ALTDC

Материал из wiki.nntc.nnov.ru
Версия от 13:45, 3 декабря 2023; Vovan (обсуждение | вклад) (Создание домашнего каталога для пользователя при первом входе)
Перейти к навигации Перейти к поиску

Содержание

Порядок развёртывания на Альт Стартеркит MATE

Подготовка и установка необходимых пакетов

После обновления системы и ядра...

Выставляем часовой пояс и синхронизируем время

timedatectl set-timezone Europe/Moscow
ntpdate pool.ntp.org

Отключаем сервисы и устанавливаем необходимые пакеты

for service in smb nmb; do systemctl disable $service; systemctl stop $service; done
apt-get install -y task-samba-dc admc

Подготовка конфигурационных файлов ситемы

Задаём имя хоста

hostnamectl set-hostname dc.domain.alt

Также проверить и при необходимости поправить имя хоста в файле

/etc/sysconfig/network

Перезагрузиться для проверки

reboot

Далее настраиваем 127.0.0.1 в качестве DNS сервера системы (далее в команде создания домена мы добавим возможность для этого DNS сервера делать запросы к внешним DNS серверам)

cat << EOF > /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
search alt
nameserver 127.0.0.1
EOF

Здесь приведена команда конфигурирования файла /etc/hosts, исходя из того, что у настраиваемого сервера локальный IP-адрес: 192.168.0.249

cat << EOF > /etc/hosts
192.168.0.249 domain.alt
127.0.0.1 localhost
EOF

Создание домена одной командой

Перед выполнением команды создания домена нужно удалить конфигурационный файл:

/bin/rm -f /etc/samba/smb.conf

Для домена

domain.alt

с паролем

Pa$$word

и адресом внешнего DNS сервера

8.8.8.8

команда создания домена будет такой:

samba-tool domain provision --realm=domain.alt --domain domain --adminpass='Pa$$word' --dns-backend=SAMBA_INTERNAL --server-role=dc --option="dns forwarder=8.8.8.8"

Включение сервиса и проверка работы домена

Включение

systemctl enable --now samba

Проверка

samba-tool domain info 127.0.0.1

В ответ должно прилететь что-то типа этого:

Forest           : domain.alt
Domain           : domain.alt
Netbios domain   : DOMAIN
DC name          : dc.domain.alt
DC netbios name  : DC
Server site      : Default-First-Site-Name
Client site      : Default-First-Site-Name

Настройка Kerberos

/bin/cp /var/lib/samba/private/krb5.conf /etc/krb5.conf


Управление пользователями из командной строки

Создать пользователя с паролем

Например, создаём пользователя ivanov_ivan

samba-tool user create ivanov_ivan

Устанавливаем срок действия пароля

samba-tool user setexpiry ivanov_ivan

Создаём пользователя с указанием полного имени, адреса электронной почты и пароль будет действовать всегда

samba-tool user create ivanov_ivan --given-name='Иванов Иван' --mail-address='ivanovi@mail.ru'
samba-tool user setexpiry ivanov_ivan --noexpiry

Удалить пользователя

samba-tool user delete ivanov_ivan

Отключить пользователя

samba-tool user disable ivanov_ivan

Включить пользователя

samba-tool user enable ivanov_ivan

Изменить пароль пользователя

samba-tool user setpassword ivanov_ivan

Просмотреть доступных пользователей

samba-tool user list

Просмотр информации о пользователе

samba-tool user show ivanov_ivan

или, чтобы узнать UID и GID (например, для установки владельца на каталог samba)

wbinfo -i ivanov_ivan

в ответ должно прийти что-то типа

DOMAIN\ivanov_ivan:*:3000023:100::/home/DOMAIN.ALT/ivanov_ivan:/bin/bash

где UID это 3000023 а GID это 100

Создание домашнего каталога для пользователя

Пока вручную. Ведётся работа над интеграцией соответствующего скрипта в процесс добавления пользователя в SAMBA

