Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision | |||
linux_faq:ubuntu-14-04-в-домене-active-directory-windows [2019/02/11 09:13] – external edit 127.0.0.1 | linux_faq:ubuntu-14-04-в-домене-active-directory-windows [2019/07/22 10:16] (current) – [Автоматическое монтирование ресурсов] admin | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | Итак на моем рабочем компе навернулась Windows 7 и я решил заменить ее на Ubuntu 14.04.\\ | ||
+ | |||
+ | Установил Ubuntu 14.04 Server x64, затем установил KDE desktop:\\ | ||
+ | < | ||
+ | |||
+ | ======Введение в домен AD====== | ||
+ | Сначала нужно сделать несколько подготовительных вещей.\\ | ||
+ | 1. Убедиться что имя локального пользователя Ubuntu не совпадает с именем доменного админа.\\ | ||
+ | 2. Прописать DNS и DNS-суффикс в настройках сетевого соединения. В новых версиях Ubuntu эти параметры задаются для сетевых интерфейсов и прописываются в **/ | ||
+ | < | ||
+ | auto eth0 | ||
+ | iface eth0 inet static | ||
+ | address _IP_ADDRESS_ | ||
+ | netmask _NETMASK_ | ||
+ | gateway _GW_IP_ADDRESS_ | ||
+ | dns-nameservers IP_DNS1_ _IP_DNS2_ | ||
+ | dns-domain domain.name | ||
+ | dns-search domain.name</ | ||
+ | |||
+ | Теперь можно установить необходимое ПО и ввести Ubuntu в домен.\\ | ||
+ | Я использовал **Power Broker Open Edition** - [[http:// | ||
+ | Этот пакет - коммерческий аналог **likewise-open**. Я ставлю бесплатную версию, | ||
+ | |||
+ | Скачал и установил: | ||
+ | < | ||
+ | chmod a+x pbis-open-8.5.0.153.linux.x86_64.deb.sh | ||
+ | sudo ./ | ||
+ | |||
+ | После установки сразу можно вводить машину в домен AD:\\ | ||
+ | < | ||
+ | Тут **domainName** - имя домена (должно нормально резолвиться), | ||
+ | |||
+ | Теперь нужно немного отредактировать файлик **/ | ||
+ | < | ||
+ | |||
+ | После этого можно входить в систему с учетной записью, | ||
+ | Отключить такое безобразие можно: | ||
+ | " | ||
+ | Там выбираем тему **Classic**.\\ | ||
+ | Все. \\ | ||
+ | Теперь можно перезагрузиться и логиниться с доменной учетной записью.\\ | ||
+ | ВВодить имя можно как в виде **DOMAIN\username**, | ||
+ | |||
+ | Все. Дальше можно работать в домене. :) Логиниться с учетной записью вида: **DOMAIN\user** как локально, | ||
+ | |||
+ | =====Некоторые дополнительные настройки===== | ||
+ | Список настраиваемых параметров PBIS можно получить командой: | ||
+ | < | ||
+ | [Eventlog] | ||
+ | AllowDeleteTo | ||
+ | AllowReadTo | ||
+ | AllowWriteTo | ||
+ | MaxDiskUsage | ||
+ | MaxEventLifespan | ||
+ | MaxNumEvents | ||
+ | [Lsass] | ||
+ | DomainSeparator | ||
+ | SpaceReplacement | ||
+ | EnableEventlog | ||
+ | LogInvalidPasswords | ||
+ | Providers | ||
+ | [Lsass - PAM] | ||
+ | DisplayMotd | ||
+ | PAMLogLevel | ||
+ | UserNotAllowedError | ||
+ | [Lsass - Active Directory provider] | ||
+ | AssumeDefaultDomain | ||
+ | CreateHomeDir | ||
+ | CreateK5Login | ||
+ | SyncSystemTime | ||
+ | TrimUserMembership | ||
+ | LdapSignAndSeal | ||
+ | LogADNetworkConnectionEvents | ||
+ | NssEnumerationEnabled | ||
+ | NssGroupMembersQueryCacheOnly | ||
