Выполните следующие шаги для настройки работы в домене вашей ОС Linux Debian:
1. Предварительная настройка сети и DNS.
Убедитесь, что сервер имеет корректные сетевые настройки и может разрешать доменные имена:
ping dc.YOUR_FQDN
nslookup YOUR_FQDN
2. Установка необходимых пакетов.
sudo apt update
sudo apt -y install realmd sssd sssd-tools libnss-sss libpam-sss adcli \
samba-common-bin oddjob oddjob-mkhomedir packagekit krb5-user
3. Обнаружение домена и настройка Kerberos
Обнаружение домена:
sudo realm discover YOUR_FQDN
Для настройки Kerberos отредактируйте файл "/etc/krb5.conf":
[libdefaults]
default_realm = YOUR_FQDN
dns_lookup_realm = true
dns_lookup_kdc = true
4. Присоединение к домену.
sudo realm join YOUR_FQDN --membership-software=samba --user DomainAdmin
Введите пароль пользователя при запросе.
Проверка успешного присоединения:
id DomainAdmin@YOUR_FQDN
5. Настройка SSSD.
Измените или добавьте следующие параметры в файле "/etc/sssd/sssd.conf":
[domain/YOUR_FQDN]
auth_provider = ad #Добавить
chpass_provider = ad #Добавить
use_fully_qualified_names = false #Режим коротких имен пользователей
default_shell = /bin/bash #Настройка оболочки по умолчанию
fallback_homedir = /home/%u@%d #Правило формирования домашней папки
ad_gpo_ignore_unreadable = true #Добавить для игнорирования групповых политик, к которым нету доступа
Установите правильные права и перезапустите службу:
sudo chmod 600 /etc/sssd/sssd.conf
sudo systemctl restart sssd
6. Настройка автоматического создания домашних каталогов.
Отредактируйте файл "/etc/pam.d/common-session":
sudo nano /etc/pam.d/common-session
Добавьте в конец файла:
session optional pam_mkhomedir.so skel=/etc/skel umask=077
7. Настройка прав доступа.
Управление доступом к консоли сервера:
Запретите вход всем доменным пользователям:
sudo realm deny --all
Разрешите вход только определенным группам:
sudo realm permit -g 'Linux_Console_Users'@YOUR_FQDN
Для групп с пробелами в названии:
sudo realm permit -g '"Domain Linux Users"'@YOUR_FQDN
Проверьте настройки:
sudo realm list
Управление доступом по SSH:
Отредактируйте файл "/etc/ssh/sshd_config":
sudo nano /etc/ssh/sshd_config
Добавьте в конец параметры:
Match Group 'Linux_SSH_Users'@YOUR_FQDN
AllowUsers *
Перезапустите службу SSH:
sudo systemctl restart ssh
8. Настройка прав sudo для доменных групп.
Создайте файл правил sudo:
sudo visudo -f /etc/sudoers.d/domain_admins
Всегда используйте команду "visudo", которая предотвращает сохранение конфигурации с синтаксическими ошибками.
Добавьте необходимые правила:
Полные права администратора (пример):
%Linux_Sudoers@YOUR_FQDN ALL=(ALL:ALL) ALL
Члены группы Linux_Sudoers теперь могут выполнять команды с "sudo", вводя свой пароль от учётной записи Active Directory.
Ограниченные права (пример):
%OtdelSA@YOUR_FQDNALL=(root) /usr/bin/systemctl restart nginx, /usr/bin/systemctl status nginx
Для групп с пробелами в названии:
%Linux\ Admins@YOUR_FQDN ALL=(ALL:ALL) ALL
Установите права доступа на файл:
sudo chmod 440 /etc/sudoers.d/domain_admins
9. Тестирование конфигурации.
Попробуйте войти под доменной учетной записью:
ssh linux_admin@YOUR_FQDN@ip_адрес_сервера
Проверьте создание домашнего каталога:
pwd
Проверьте работу "sudo" для пользователей из разрешенных групп.
Убедитесь, что время на сервере синхронизировано с доменом (используйте NTP).
Регулярно проверяйте логи аутентификации: /var/log/auth.log.
Для диагностики проблем используйте журналы SSSD: /var/log/sssd/
Проверьте связь с контроллером домена:
klist
Проверьте возможность получение тикета Kerberos:
kinit
Комментариев нет:
Отправить комментарий