Перед выполнением команд добавления домашнего каталога на основе /etc/skel конкретно в контексте этой статьи нужно добавить в /etc/skel каталог, который позже буде монтироваться каждому пользователю посредством pam_mount. Для этого нужно выполнить команду

mkdir /etc/skel/share

далее на базе скелетона создаём каталог

cp -rp /etc/skel /home/DOMAIN.ALT/ivanov_ivan

потом меняем пользователя владельца и группу владельца на этот каталог на базе информации из wbinfo (пример команды -- выше)

chown 3000023:100 /home/DOMAIN.ALT/ivanov_ivan -R

Создание домашнего каталога для пользователя при первом входе

В контексте этой статьи это решается запуском скрипта через параметр

root preexec = /usr/local/samba/bin/create_homedir %U

, добавленный к ресурсу

[share]

Задача, которую решает этот скрипт -- создание домашних каталогов для доменных пользователей на основе скелетона /etc/skel. В будущем это будет нужно для монтирования каталогов на клиентских машинах посредством pam_mount.

Полный конфиг ресурса

[share]
        path = /home/DOMAIN.ALT/%U/share
        root preexec = /usr/local/samba/bin/create_homedir %U
        read only = No
        browseable = yes
        writable = yes
        valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins"

Параметр указывает на выполнение скрипта, параметром в который прилетает имя пользователя. Создаём скрипт

mkdir -p /usr/local/samba/bin/
cat << 'EOF' > /usr/local/samba/bin/create_homedir 
#!/bin/bash
[ -z ${1} ] && echo "Try: $0 <username>" && exit 1
user="${1}"
homepath="/home/DOMAIN.ALT/${user}"
[ -d ${homepath} ] || /bin/cp -rp /etc/skel ${homepath}
[ -d ${homepath} ] && /bin/chown `wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'}` ${homepath} -R
EOF
exit 0

chmod +x /usr/local/samba/bin/create_homedir

Теперь при обращении пользователя к ресурсу [share] от суперпользователя будет запускаться скрипт, который:

1. Создаёт домашний каталог на основе /etc/skel (создаёт, только, если каталога несуществует) 2. Обновляет пользователя-владельца и группу-владельца для созданного каталога. UID пользователя-владельца и GID группы-владельца скрипт получает из команды (обновляет, только если каталог существует)

wbinfo -i ${user} | awk -F ':' {'print $3 ":" $4'}

Запуск ADMC

Для корректной работы приложения ADMC необходимо получить билет Kerberos командой
kinit Administrator

В ответ необходимо ввести пароль от доменного администратора


Чтобы это автоматизировать, можно, например, сделать скрипт автоматического запуска admc

cat << 'EOF' > /opt/admc.sh
#!/bin/bash
echo 'Pa$$word' | kinit Administrator
admc
EOF

chmod +x /opt/admc.sh


Если необходимо, то:

ln -s /opt/admc.sh /home/administrator/Рабочий\ стол/

Порядок ввода в домен компьютера под управлением ОС Альт Стартеркит MATE

Подготовка

Устанавливаем пакеты

apt-get install alterator-auth sssd-ad samba-common-tools realmd

Выставляем часовой пояс и синхронизируем время

timedatectl set-timezone Europe/Moscow
ntpdate pool.ntp.org

Задаём имя хоста

hostnamectl set-hostname host-arm01

Также проверить и при необходимости поправить имя хоста в файле

/etc/sysconfig/network

Перезагрузиться для проверки

reboot

Ввод компьютера в домен одной командой

Команда ввода компьютера с именем хоста

host-arm01

в домен

domain.alt

с паролем

Pa$$word

будет такой:

system-auth write ad domain.alt host-arm01 domain 'administrator' 'Pa$$word'

Вывод компьютера из домена

В контексте этой статьи компьютер из домена выводится командой, вводимой на самом компьютере (не на сервере):

realm leave domain.alt Administrator

Проверка текущего типа аутентификации

control system-auth

Монтирование каталогов по SAMBA

На сервере

Добавляем параметры в конфиг самбы и перезапускаем сервис

cat << 'EOF' >> /etc/samba/smb.conf
[share]
	path = /home/DOMAIN.ALT/%U/share
	read only = No
	browseable = yes
	writable = yes
	valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins"
EOF
systemctl restart samba

