Ubuntu в домене Active Directory с помощью sssd и realmd

Ноябрь 21, 2019 - Время чтения: 4 минуты

Имеем Ubuntu 18.04 и домен Windows AD

Задаем hostname компьютеру командой:

hostnamectl set-hostname <hostname>

где, <hostname> имя компьютера, которое должно быть уникальным

устанавливаем пакеты

apt install sssd heimdal-clients msktutil realmd packagekit adcli

проверяем доступность контролера

nslookup dc1.demo.ru
ping dc1.demo.ru

при необходимости редактируем файл /etc/hosts, указываем FQDN для данного хоста

127.0.0.1       localhost
127.0.1.1       <hostname>.demo.ru  <hostname>

пробуем найти доступные домены:

realm discover demo.ru

 demo.ru
  type: kerberos
  realm-name: DEMO.RU
  domain-name: demo.ru
  configured: no
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin

 
вводим в домен:

realm join -U AD_admin dc1.demo.ru

где AD_admin - имя пользователя домена с правами администратора


правим файл /etc/sssd/sssd.conf

Изменяем параметр use_fully_qualified_names для возможности ввода имени пользователя без указания домена

use_fully_qualified_names = False


Задаем путь домашней директории пользователя

fallback_homedir = /home/%u



включаем и перезапускаем сервис

systemctl enable sssd.service
systemctl restart sssd.service



запускаем pam-auth-update и отметчаем там все галочки для того чтобы при первом логине создавалась домашняя директория.

чтобы получить информацию о домене запускаем

realm list

также некоторою информацию можно получить с помощью утилиты adsli.

adcli info demo.ru

добавляем правило в /etc/sudoers, чтобы доменный пользователь входящий в группу Domain Admins мог получать права администратора локального компьютера:

visudo


и добавляем туда строку:


%Domain\ Admins ALL=(ALL) ALL

После чего можем авторизоваться с помощью учетной записи пользователя AD.

ssh domain_user@<hostname>

Теперь убедитесь, что членство в группе разрешается правильно:

id

uid=588405340(domain_user) gid=588400618(domain users) groups=588400618(domain users),588400715(domain admins),588400134(denied rodc password replication group),588402352(rd gateway connection (users))

Вы должны увидеть членство в группе из управляемого домена.

PS: Ссылка на скрипт: join_ad.sh
еще ссылки: habr
Подключаемся к Active Directory с помощью realmd

Полу(о)умный дом

Делаем вещи умнее...

Посетителей

145