Вики IT-KB

Пошаговые руководства, шпаргалки, полезные ссылки...

Инструменты пользователя

Инструменты сайта

Вы находитесь здесь: START » Операционные системы Linux » Операционная система Ubuntu Linux » ubuntu-16-04-xenial-xerus-lts » Установка SSSD/realmd и подключение к домену Active Directory в Ubuntu Linux 16.04 LTS
unix-linux:ubuntu:ubuntu-16-04-xenial-xerus-lts:how-to-install-sssd-and-join-ubuntu-16-04-to-active-directory-domain

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Следующая версия		Предыдущая версия
unix-linux:ubuntu:ubuntu-16-04-xenial-xerus-lts:how-to-install-sssd-and-join-ubuntu-16-04-to-active-directory-domain [11.03.2017 14:55] – создано Алексей Максимовunix-linux:ubuntu:ubuntu-16-04-xenial-xerus-lts:how-to-install-sssd-and-join-ubuntu-16-04-to-active-directory-domain [19.03.2017 09:07] (текущий) Алексей Максимов
Строка 1: Строка 1:
 ===== Установка SSSD/realmd и подключение к домену Active Directory в Ubuntu Linux 16.04 LTS ===== ===== Установка SSSD/realmd и подключение к домену Active Directory в Ubuntu Linux 16.04 LTS =====
  
-В целом процедура подключения компьютера под управлением ОС **Ubuntu GNU/Linux 16.04.2 LTS (Xenial Xerus)** к домену Active Directory с помощью **SSSD** и **realmd** схожа с ранее описанной в статье [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|Подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd]], но с некоторыми исключениями и оговорками.+{{:unix-linux:ubuntu:ubuntu-16-04-xenial-xerus-lts:pasted:20170311-181652.png }} В целом процедура подключения компьютера под управлением ОС **Ubuntu GNU/Linux 16.04.2 LTS (Xenial Xerus)** к домену Active Directory с помощью **SSSD** и **realmd** схожа с ранее описанной в статье [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|Подключение Debian GNU/Linux 8.6 к домену Active Directory с помощью SSSD и realmd]], но с некоторыми исключениями и оговорками. 
 + 
 +\\
  
 ==== Предварительные требования ==== ==== Предварительные требования ====
Строка 7: Строка 9:
 Настраиваем **DNS**-клиента, чтобы правильно разрешались доменные имена. Настраиваем **DNS**-клиента, чтобы правильно разрешались доменные имена.
  
-<code># cat /etc/resolv.conf+<code># cat /etc/resolv.conf</code>
  
-search ad.holding.com+<HTML><pre style="padding:3px;"><div style="background:#5a5a62;color:#ffffff;padding:10px;">search ad.holding.com
 nameserver 10.1.0.9 nameserver 10.1.0.9
-nameserver 10.6.1.8</code>+nameserver 10.6.1.8</div></pre></HTML>
  
 Настраиваем и проверяем синхронизацию времени с контроллерами домена. Настраиваем и проверяем синхронизацию времени с контроллерами домена.
Строка 20: Строка 22:
 В файле меняем строчки указывающие на **NTP**-сервер. В качестве источника времени указываем контроллеры домена AD: В файле меняем строчки указывающие на **NTP**-сервер. В качестве источника времени указываем контроллеры домена AD:
  
-<code>server 10.1.0.9 iburst +<file bash ntp.conf>... 
-server 10.6.1.8 iburst</code>+server 10.1.0.9 iburst 
 +server 10.6.1.8 iburst 
 +...</file>
  
 Перезапускаем службу ntp и проверяем статус синхронизации времени: Перезапускаем службу ntp и проверяем статус синхронизации времени:
Строка 29: Строка 33:
 # date -R</code> # date -R</code>
  
-==== Установка SSSD/realmd и присоединение к домену Active Directory ====+ 
 +\\ 
 + 
 + 
 +==== Установка SSSD/realmd и проблема присоединения к домену Active Directory ====
  
 Устанавливаем необходимые пакеты из официальных репозиториев Ubuntu Xenial: Устанавливаем необходимые пакеты из официальных репозиториев Ubuntu Xenial:
Строка 37: Строка 45:
 При необходимости опционально правим **realmd.conf**. Подробности в [[https://freedesktop.org/software/realmd/docs/realmd-conf.html|онлайн-справке]] При необходимости опционально правим **realmd.conf**. Подробности в [[https://freedesktop.org/software/realmd/docs/realmd-conf.html|онлайн-справке]]
  