Полный файл /etc/samba/smb.conf с рабочего сервера

# Global parameters
[global]
        dns forwarder = 8.8.8.8
        netbios name = DC
        realm = DOMAIN.ALT
        server role = active directory domain controller
        workgroup = DOMAIN

[sysvol]
        path = /var/lib/samba/sysvol
        read only = No

[netlogon]
        path = /var/lib/samba/sysvol/domain.alt/scripts
        read only = No

[share]
        path = /home/DOMAIN.ALT/%U/share
        read only = No
        browseable = yes
        writable = yes
        valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins"

Вывод команды testparm с рабочего сервера

Load smb config files from /etc/samba/smb.conf
Loaded services file OK.
Weak crypto is allowed

Server role: ROLE_ACTIVE_DIRECTORY_DC

Press enter to see a dump of your service definitions

# Global parameters
[global]
	dns forwarder = 8.8.8.8
	passdb backend = samba_dsdb
	realm = DOMAIN.ALT
	server role = active directory domain controller
	workgroup = DOMAIN
	rpc_server:tcpip = no
	rpc_daemon:spoolssd = embedded
	rpc_server:spoolss = embedded
	rpc_server:winreg = embedded
	rpc_server:ntsvcs = embedded
	rpc_server:eventlog = embedded
	rpc_server:srvsvc = embedded
	rpc_server:svcctl = embedded
	rpc_server:default = external
	winbindd:use external pipes = true
	idmap config * : backend = tdb
	map archive = No
	vfs objects = dfs_samba4 acl_xattr


[sysvol]
	path = /var/lib/samba/sysvol
	read only = No


[netlogon]
	path = /var/lib/samba/sysvol/domain.alt/scripts
	read only = No


[share]
	path = /home/DOMAIN.ALT/%U/share
	read only = No
	valid users = "@DOMAIN\Domain Users" "@DOMAIN\Domain Admins"

На клиентском компьютере, введённом в домен

Устанавливаем необходимые пакеты

apt-get install -y pam_mount cifs-utils systemd-settings-enable-kill-user-processes

Конфигурируем PAM

Готовая команда для создания рабочего конфига

cat << 'EOF' > /etc/pam.d/system-auth-sss
#%PAM-1.0

auth [success=5 perm_denied=ignore default=die] pam_localuser.so
auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet
auth [default=1] pam_permit.so
auth optional pam_mount.so
auth substack system-auth-sss-only
auth [default=1] pam_permit.so
auth substack system-auth-local-only
auth substack system-auth-common

account [success=4 perm_denied=ignore default=die]pam_localuser.so
account [success=1 default=bad]pam_succeed_if.so uid >= 500 quiet
account [default=1] pam_permit.so
account substack system-auth-sss-only
account [default=1] pam_permit.so
account substack system-auth-local-only
account substack system-auth-common

password [success=4 perm_denied=ignore default=die] pam_localuser.so
password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet
password [default=1] pam_permit.so
password substack system-auth-sss-only
password [default=1] pam_permit.so
password substack system-auth-local-only
password substack system-auth-common

session [success=5 perm_denied=ignore default=die] pam_localuser.so
session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet
session [default=1] pam_permit.so
session optional pam_mount.so
session substack system-auth-sss-only
session [default=1] pam_permit.so
session substack system-auth-local-only
session substack system-auth-common

EOF

Проверка доступности ресурсов для пользователя

В приведённой ниже команде проверяются ресурсы пользователя ivanov_ivan:

smbclient -L dc.domain.alt -U ivanov_ivan -m SMB2

Монтирование ресурса вручную

В приведённой ниже команде проверяются монтирование ресурса вручную для пользователя ivanov_ivan:

mount.cifs //dc.domain.alt/homes ~/share -o vers=2.0,user=ivanov_ivan

Под вошедшим в ведённый в домен компьютер пользователем ivanov_ivan команда должна монтировать ресурс без запроса пароля!

