• Как ввести Debian в домен Windows (Active Directory) с помощью realmd, SSSD.

    21.11.2023 Автор:Жаконда
    1 036 Просмотров 2 комментария

    Рассмотрим как ввести систему Debian в домен Windows с помощью realmd, SSSD.

     

    Realmd (Realm Discovery) – сервис D-Bus, позволяющий производить настройку сетевой аутентификации и членства в домене (Active Directory) без сложных настроек. Информация о домене обнаруживается автоматически. Для аутентификации и проверки учетных записей realmd использует SSSD (через Kerberos и LDAP) или Winbind.

     

    SSSD (System Security Services Daemon) — это клиентский компонент централизованных решений для управления идентификацией, таких как Microsoft Active Directory, Kerberos, OpenLDAP  и других серверов каталогов. SSSD обслуживает и кэширует информацию, хранящуюся на удаленном сервере каталогов, и предоставляет услуги идентификации, аутентификации и авторизации хост-машине.

     

    Исходные данные:

    • Контроллер домена (DC1) на Windows Server 2019, домен JAKONDA.LOCAL (IP — 192.168.1.100)
    • Linux система (debian) на Debian 11 Bullseye (IP — 192.168.1.10)

     

    Подготовка системы

    # Обновляем информацию о репозиториях и обновляем установленные пакеты:

    apt-get update && apt-get upgrade -y

     

    Указываем FQDN (Fully Qualified Domain Name) имя системы, в файле /etc/hostname:

    debian.jakonda.local

     

    Файл /etc/hosts приводим к виду таким образом, чтобы в нём была запись с полным доменным именем компьютера и с коротким именем, ссылающаяся на один из внутренних IP хоста:

    127.0.0.1	localhost
192.168.1.10	debian.jakonda.local debian

     

     

    Настраиваем клиент DNS на хосте. Файл /etc/resolv.conf приводим к виду с учетом ваших данных:

    domain jakonda.local
search jakonda.local
nameserver 192.168.1.100

     

    Настройка синхронизации времени

    Очень важно для корректной работы чтобы разница во времени между хостом и домен контроллером была минимальная или не превышала более 5 минут, в противном случае не возможно получить билет от Kerberos. Настроим синхронизацию времени с контроллером домена.

     

    # Устанавливаем необходимые пакеты:

    apt-get install ntp ntpdate

     

    В файле /etc/ntp.conf, указываем контроллер домена в качестве точки синхранизации, остальные комментируем :

    # You do need to talk to an NTP server or two (or three).
server dc1.jakonda.local

# pool.ntp.org maps to about 1000 low-stratum NTP servers.  Your server will
# pick a different set every time it starts up.  Please consider joining the
# pool: <http://www.pool.ntp.org/join.html>
# pool 0.debian.pool.ntp.org iburst
# pool 1.debian.pool.ntp.org iburst
# pool 2.debian.pool.ntp.org iburst
# pool 3.debian.pool.ntp.org iburst

     

    Выполняем единовременную синхронизацию времени с контроллером домена и запускаем службу:

    /etc/init.d/ntp stop
ntpdate -bs jakonda.local
/etc/init.d/ntp start

    Читать далее…

    БесполезноСлабоватоПриемлемоОтличноПревосходно (1 голос(ов), в среднем: 1,00 из 5)
    Загрузка...
© IT-блог Жаконды All Rights Reserved.
Яндекс.Метрика