-<code> +<code># nano /etc/realmd.conf</code>
-# nano /etc/realmd.conf+
  
 +<file bash realmd.conf>
 [active-directory] [active-directory]
 os-name = Ubuntu Server GNU/Linux os-name = Ubuntu Server GNU/Linux
-os-version = 16.04 LTS (Xenial Xerus)</code>+os-version = 16.04 LTS (Xenial Xerus)</file>
  
 Пробуем подключить компьютер к домену Active Directory: Пробуем подключить компьютер к домену Active Directory:
  
-<code># realm join --verbose --user=adm-vasya --user-principal="host/kom-ad01-vm40.ad.holding.com@AD.HOLDING.COM" --computer-ou="OU=Linux Servers,OU=KOM,DC=ad,DC=holding,DC=com" kom-ad01-dc01.ad.holding.com</code>+<code># realm join --verbose --user=adm-vasya \  
 +--user-principal="host/kom-ad01-vm40.ad.holding.com@AD.HOLDING.COM" \  
 +--computer-ou="OU=Linux Servers,OU=KOM,DC=ad,DC=holding,DC=com" \  
 +kom-ad01-dc01.ad.holding.com</code>
  
 Однако, несмотря на то, что предварительно мы установили все нужные пакеты, в **Ubuntu 16.04** можем получить ошибку, говорящую о том, что необходимые пакеты не установлены: Однако, несмотря на то, что предварительно мы установили все нужные пакеты, в **Ubuntu 16.04** можем получить ошибку, говорящую о том, что необходимые пакеты не установлены:
  
-<code> * Resolving: _ldap._tcp.kom-ad01-dc01.ad.holding.com+<HTML><pre style="padding:3px;"><div style="background:#5a5a62;color:#ffffff;padding:10px;"> * Resolving: _ldap._tcp.kom-ad01-dc01.ad.holding.com
  * Resolving: kom-ad01-dc01.ad.holding.com  * Resolving: kom-ad01-dc01.ad.holding.com
  * Performing LDAP DSE lookup on: 10.1.0.9  * Performing LDAP DSE lookup on: 10.1.0.9
Строка 59: Строка 70:
  ! Necessary packages are not installed: sssd-tools sssd libnss-sss libpam-sss adcli  ! Necessary packages are not installed: sssd-tools sssd libnss-sss libpam-sss adcli
 realm: Couldn't join realm:  realm: Couldn't join realm: 
-Necessary packages are not installed: sssd-tools sssd libnss-sss libpam-sss adcli</code>+Necessary packages are not installed: sssd-tools sssd libnss-sss libpam-sss adcli</div></pre></HTML>
  
 Решить эту проблему можно, воспользовавшись обходным решением предложенным [[https://answers.launchpad.net/ubuntu/+question/293540|здесь]], а именно добавить к команде **realm join** дополнительный параметр ''--install=/'' Решить эту проблему можно, воспользовавшись обходным решением предложенным [[https://answers.launchpad.net/ubuntu/+question/293540|здесь]], а именно добавить к команде **realm join** дополнительный параметр ''--install=/''
  
-<code># realm join --verbose --user=adm-vasya --user-principal="host/kom-ad01-vm40.ad.holding.com@AD.HOLDING.COM" --computer-ou="OU=Linux Servers,OU=KOM,DC=ad,DC=holding,DC=com" kom-ad01-dc01.ad.holding.com --install=/</code>+<code># realm join --verbose --user=adm-vasya \  
 +--user-principal="host/kom-ad01-vm40.ad.holding.com@AD.HOLDING.COM" \  
 +--computer-ou="OU=Linux Servers,OU=KOM,DC=ad,DC=holding,DC=com" \  
 +kom-ad01-dc01.ad.holding.com 
 +--install=/</code>
  
  
 Проверяем результат работы realm join, а также проверяем доступ к пользователям и группам Active Directory согласно [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|ранее упомянутой статьи]]. Проверяем результат работы realm join, а также проверяем доступ к пользователям и группам Active Directory согласно [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|ранее упомянутой статьи]].
 +
 +
 +\\
 +
 +
 +==== Проблема авторизации из-за ошибки механизма кеширования GPO  ====
  
