Differences
This shows you the differences between two versions of the page.
Both sides previous revision Previous revision | |||
linux_faq:ubuntu-16-04-в-домене-active-directory-windows [2019/02/11 09:13] – external edit 127.0.0.1 | linux_faq:ubuntu-16-04-в-домене-active-directory-windows [2019/07/22 10:17] (current) – [Автоматическое монтирование ресурсов] admin | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | |||
+ | ======Введение в домен AD====== | ||
+ | Сначала нужно сделать несколько подготовительных вещей.\\ | ||
+ | 1. Убедиться что имя локального пользователя Ubuntu не совпадает с именем доменного админа.\\ | ||
+ | 2. Прописать DNS и DNS-суффикс в настройках сетевого соединения. В новых версиях Ubuntu эти параметры задаются для сетевых интерфейсов и прописываются в **/ | ||
+ | < | ||
+ | auto eth0 | ||
+ | iface eth0 inet static | ||
+ | address _IP_ADDRESS_ | ||
+ | netmask _NETMASK_ | ||
+ | gateway _GW_IP_ADDRESS_ | ||
+ | dns-nameservers IP_DNS1_ _IP_DNS2_ | ||
+ | dns-domain domain.name | ||
+ | dns-search domain.name</ | ||
+ | |||
+ | Теперь можно установить необходимое ПО и ввести Ubuntu в домен.\\ | ||
+ | Я использовал **Power Broker Identity Services Open Edition** - [[https:// | ||
+ | Этот пакет - коммерческий аналог **likewise-open**. Я ставлю бесплатную версию, | ||
+ | |||
+ | Скачал и установил: | ||
+ | < | ||
+ | chmod a+x pbis-open-8.5.2.265.linux.x86.deb.sh | ||
+ | sudo ./ | ||
+ | При установке на вопрос о " | ||
+ | |||
+ | После установки сразу можно вводить машину в домен AD:\\ | ||
+ | < | ||
+ | Тут **domainName** - имя домена (должно нормально резолвиться), | ||
+ | |||
+ | Теперь нужно немного отредактировать файлик **/ | ||
+ | < | ||
+ | |||
+ | в **/ | ||
+ | auth [success=2 default=ignore] | ||
+ | в **/ | ||
+ | account [success=ok new_authtok_reqd=ok default=ignore] | ||
+ | account [success=2 new_authtok_reqd=done default=ignore] | ||
+ | в **/ | ||
+ | password | ||
+ | в **/ | ||
+ | # and here are more per-package modules (the " | ||
+ | session optional | ||
+ | session required | ||
+ | # end of pam-auth-update config | ||
+ | |||
+ | =====Настройка экрана входа===== | ||
+ | Дефолтная тема KDE **breeze** не позволяет ввести имя пользователя вручную. Поэтому необходимо установить одну из тем, которые дают такую возможность. \\ | ||
+ | Список доступных тем можно получить так: | ||
+ | apt-cache search sddm-theme | ||
+ | Устанавливаем темы: | ||
+ | sudo apt-get install sddm-theme-circles sddm-theme-elarun sddm-theme-lubuntu-chooser sddm-theme-maldives sddm-theme-maui | ||
+ | Дальше идем в меню KDE -> Applications -> Settings -> System Settings -> Startup and Shutdown -> Login Screen (SDDM) и выбираем одну из тем. | ||
+ | Я выбрал **Circles** | ||
+ | |||
+ | =====Некоторые дополнительные настройки===== | ||
+ | Список настраиваемых параметров PBIS можно получить командой: | ||
+ | / | ||
+ | |||
+ | Меняем дефолтную оболочку на православный **bash**: | ||
+ | sudo / | ||
+ | Включаем автоматичекое дополнение имени домена: | ||
+ | sudo / | ||
+ | |||
+ | =====Даем права в sudo===== | ||
+ | Добавляем доменного пользователя в файлик **/ | ||
+ | Открываем **/ | ||
+ | username | ||
+ | |||
+ | Если не используем опцию **AssumeDefaultDomain true**, то имя указываем в формате DOMAIN_NAME\\username. Тут нужно обратить внимание на двойной слеш в качестве разделителя **\\**. Без него не работает.\\ | ||
+ | |||
+ | Например, | ||
+ | %DOMAIN\\domain^admins | ||
+ | Обращаем внимание на двойной слеш **\\** и на **^** вместо пробела.\\ | ||
+ | При добавлении групп важно знать включено ли автоматичекое дополнение имени домена (параметр **AssumeDefaultDomain**). Если включено, | ||
+ | %domain^admins | ||
+ | Если его указать, | ||
+ | В любом случае - группы в которые входит пользователь (в том числе доменый) можно посмотреть командой: | ||
+ | groups | ||
+ | ======Автоматическое монтирование ресурсов | ||
+ | Теперь можно настроить автоматическое монтирование сетевых ресурсов, | ||
+ | Тут возникает небольшое затруднение. Монтировать ресурсы можно только от имени суперпользователя. Поэтому нельзя просто положить в **rc.local** строку вида **mount -t cifs < | ||
+ | К счастью есть PAM-модуль **pam_mount**, | ||
+ | |||
+ | Устанавливаем модуль: | ||
+ | < | ||
+ | Оказалось, | ||
+ | По-умолчанию, | ||
+ | |||
+ | Дальше конфигурируем | ||
+ | Этот файл довольно неплохо откомментирован, | ||
+ | < | ||
+ | При этом, **path** не должне начинаться с "/", | ||
+ | |||
+ | =====Pam_mount и сессия SSH===== | ||
+ | Для того, чтобы **pam_mount** корректно работал в сессии SSH нужно отредактировать конфигурацию сервера SSH - файл **/ | ||
+ | Параметру **ChallengeResponseAuthentication** дать значение **no**.\\ | ||
+ | |||
+ | Без этой правки, | ||
+ | < | ||
+ | Некоторые подробности тут:\\ | ||
+ | [[http:// | ||
+ | [[https:// | ||
+ | [[https:// | ||
+ | |||
+ | Также, это неприятное обстоятельство можно обойти выполнив в сессии SSH команду: | ||
+ | < | ||
+ | То есть фактически залогинившись в сессии SSH еще раз с именем текущего пользователя. \\ | ||
+ | В этому случае OpenSSH не принимает участия создании сессии и ресурсы монтируются. \\ | ||
+ | |||
+ | |||
+ | ===== Удаление PBIS - PowerBroker Identity Services Open ===== | ||
+ | Отсоединяемся от домена: | ||
+ | sudo / | ||
+ | Удаляем PBIS: | ||
+ | sudo / | ||
+ | |||