+ | NssUserMembershipQueryCacheOnly | ||
+ | RefreshUserCredentials | ||
+ | CacheEntryExpiry | ||
+ | DomainManagerCheckDomainOnlineInterval | ||
+ | DomainManagerUnknownDomainCacheTimeout | ||
+ | MachinePasswordLifespan | ||
+ | MemoryCacheSizeCap | ||
+ | HomeDirPrefix | ||
+ | HomeDirTemplate | ||
+ | RemoteHomeDirTemplate | ||
+ | HomeDirUmask | ||
+ | LoginShellTemplate | ||
+ | SkeletonDirs | ||
+ | UserDomainPrefix | ||
+ | DomainManagerIgnoreAllTrusts | ||
+ | DomainManagerIncludeTrustsList | ||
+ | DomainManagerExcludeTrustsList | ||
+ | RequireMembershipOf | ||
+ | SmartcardEnabled | ||
+ | SmartcardRequiredForLogin | ||
+ | [Lsass - Local provider] | ||
+ | Local_AcceptNTLMv1 | ||
+ | Local_HomeDirTemplate | ||
+ | Local_HomeDirUmask | ||
+ | Local_LoginShellTemplate | ||
+ | Local_SkeletonDirs | ||
+ | [User Monitor] | ||
+ | UserMonitorCheckInterval | ||
+ | [System Initialization] | ||
+ | LsassAutostart | ||
+ | EventlogAutostart | ||
+ | GpagentAutostart</ | ||
+ | \\ | ||
+ | Чтобы не добавлять название домена к имени учетной записи при регистрации достаточно активировать “AssumeDefaultDomain”.< | ||
+ | |||
+ | Проверить текущую установку можно так:< | ||
+ | $ sudo / | ||
+ | |||
+ | ^**ВНИМАНИЕ!!!**\\ | ||
+ | При использовании этой опции в **/ | ||
+ | |||
+ | Также можно добавить доменного пользователя в файлик **/ | ||
+ | Открываем **/ | ||
+ | < | ||
+ | Например, | ||
+ | %DOMAIN\\domain^admins | ||
+ | Обращаем внимание на двойной слеш **\\** и на **^** вместо пробела. | ||
+ | |||
+ | Еще может понадобиться заменить **shell** (/bin/sh), устанавливаемый по-умолчанию на **/ | ||
+ | Чтобы это сделать выполняем: | ||
+ | sudo / | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | ======Автоматическое монтирование ресурсов - pam.mount====== | ||
+ | Теперь можно настроить автоматическое монтирование сетевых ресурсов, | ||
+ | Тут возникает небольшое затруднение. Монтировать ресурсы можно только от имени суперпользователя. Поэтому нельзя просто положить в rc.local строку вида **mount -t cifs < | ||
+ | К счастью есть PAM-модуль **pam_mount**, | ||
+ | |||
+ | Устанавливаем модуль: | ||
+ | < | ||
+ | Оказалось, | ||
+ | По-умолчанию, | ||
+ | |||
+ | Дальше конфигурируем | ||
+ | Этот файл довольно неплохо откомментирован, | ||
+ | < | ||
+ | При этом, **path** не должне начинаться с "/", | ||
+ | |||
+ | =====Pam_mount и сессия SSH===== | ||
+ | Для того, чтобы **pam_mount** корректно работал в сессии SSH нужно отредактировать конфигурацию сервера SSH - файл **/ | ||
+ | Параметру **ChallengeResponseAuthentication** дать значение **no**.\\ | ||
+ | |||
+ | Без этой правки, | ||
+ | < | ||
+ | Некоторые подробности тут:\\ | ||
+ | [[http:// | ||
+ | [[https:// | ||
+ | [[https:// | ||
+ | |||
+ | Также, это неприятное обстоятельство можно обойти выполнив в сессии SSH команду: | ||
+ | < | ||
+ | То есть фактически залогинившись в сессии SSH еще раз с именем текущего пользователя. \\ | ||
+ | В этому случае OpenSSH не принимает участия создании сессии и ресурсы монтируются. \\ | ||
+ | |||