unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth
Различия
Показаны различия между двумя версиями страницы.
Предыдущая версия справа и слеваПредыдущая версияСледующая версия | Предыдущая версия | ||
unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth [25.06.2019 10:00] – [Расширение keytab] Алексей Максимов | unix-linux:debian:stretch:join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth [14.03.2024 13:08] (текущий) – [SUDO] Алексей Максимов | ||
---|---|---|---|
Строка 1: | Строка 1: | ||
- | ===== Подключение Debian GNU/Linux 9 Stretch к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache ===== | + | ===== Подключение Debian GNU/Linux 9 (Stretch) к домену Active Directory с помощью SSSD/realmd и настройка PAM для аутентификации и авторизации sshd/Apache ===== |
{{: | {{: | ||
- | Здесь приведён сокращённый план действий по присоединению Debian GNU/Linux 9 к домену Active Directory с помощью SSSD и realmd. | + | Здесь приведён сокращённый план действий по присоединению |
Строка 9: | Строка 9: | ||
==== Подготовка ==== | ==== Подготовка ==== | ||
- | Обеспечиваем правильную работу **DNS**-клиента и обсепечиваем __синхронизацию времени__ с источниками, | + | Обеспечиваем правильную работу **DNS**-клиента и обеспечиваем __синхронизацию времени__ с источниками, |
- | Выполняем команду присвоения полного доменного имени в качестве имени хоста, так как по умолчанию в **Debian 9** в качестве **hostname** используется | + | Выполняем команду присвоения полного доменного имени в качестве имени хоста, так как по умолчанию в **Debian 9** в качестве **hostname** используется имя узла без доменной части. |
Это позволит избежать некоторых проблем при вводе компьютера в домен с помощью **realmd**: | Это позволит избежать некоторых проблем при вводе компьютера в домен с помощью **realmd**: | ||
Строка 317: | Строка 317: | ||
< | < | ||
+ | В некоторых ситуациях при вызове **sudo** в контексте доменного пользователя может возникать длительная задержка при первом запросе на ввод пароля. В этом случае можно попробовать воспользоваться включением опции [[https:// | ||
\\ | \\ | ||
Строка 365: | Строка 366: | ||
==== Apache и PAM с Kerberos ===== | ==== Apache и PAM с Kerberos ===== | ||
+ | Более подробно описанный пример настройки можно найти в статье [[https:// | ||
- | Настраиваем конфигурацию Apache для поддержки | + | Настраиваем конфигурацию |
- | Установка пакетов поддержки PAM/ | + | Установка пакетов поддержки |
- | # apt-get install libapache2-mod-auth-kerb libapache2-mod-authnz-pam | + | < |
+ | </ | ||
Включение модулей Apache: | Включение модулей Apache: | ||
- | # apache2ctl -M | grep -E " | + | < |
Пример файла конфигурации Apache: | Пример файла конфигурации Apache: | ||
- | # nano -Y sh / | + | < |
+ | </ | ||
- | В данном примере в Apache для доступа к веб-серверу Apache вызывается настроенный нами ранее PAM-модуль | + | В данном примере в Apache для доступа к веб-серверу Apache вызывается настроенный нами ранее |
- | PAM-модуль в свою очередь вызывает для процедуры аутентификации SSSD и выполняет авторизацию через файл / | + | **PAM**-модуль в свою очередь вызывает для процедуры аутентификации |
+ | <file xml 000-default.conf> | ||
... | ... | ||
- | ServerAdmin webmaster@localhost | + | |
DocumentRoot / | DocumentRoot / | ||
Строка 394: | Строка 399: | ||
| | ||
</ | </ | ||
- | ... | + | … |
+ | </ | ||
- | Не забываем на строне Linux-сервера ограничить доступ к keytab-файлу | + | Не забываем на строне Linux-сервера настроить доступ к **keytab**-файлу |
- | # chown root: | + | < |
- | # chmod 640 / | + | # chmod 640 / |
Перезепускаем службу веб-сервера и проверяем результат: | Перезепускаем службу веб-сервера и проверяем результат: | ||
- | # systemctl restart apache2 | + | < |
# systemctl status apache2 | # systemctl status apache2 | ||
+ | </ | ||
\\ | \\ | ||
Строка 414: | Строка 420: | ||
По завершении всех процедур настройки можно вернуть имя хоста в исходное состояние, | По завершении всех процедур настройки можно вернуть имя хоста в исходное состояние, | ||
- | # hostname KOM-SRV01 | + | < |
+ | |||
+ | После завершения настройки перезагружаем Linux-сервере, | ||
unix-linux/debian/stretch/join-debian-linux-9-stretch-to-active-directory-domain-with-sssd-realmd-with-ad-security-group-authorization-in-pam-for-console-login-and-ssh-sso-putty-and-apache-kerberos-auth.1561446030.txt.gz · Последнее изменение: 25.06.2019 10:00 — Алексей Максимов