 На этапе проверки доменной авторизации в **Ubuntu 16.04** можем обнаружить ещё одну проблему.При попытке войти в систему, аутентификация пользователя проходит успешно, а попытка последующей авторизации завершается ошибкой типа: На этапе проверки доменной авторизации в **Ubuntu 16.04** можем обнаружить ещё одну проблему.При попытке войти в систему, аутентификация пользователя проходит успешно, а попытка последующей авторизации завершается ошибкой типа:
Строка 81: Строка 102:
 Пробуем воспроизвести проблему - выполнить процедуру авторизации, и если на консоли видим ошибки типа: Пробуем воспроизвести проблему - выполнить процедуру авторизации, и если на консоли видим ошибки типа:
  
-<code>...+<HTML><pre style="padding:3px;"><div style="background:#5a5a62;color:#ffffff;padding:10px;">...
 [sssd[be[ad.holding.com]]] [ad_gpo_store_policy_settings] (0x0020):  [sssd[be[ad.holding.com]]] [ad_gpo_store_policy_settings] (0x0020): 
 [/var/lib/sss/gpo_cache/ad.holding.com/Policies/ [/var/lib/sss/gpo_cache/ad.holding.com/Policies/
 {хххх-ххх-ххх-ххх-ххх}/Machine/Microsoft/Windows NT/SecEdit/GptTmpl.inf]:  {хххх-ххх-ххх-ххх-ххх}/Machine/Microsoft/Windows NT/SecEdit/GptTmpl.inf]: 
-ini_config_parse failed [5][Ошибка ввода/вывода]...</code>+ini_config_parse failed [5][Ошибка ввода/вывода]...</div></pre></HTML>
  
-Значит мы столкнулись с багом, имеющемся в версии **sssd**, которая на данный момент доступна в официальных репозиториях **Ubuntu Xenial** (версия **1.13.4**). Подробнее об этой проблеме [[https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1579092|здесь]]. В качестве решение этой проблемы предлагается создать каталог кеша доменных групповых политик, если его ещё нет. Если этот каталог существует, установить на него права:+Значит мы столкнулись с багом, имеющимся в версии **sssd**, которая на данный момент доступна в официальных репозиториях **Ubuntu Xenial** (версия **1.13.4**). Подробнее об этой проблеме [[https://bugs.launchpad.net/ubuntu/+source/sssd/+bug/1579092|здесь]]. В качестве решения этой проблемы предлагается создать каталог кеша доменных групповых политик, если его ещё нет. Если этот каталог существует, то установить на него права:
  
 <code> <code>
Строка 102: Строка 123:
  
 В остальном настройка системы аналогична [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|ранее упомянутой статьи]]. В остальном настройка системы аналогична [[https://blog.it-kb.ru/2016/10/15/join-debian-gnu-linux-8-6-to-active-directory-domain-with-sssd-and-realmd-for-authentication-and-configure-ad-domain-security-group-authorization-for-sudo-and-ssh-with-putty-sso/|ранее упомянутой статьи]].
 +
 +
 +----
 +
 +
 +Приведённые здесь решения также проверены и на **Ubuntu GNU/Linux 14.04 LTS (Trusty Tahr)**.
  
 ---- ----
 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 11.03.2017 16:56 {{:user:blogroot.png?50&nolink |}} Автор первичной редакции:\\ [[user:blogroot|Алексей Максимов]] \\ Время публикации: 11.03.2017 16:56
  
-{{tag>Linux Ubuntu "Ubuntu LTS" "Ubuntu 16.04" "Xenial Xerus" SSSD realmd "Active Directory" GPO PAM Authentication Authorization}}+{{tag>Linux Ubuntu "Ubuntu LTS" "Ubuntu 16.04" "Xenial Xerus" "Ubuntu 14.04" "Trusty Tahr" SSS SSSD realmd "Active Directory" GPO PAM Authentication Authorization}}
  
 ~~DISCUSSION~~ ~~DISCUSSION~~
unix-linux/ubuntu/ubuntu-16-04-xenial-xerus-lts/how-to-install-sssd-and-join-ubuntu-16-04-to-active-directory-domain.1489244122.txt.gz · Последнее изменение: Алексей Максимов