Если проверка и монтирование вручную работает корректно, то можно настраивать pam_mount

Конфигурируем pam_mount

Делаем бэкап

cp /etc/security/pam_mount.conf.xml /etc/security/pam_mount.conf.xml.orig

Создаём сразу готовый файл конфигурации:

cat << 'EOF' > /etc/security/pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8"?>
<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
    <pam_mount>
        <debug enable="0" />
            <volume uid="10000-2000200000" fstype="cifs" server="dc.domain.alt" path="share" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />
            <cifsmount>/sbin/mount.cifs //%(SERVER)/%(VOLUME) %(MNTPT) -o %(OPTIONS)</cifsmount>
            <cifsumount>/sbin/umount.cifs %(MNTPT)</cifsumount>
            <mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec" />
            <mntoptions require="nosuid,nodev" />
            <logout wait="0" hup="no" term="no" kill="no" />
            <mkmountpoint enable="1" remove="true" />
    </pam_mount>
EOF


Основной принцип работы

В контексте данной статьи сервер и pam_mount на клиентской машине настроены таким образом, чтобы при входе доменного пользователя в систему в домашний каталог этого пользователя автоматически подключался ресурс, который на компьютере пользователя будет находиться в каталоге

/home/DOMAIN.ALT/ivanov_ivan/share

и будет смонтирован в каталог на сервере с точно таким же расположением, т.е.

/home/DOMAIN.ALT/ivanov_ivan/share

Следовательно, локально пользователь ivanov_ivan будет работать на конкретной машине, введённой в домен в локальном каталоге

/home/DOMAIN.ALT/ivanov_ivan

и результат работы будет сохраняться только на локальной машине.

Но файлы, с которыми пользователь ivanov_ivan работает на локальной машине A именно в каталоге

/home/DOMAIN.ALT/ivanov_ivan/share

, будут фактически сохраняться в каталоге

/home/DOMAIN.ALT/ivanov_ivan/share

файлового сервера на машине контроллера домена (и не будут сохраняться в таком же каталоге локальной машины) и в случае, когда пользователь ivanov_ivan будет работать на машине B, введённой в этот же домен, то в каталоге

/home/DOMAIN.ALT/ivanov_ivan/share

пользователю ivanov_ivan будут доступны те же файлы, с которыми он работал на машине A.

Источники

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

Черновик

Устанавливаем нужные пакеты task-samba-dc admc

Для создания домена Active Directory (далее -  AD), настраиваем на сервере статический ip-address и выставляем ДНС сервером себя 127.0.0.1. Далее в центре управления системой (https://localhost:8080) в разделе домен указываем "Имя домена" и выбираем "Тип домена" заполняем поля в дополнительных параметрах, нажимаем "применить".

При правильном заполнении полей, а также при наличии всех нужных пакетов, "Текущее состояние" - будет заполнено. После этого можно перезагрузить сервер.


Для того что бы пользоваться ADMC нужно произвести авторизацию в Kerberos командой kinit <имя пользователя> по умолчанию пользователь "Administrator" Если возникает ошибка - Откройте от имени суперпользователя файл /etc/krb5.conf.

Проверяем что установлено значение false в строке "dns_lookup_realm = false".

Раскомментируйте строку в [libdefaults] "default realm" и введите название области заглавными буквами.

Ниже, под строкой [realms] вместо EXAMPLE.COM введите название области, а вместо example.com в "default domain" введите IP-адрес сервера.

Под строкой [domain_realm] example.com и EXAMPLE.COM замените на ваш домен сохраняя регистр.


На клиенте устанавливаем пакет для наследования групповых политик alterator-gpudate Ставим статику и прописываем DNS - адрес сервера AD

Ввод в домен можно осуществить в разделе Аутентификация

Выбрать пункт «Домен Active Directory», заполнить поля и нажать кнопку «Применить»

В открывшемся окне необходимо ввести имя пользователя, имеющего право вводить машины в домен, и его пароль и нажать кнопку «ОК»