку "Подключиться":

Установка пакетов

sudo apt install fly-admin-ad-sssd-client

Ввод Astra Linux в домен Active Directory

Установка пакетов

sudo apt install astra-winbind

Ввод Astra Linux в домен Active Directory

Ввод компьютера в домен может быть выполнен командой:

Подсказка по команде:

Установка пакетов

Читайте также: