ActiveDirectory/Login: различия между версиями

Материал из ALT Linux Wiki
мНет описания правки
Строка 2: Строка 2:
Инструкция по вводу рабочей станции под управлением ALT Linux в домен Active Directory (работающий под Windows или под [[SambaAD|Samba в режиме AD DC]]).
Инструкция по вводу рабочей станции под управлением ALT Linux в домен Active Directory (работающий под Windows или под [[SambaAD|Samba в режиме AD DC]]).
Устаревшая инструкция: [[Ввод в домен на базе Windows 2003]]
Устаревшая инструкция: [[Ввод в домен на базе Windows 2003]]
{{Attention|Если Ваш домен имеет суффикс .local - необходимо отключить avahi-daemon (подробнее [[ActiveDirectory/Login#Примечания|ниже, пункт 2 примечаний]]).}}
{{Attention|Если Ваш домен имеет суффикс .local необходимо отключить avahi-daemon (подробнее [[ActiveDirectory/Login#Примечания|ниже, пункт 2 примечаний]]).}}


'''Параметры домена'''
'''Параметры домена'''
Строка 23: Строка 23:
<div id="prep"></div>
<div id="prep"></div>


= Подготовка =
== Подготовка ==


== Установка пакетов ==
=== Установка пакетов ===


{{Attention|Аутентификация через winbind в новых сборках Samba не работает, используйте аутентификацию через {{pkg|task-auth-ad-sssd}}.}}
{{Attention|Аутентификация через winbind в новых сборках Samba не работает, используйте аутентификацию через {{pkg|task-auth-ad-sssd}}.}}
Строка 41: Строка 41:
Возможно, следует [[Обновление ОС#В пределах версии|обновить]] установленный дистрибутив из репозитория.
Возможно, следует [[Обновление ОС#В пределах версии|обновить]] установленный дистрибутив из репозитория.


== Синхронизация времени ==
=== Синхронизация времени ===


С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.
С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.
Строка 72: Строка 72:
<div id="setup"></div>
<div id="setup"></div>


= Ввод в домен в Центре управления системой =  
== Ввод в домен в Центре управления системой ==  


Предварительная настройка - [[PreliminaryActions]]
Предварительная настройка [[PreliminaryActions]].


В Центре управления системой перейдите в раздел {{path|Пользователи → Аутентификация}}
Для ввода компьютера в Active Directory потребуется установить пакет {{pkg|task-auth-ad-sssd}} и все его зависимости.
 
В Центре управления системой перейдите в раздел {{path|Пользователи → Аутентификация}}. Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».


Для ввода компьютера в Active Directory потребуется установить пакет {{pkg|task-auth-ad-sssd}} и все его зависимости.
[[Файл:Qwe.png|мини|слева|x400px|Clear|]]  
[[Файл:Qwe.png|мини|слева|x400px|Clear|]]  
<div style="clear:{{{1|both}}};"></div>
<div style="clear:{{{1|both}}};"></div>


Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».
== Ввод в домен в командной строке ==
 
= Ввод в домен в командной строке =


<pre># system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word'
<pre># system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word'
Joined 'HOST-15' to dns domain 'school.alt'</pre>
Joined 'HOST-15' to dns domain 'school.alt'</pre>
<div id="check"></div>
<div id="check"></div>
= Настройка SSSD =
 
== Настройка SSSD ==
См. статью [[SSSD/AD]]
См. статью [[SSSD/AD]]


= Проверка работы =
== Проверка работы ==


<pre># getent passwd ivan
<pre># getent passwd ivan
Строка 112: Строка 112:
{{Note| Вы не увидите пользователей из AD с помощью команды <code># getent passwd </code> на клиентской машине. Этот функционал отключен по-умолчанию для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя <code># getent passwd имя_пользователя </code>. Список пользователей можно посмотреть на сервере командой <code># samba-tool user list</code>}}
{{Note| Вы не увидите пользователей из AD с помощью команды <code># getent passwd </code> на клиентской машине. Этот функционал отключен по-умолчанию для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя <code># getent passwd имя_пользователя </code>. Список пользователей можно посмотреть на сервере командой <code># samba-tool user list</code>}}


= Примечания =
== Примечания ==
# Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен
# Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен
# При указании домена, имеющего суффикс '''.local''', потребуется на сервере и подключаемых компьютерах под управлением Linux <u>'''отключить''' службу {{cmd|avahi-daemon}}</u> - <code># chkconfig avahi-daemon off; reboot </code> (доменная зона "local." используется в технологии zeroconf).
# При указании домена, имеющего суффикс '''.local''', потребуется на сервере и подключаемых компьютерах под управлением Linux <u>'''отключить''' службу {{cmd|avahi-daemon}}</u> - <code># chkconfig avahi-daemon off; reboot </code> (доменная зона "local." используется в технологии zeroconf).
Строка 123: Строка 123:
# Для возможности входа в ОС под доменным пользователем при его недоступности можно включить опцию кэширования учетных данных в конфиге SSSD (подробнее [https://www.altlinux.org/SSSD/AD#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0_sssd-.D0.BC.D0.BE.D0.B4.D1.83.D0.BB.D1.8F тут], опция '''cache_credentials''')
# Для возможности входа в ОС под доменным пользователем при его недоступности можно включить опцию кэширования учетных данных в конфиге SSSD (подробнее [https://www.altlinux.org/SSSD/AD#.D0.A3.D1.81.D1.82.D0.B0.D0.BD.D0.BE.D0.B2.D0.BA.D0.B0_sssd-.D0.BC.D0.BE.D0.B4.D1.83.D0.BB.D1.8F тут], опция '''cache_credentials''')


= Настройка окна входа =
== Настройка окна входа ==


== Настройка LightDM ==
=== Настройка LightDM ===


В {{path|/etc/lightdm/lightdm.conf}} раскомментируйте строку в группе {{cmd|[SeatDefaults]}}:
В {{path|/etc/lightdm/lightdm.conf}} раскомментируйте строку в группе {{cmd|[SeatDefaults]}}:
Строка 132: Строка 132:
Это позволит вводить имя пользователя вручную, а не прокручивать огромный список доступных доменныx пользователей.
Это позволит вводить имя пользователя вручную, а не прокручивать огромный список доступных доменныx пользователей.


Также полезно выключить выбор языка. В файле {{path|/etc/lightdm/lightdm-gtk-greeter.conf}} в группе {{cmd|[greeter]}} укажите
Также полезно выключить выбор языка. В файле {{path|/etc/lightdm/lightdm-gtk-greeter.conf}} в группе {{cmd|[greeter]}} укажите:
  show-language-selector=false
  show-language-selector=false


Строка 144: Строка 144:
<source lang="text">enter-username = true</source>}}
<source lang="text">enter-username = true</source>}}


= Отображение глобальных групп на локальные =
== Отображение глобальных групп на локальные ==
{{note|Первые два пункта данного раздела выполняются автоматически, если АРМ вводится в домен с помощью {{pkg|task-auth-ad-sssd}}}}
{{note|Первые два пункта данного раздела выполняются автоматически, если АРМ вводится в домен с помощью {{pkg|task-auth-ad-sssd}}.}}
== Установка модуля ролей ==
=== Установка модуля ролей ===
  apt-get install libnss-role
  apt-get install libnss-role


== Настройка ролей и привилегий ==
=== Настройка ролей и привилегий ===
Добавляем роль локальных администраторов:
Добавляем роль локальных администраторов:
  # groupadd -r localadmins
  # groupadd -r localadmins


{{Note|Лучше использовать группу localadmins (вместо admins) по избежание конфликта с группой admins во FreeIPA}}
{{Note|Лучше использовать группу localadmins (вместо admins) по избежание конфликта с группой admins во FreeIPA.}}


Создаём привилегию на право удалённого доступа (по протоколу ssh):
Создаём привилегию на право удалённого доступа (по протоколу ssh):
Строка 183: Строка 183:
Данная настройка назначает заданный список локальных групп (привилегий) всем пользователям, входящим в заданные локальные группы (роли). А также назначает локальные роли для глобальных групп в домене.
Данная настройка назначает заданный список локальных групп (привилегий) всем пользователям, входящим в заданные локальные группы (роли). А также назначает локальные роли для глобальных групп в домене.


== Дополнительные роли ==
=== Дополнительные роли ===
Соответственно, если надо выдать права администраторов АРМ пользователям, которые не являются Domain Admins,
Соответственно, если надо выдать права администраторов АРМ пользователям, которые не являются Domain Admins,
то нужно завести новую группу в AD (например, PC Admins), добавить туда необходимых пользователей.
то нужно завести новую группу в AD (например, PC Admins), добавить туда необходимых пользователей.
Строка 219: Строка 219:
</pre>
</pre>


= Подключение файловых ресурсов =
== Подключение файловых ресурсов ==


Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).
Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).


== Через gio ==
=== Через gio ===


{{note|Способ актуален для дистрибутивов, использующих gio (ранее — gvfs) (например, Кентавр, Simply Linux, Basealt Workstation, СПТ).}}
{{note|Способ актуален для дистрибутивов, использующих gio (ранее — gvfs) (например, Кентавр, Simply Linux, Basealt Workstation, СПТ).}}
Строка 239: Строка 239:
}}
}}


3. Входим доменным пользователем
3. Входим доменным пользователем.


4. Открываем ресурс в файловом менеджере (например, по адресу {{path|smb://server/sysvol}}). Ресурс смонтирован по пути {{path|/var/run/<uid_пользователя>/gvfs}} или /var/run/user/<uid_пользователя>/gvfs/smb-share:server=сервер,share=ресурс
4. Открываем ресурс в файловом менеджере (например, по адресу {{path|smb://server/sysvol}}). Ресурс смонтирован по пути {{path|/var/run/<uid_пользователя>/gvfs}} или /var/run/user/<uid_пользователя>/gvfs/smb-share:server=сервер,share=ресурс
Строка 248: Строка 248:
{{note|Если необходимо открывать что-то с ресурса в WINE, в {{cmd|winecfg}} добавьте диск с путём {{path|/var/run/<uid_пользователя>/gvfs}}.}}
{{note|Если необходимо открывать что-то с ресурса в WINE, в {{cmd|winecfg}} добавьте диск с путём {{path|/var/run/<uid_пользователя>/gvfs}}.}}


== Через pam_mount ==
=== Через pam_mount ===


В этом случае заданный ресурс подключается с заданного сервера <u>автоматически при каждом входе</u> доменным пользователем.
В этом случае заданный ресурс подключается с заданного сервера <u>автоматически при каждом входе</u> доменным пользователем.
Строка 269: Строка 269:
<source lang="xml"><volume uid="10000-2000200000" fstype="cifs" server="c228" path="sysvol" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /></source>
<source lang="xml"><volume uid="10000-2000200000" fstype="cifs" server="c228" path="sysvol" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" /></source>
где
где
* '''uid="10000-2000200000"''' — диапазон присваиваемых для доменных пользователей UID (подходит и для Winbind и для SSSD)
* '''uid="10000-2000200000"''' — диапазон присваиваемых для доменных пользователей UID (подходит и для Winbind и для SSSD);
* '''server="c228"''' — имя сервера с ресурсом
* '''server="c228"''' — имя сервера с ресурсом;
* '''path="sysvol"''' — имя файлового ресурса
* '''path="sysvol"''' — имя файлового ресурса;
* '''mountpoint="~/share"''' — путь монтирования в домашней папке пользователя
* '''mountpoint="~/share"''' — путь монтирования в домашней папке пользователя.
Опционально можно добавить
Опционально можно добавить
* '''sgrp="group_name"''' — имя группы, при членстве пользователя в которой, папка будет примонтирована
* '''sgrp="group_name"''' — имя группы, при членстве пользователя в которой, папка будет примонтирована.


{{Attention|Обязательно указывайте настоящее имя сервера в параметре {{term|server}}, а не имя домена}}
{{Attention|Обязательно указывайте настоящее имя сервера в параметре {{term|server}}, а не имя домена}}
Строка 283: Строка 283:


Для проверки можно попробовать смонтировать ресурс в сессии:
Для проверки можно попробовать смонтировать ресурс в сессии:
<source> mount.cifs //server/share /mnt/  -o vers=2.0,user=altlinux</source>
<source lang="text"> mount.cifs //server/share /mnt/  -o vers=2.0,user=altlinux</source>
Также можно проверить доступность ресурса с помощью smbclient, например:
Также можно проверить доступность ресурса с помощью smbclient, например:
<source>
<source lang="text">
smbclient -L server -U altlinux -m SMB2
smbclient -L server -U altlinux -m SMB2
</source>
</source>


== Через autofs ==
=== Через autofs ===


В этом случае заданный ресурс подключается <u>автоматически при каждом обращении</u> пользователя. И отключается после определенного времени бездействия (определяется конфигуацией Autofs).
В этом случае заданный ресурс подключается <u>автоматически при каждом обращении</u> пользователя. И отключается после определенного времени бездействия (определяется конфигуацией Autofs).
Строка 300: Строка 300:
2. Следуем инструкции по подключению в разделе [[Альт_Рабочая_станция_К_8_советы]].
2. Следуем инструкции по подключению в разделе [[Альт_Рабочая_станция_К_8_советы]].


= Групповые политики =
== Групповые политики ==


Групповые политики (GPO) на Linux применяются только контроль входа через [[SSSD]] и средства Centrify.
Групповые политики (GPO) на Linux применяются только контроль входа через [[SSSD]] и средства Centrify.


== SSSD ==
=== SSSD ===


SSSD имеет внутреннюю поддержку следующих групповых политик:
SSSD имеет внутреннюю поддержку следующих групповых политик:
Строка 329: Строка 329:
{{note| Получение прав root см. [[root]] }}
{{note| Получение прав root см. [[root]] }}


== Ссылки по групповым политикам ==
=== Ссылки по групповым политикам ===
* https://fedoraproject.org/wiki/Changes/SssdGpoBasedAccessControl
* https://fedoraproject.org/wiki/Changes/SssdGpoBasedAccessControl
* http://wiki.eri.ucsb.edu/stadm/AD_Samba4
* http://wiki.eri.ucsb.edu/stadm/AD_Samba4
Строка 335: Строка 335:
* https://www.youtube.com/watch?v=2cJWnUZ8qLI
* https://www.youtube.com/watch?v=2cJWnUZ8qLI


= Ссылки =
== Ссылки ==
* https://wiki.archlinux.org/index.php/Active_Directory_Integration
* https://wiki.archlinux.org/index.php/Active_Directory_Integration
* [[Ввод в домен на базе Windows 2003]]
* [[Ввод в домен на базе Windows 2003]]

Версия от 17:56, 20 апреля 2022

Инструкция по вводу рабочей станции под управлением ALT Linux в домен Active Directory (работающий под Windows или под Samba в режиме AD DC). Устаревшая инструкция: Ввод в домен на базе Windows 2003

Внимание! Если Ваш домен имеет суффикс .local — необходимо отключить avahi-daemon (подробнее ниже, пункт 2 примечаний).


Параметры домена

Параметр Значение
Имя домена SCHOOL.ALT
Рабочая группа SCHOOL
Имя компьютера в Netbios WS
Имя пользователя-администратора Administrator
Пароль администратора Pa$$word


Подготовка

Установка пакетов

Внимание! Аутентификация через winbind в новых сборках Samba не работает, используйте аутентификацию через task-auth-ad-sssd.


С версии alterator-auth-0.31-alt1 

apt-get install task-auth-ad-sssd
Примечание: Для старых версий: 
apt-get install alterator-auth sssd-ad samba-common-tools


Требуемые версии:

  • pam-config >= 1.7.0-alt1
  • alterator-auth >= 0.26-alt1

Возможно, следует обновить установленный дистрибутив из репозитория.

Синхронизация времени

С версии alterator-auth 0.28 синхронизация времени производится автоматически с контроллером домена.

Для более ранних версий:

Способ 1: Через net time
net time set -S <имя домена>
Способ 2: По протоколу RFC 867

На сервере включается через xinetd daytime-tcp [1]: 

# chkconfig --list | grep daytime-tcp
        daytime-tcp:    вкл

А на клиенте — служба settime-rfc867: 

chkconfig settime-rfc867 on
service settime-rfc867 start
Способ 3: Через Центр управления системой → Дата и время

Включите флажок «Получать точное время с NTP-сервера» и укажите в поле справа pool.ntp.org. После этого нажмите кнопку «Применить».

Способ 4: Через ntpdate
ntpdate pool.ntp.org

Ввод в домен в Центре управления системой

Предварительная настройка — PreliminaryActions.

Для ввода компьютера в Active Directory потребуется установить пакет task-auth-ad-sssd и все его зависимости.

В Центре управления системой перейдите в раздел Пользователи → Аутентификация. Выберите пункт «Домен Active Directory» и заполните поля. Нажмите кнопку «Применить».

Qwe.png

Ввод в домен в командной строке

# system-auth write ad school.alt host-15 school 'administrator' 'Pa$$word'
Joined 'HOST-15' to dns domain 'school.alt'

Настройка SSSD

См. статью SSSD/AD

Проверка работы

# getent passwd ivan
ivan:*:10005:10002:ivan:/home/SCHOOL/ivan:/bin/bash

# net ads info
LDAP server: 192.168.1.1
LDAP server name: c228.school.alt
Realm: SCHOOL.ALT
Bind Path: dc=SCHOOL,dc=ALT
LDAP port: 389
Server time: Ср, 22 апр 2015 16:22:47 MSK
KDC server: 192.168.1.1
Server time offset: -1

# net ads testjoin
Join is OK
Примечание: Вы не увидите пользователей из AD с помощью команды # getent passwd на клиентской машине. Этот функционал отключен по-умолчанию для того чтобы сократить нагрузку на серверы. Поэтому для проверки необходимо точно указать имя пользователя # getent passwd имя_пользователя . Список пользователей можно посмотреть на сервере командой # samba-tool user list


Примечания

  1. Ограничение: имя домена должно указывать на DC. Если это не так, поправляйте /etc/krb5.conf и вводите вручную, либо в файл /etc/hosts добавьте строку с контроллером домена (кдц) ДОМЕН.local и перезапустите сеть. После этого проверьте из командной строки ping ДОМЕН.local и вводите в домен
  2. При указании домена, имеющего суффикс .local, потребуется на сервере и подключаемых компьютерах под управлением Linux отключить службу avahi-daemon - # chkconfig avahi-daemon off; reboot (доменная зона "local." используется в технологии zeroconf).
  3. Следите за синхронизацией времени на клиенте и сервере.
  4. Для предотвращения кэширования имён пользователя отключите службу nscd.
  5. В новых версиях Samba до запуска службы winbind должна запускаться служба smb.
  6. Если возникает проблема просмотра билетов Kerberos под доменным пользователем, скопируйте правильный krb5.conf из samba: 
    rm -f /etc/krb5.conf
cp /var/lib/samba/smb_krb5/krb5.conf* /etc/krb5.conf
  7. Если у вас домен Windows 2003 (не R2), то в директивы default_tgs_enctypes, default_tkt_enctypes и preferred_enctypes файла /etc/krb5.conf добавьте ещё DES3-CBC-SHA1.
  8. Для возможности входа в ОС под доменным пользователем при его недоступности можно включить опцию кэширования учетных данных в конфиге SSSD (подробнее тут, опция cache_credentials)

Настройка окна входа

Настройка LightDM

В /etc/lightdm/lightdm.conf раскомментируйте строку в группе [SeatDefaults]: 

greeter-hide-users=true

Это позволит вводить имя пользователя вручную, а не прокручивать огромный список доступных доменныx пользователей.

Также полезно выключить выбор языка. В файле /etc/lightdm/lightdm-gtk-greeter.conf в группе [greeter] укажите: 

show-language-selector=false

В новых версиях lightdm-gtk-greeter можно указать кнопки явно: 

show-indicators=~a11y;~power

Полный перечень доступных кнопок: 

show-indicators=~a11y;~power;~session;~language
Примечание: В lightdm-gtk-greeter, начиная с версии 2.0.7-alt2, можно настроить автоматическое заполнение поля «Имя пользователя» именем последнего пользователя входившего в систему. Для этого в файле /etc/lightdm/lightdm-gtk-greeter.conf (группа [greeter]) необходимо указать: 
enter-username = true


Отображение глобальных групп на локальные

Примечание: Первые два пункта данного раздела выполняются автоматически, если АРМ вводится в домен с помощью task-auth-ad-sssd.

Установка модуля ролей

apt-get install libnss-role

Настройка ролей и привилегий

Добавляем роль локальных администраторов: 

# groupadd -r localadmins
Примечание: Лучше использовать группу localadmins (вместо admins) по избежание конфликта с группой admins во FreeIPA.


Создаём привилегию на право удалённого доступа (по протоколу ssh): 

# groupadd -r remote

Включаем удалённый доступ только для группы remote: 

# control sshd-allow-groups enabled
# sed -i 's/AllowGroups.*/AllowGroups = remote/' /etc/openssh/sshd_config

Настраиваем список привилегий для пользователей (для роли users): 

# roleadd users cdwriter cdrom audio proc radio camera floppy xgrp scanner uucp fuse

Настраиваем список привилегий для администраторов (для роли admins): 

# roleadd localadmins wheel remote vboxusers

Настраиваем отображение локальных привилегий, назначенных локальным ролям, на глобальные группы безопасности: 

# roleadd 'Domain Users' users

или 

# roleadd 'Пользователи домена' users

Далее 

# roleadd 'Domain Admins' localadmins

или 

# roleadd 'Администраторы домена' localadmins

Просматриваем список назначенных ролей и привилегий: 

# rolelst
# id ivan

Данная настройка назначает заданный список локальных групп (привилегий) всем пользователям, входящим в заданные локальные группы (роли). А также назначает локальные роли для глобальных групп в домене.

Дополнительные роли

Соответственно, если надо выдать права администраторов АРМ пользователям, которые не являются Domain Admins, то нужно завести новую группу в AD (например, PC Admins), добавить туда необходимых пользователей. Затем на АРМ добавить роль для данной группы: 

# roleadd 'PC Admins' localadmins
# rolelst
users: cdwriter cdrom audio video proc radio camera floppy xgrp scanner uucp vboxusers fuse tsusers
localadmins: wheel
domain users: users
domain admins: localadmins
pc admins: localadmins

После этого (и после разрешения sudo для группы wheel) под пользователем входящим в группу PC Admins можно запускать команду повышения прав sudo. 

user@alt8 ~ $ su - petrov
Password: 
petrov@alt8 ~ $ id
uid=445010929(petrov) gid=445000513(domain users) группы=445000513(domain users),10(wheel),14(uucp),19(proc),
22(cdrom),71(floppy),80(cdwriter),81(audio),83(radio),100(users),458(tsusers), 459(localadmins),466(fuse),468(video),
480(camera),492(vboxusers),498(xgrp),499(scanner),445010930(pc admins)
petrov@alt8 ~ $ sudo apt-get update
Пароль:
Получено: 1 http://ftp.altlinux.org p8/branch/x86_64 release [880B]
Получено: 2 http://ftp.altlinux.org p8/branch/x86_64-i586 release [537B]
Получено: 3 http://ftp.altlinux.org p8/branch/noarch release [673B]
Получено 2090B за 0s (36,9kB/s).
Найдено http://ftp.altlinux.org p8/branch/x86_64/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/x86_64/classic release
Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/x86_64-i586/classic release
Найдено http://ftp.altlinux.org p8/branch/noarch/classic pkglist
Найдено http://ftp.altlinux.org p8/branch/noarch/classic release
Чтение списков пакетов... Завершено
Построение дерева зависимостей... Завершено

Подключение файловых ресурсов

Рассматриваемые способы позволяют подключать файловые ресурсы (file shares) для доменного пользователя без повторного ввода пароля (SSO, Single Sign-On).

Через gio

Примечание: Способ актуален для дистрибутивов, использующих gio (ранее — gvfs) (например, Кентавр, Simply Linux, Basealt Workstation, СПТ).


Недостаток такого способа — необходимо открыть ресурс в файловом менеджере (Caja, Pcmanfm). Однако можно открывать любые ресурсы на любых серверах, входящие в домен Active Directory.

1. Устанавливаем необходимые пакеты (с правами root): 

apt-get install fuse-gvfs gvfs-backend-smb libgio

2. Включаем пользователя в группу fuse (с правами root): 

gpasswd -a <пользователь> fuse
Внимание! Начиная с p9 членства в группе fuse недостаточно, требуется разрешить для всех доступ к fuse под root: 
control fusermount public


3. Входим доменным пользователем.

4. Открываем ресурс в файловом менеджере (например, по адресу smb://server/sysvol). Ресурс смонтирован по пути /var/run/<uid_пользователя>/gvfs или /var/run/user/<uid_пользователя>/gvfs/smb-share:server=сервер,share=ресурс

Другой вариант (полезно для скриптов в автозапуске): 

gio mount smb://server/sysvol/
Примечание: Если необходимо открывать что-то с ресурса в WINE, в winecfg добавьте диск с путём /var/run/<uid_пользователя>/gvfs.


Через pam_mount

В этом случае заданный ресурс подключается с заданного сервера автоматически при каждом входе доменным пользователем.

1. Устанавливаем pam_mount: 

apt-get install pam_mount

2. Прописываем pam_mount в схему /etc/pam.d/system-auth-sss:

(перед auth substack system-auth-sss-only) 

auth            optional        pam_mount.so

и в секцию session: 

session         optional        pam_mount.so
Внимание! Если у Вас ресурс монтируется дважды, то можно исправить это, добавив в session перед строкой с pam_mount: 
session [success=1 default=ignore]  pam_succeed_if.so  service = systemd-user quiet


3. Устанавливаем правило монтирования ресурса в файле /etc/security/pam_mount.conf.xml (перед тегом <cifsmount>): 

<volume uid="10000-2000200000" fstype="cifs" server="c228" path="sysvol" mountpoint="~/share" options="sec=krb5,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />

где

  • uid="10000-2000200000" — диапазон присваиваемых для доменных пользователей UID (подходит и для Winbind и для SSSD);
  • server="c228" — имя сервера с ресурсом;
  • path="sysvol" — имя файлового ресурса;
  • mountpoint="~/share" — путь монтирования в домашней папке пользователя.

Опционально можно добавить

  • sgrp="group_name" — имя группы, при членстве пользователя в которой, папка будет примонтирована.
Внимание! Обязательно указывайте настоящее имя сервера в параметре server, а не имя домена


Внимание! По умолчанию для монтирования используется smb версии 1.0, если у вас он отключен, то укажите в параметрах версию 2 или 3. 
<volume uid="10000-2000200000" fstype="cifs" server="c228" path="sysvol" mountpoint="~/share" options="sec=krb5,vers=2.0,cruid=%(USERUID),nounix,uid=%(USERUID),gid=%(USERGID),file_mode=0664,dir_mode=0775" />


Для проверки можно попробовать смонтировать ресурс в сессии: 

 mount.cifs //server/share /mnt/  -o vers=2.0,user=altlinux

Также можно проверить доступность ресурса с помощью smbclient, например: 

smbclient -L server -U altlinux -m SMB2

Через autofs

В этом случае заданный ресурс подключается автоматически при каждом обращении пользователя. И отключается после определенного времени бездействия (определяется конфигуацией Autofs).

Основная статья AutoFS

https://www.altlinux.org/Autofs

Для дистрибутивов c KDE

1. Устанавливаем kde5-autofs-shares: 

apt-get install kde5-autofs-shares

2. Следуем инструкции по подключению в разделе Альт_Рабочая_станция_К_8_советы.

Групповые политики

Групповые политики (GPO) на Linux применяются только контроль входа через SSSD и средства Centrify.

SSSD

SSSD имеет внутреннюю поддержку следующих групповых политик:

Политика
Allow log on locally
Allow log on through Remote Desktop Services
Access this computer from the network
Allow log on as a batch job
Allow log on as a service


Примечание: Планируется поддержка других групповых политик средствами подключаемых модулей


  1. Cм получение прав root:
Примечание: Получение прав root см. root


Ссылки по групповым политикам

Ссылки


Samba
Групповые политики/ADMC • Samba/Cluster • ActiveDirectory/DC • Fileserver start • ActiveDirectory/FileShare • Групповые политики/GPUI • Samba/idmapldap • Samba/InterdomainTrustRelationships • ActiveDirectory/Login • SambaDC/MIT • Samba/recycle • Samba • Samba/Cluster/FreeIPA • Samba/Fileserver/AD-auth • SambaAD start • SambaADClient и клонирование диска • SambaDC/Squid • Smbnetfs • Test AD Join • Samba/Usershares • Групповые политики • Диагностические инструменты • Общие папки • Групповые политики/Развёртывание • Устранение неполадок участников домена Samba
 
Домен
Centaurus: Бездисковый клиент • Centaurus: домен • ActiveDirectory/DC • ActiveDirectory/FileShare • Домен/GSSAPI • Gvfs-shares • Домен/Kerberos • Домен/LDAP • ActiveDirectory/Login • Домен/Windows/Manual • NFS сервер с Kerberos авторизацией • Samba/Fileserver/AD-auth • SambaADClient и клонирование диска • SambaDC/Squid • Thunderbird • Домен/TODO • Домен/Windows • Ввод в домен на базе Windows 2003 • Диагностические инструменты • Домен на openldap (устаревшее) • Домен/Использование Kerberos • Домен/Планы • Дополнительные серверы и member-сервисы в домене ALT Linux • Работа домена Centaurus с несколькими подсетями • Домен/Решение проблем • Домен/Скрипты • Домен/Состав
 
HOWTO
32й-OpenGL на 64x • 389-ds • ActiveDirectory/DC • ActiveDirectory/FileShare • ActiveDirectory/Squid • Adobe Flash • AHCI • Участник:Alehander/Монтирование каталогов • Android-devel • Apache Kafka • Appimage • Arepo In Hasher • Asciidoc • Autoinstall • BugTracking/BugzillaMiniHowto • CDEmu и все-все-все • Chroot • Clamav • PostgreSQL/Cluster • Cpufreq • CreateMdRAID1onLiveSystem • CUDA • Cлайд-шоу фоновых рисунков рабочего стола • D Programming Language • DB2 • Dconf • Discord • Tools/Distribute • DPMS • DualBoot в картинках • DualBoot в картинках new • X11/DualSeat • Dynflow • Ed • EDID • ElasticSearch • EnterpriseWine • Epic games • Etckeeper • EterTips • Fail2ban • Fdisk • FFmpeg • Fleet Commander • Folding@Home • FreeIPA • FreePascal HOWTO • FreeRADIUS • FreeRADIUS и корпоративный WiFi • Giter • GoogleTalkPlugin • Hasher/parallel • Hitachi StarBoard • Incoming/HOWTO • I2p • IconsPackaging • IPTV • ITalc • Участник:IvanZakharyaschev/Что делать, если забыл имена пользователей • Участник:IvanZakharyaschev/Что делать, если забыл пароли (в т.ч. пароль root-а) • Участник:IvanZakharyaschev/Что делать, если затёр загрузчик системы • JaCarta • JaCarta/PKI • Java-applet • Java/OracleSDK/Install • JavaPlugin • JeOS VM noDHCP • KVM/Helper • LAME • ActiveDirectory/Login • PVE/LXC • Mailman and lighttpd • DotFiles/Shells/MC • Участник:MichaelShigorin/ПодсуньТарбол • Microsoft Access • MIDI • MsgToEml • MultiSeat systemd • Multistation • NetInstall • NetworkDevicesName • Nextcloud • NTFS • NTFS readonly • Numlock • OpenMeetings • Otrs • OwnCloud9 • Pam mount • Pcsxr • PepperFlash в Chromium • Perfect Desktop • Pidgin • Pipelight • Pipx • Dovecot/Plugins • PostgreSQL • Prelink • PstToMbox • Puppet • Puppetserver • PyVFS • Rdesktop keymap fix • Recoll • Replace disk online • Rescue manuals • Rescue/Launcher • Rescue/Recovery • Ricoh SP 100 • Roundcube • Ruby Packaging mini-HOWTO • Rujel • Rujel HOWTO • RunaWFE • SambaADClient и клонирование диска • SAP GUI for Java • SCOM • Shared Library Symbol Versioning HOWTO • SharedFolderHowTo • Smart Proxy • Smart proxy dynflow-core • Socket race conditions • SOGo • OpenOffice.org/SSL-сертификат • SSSD/AD • Swap • Synaptic • Task • Telegram • Telegram Desktop • Thunderbird • Tips • TLP • Unity • LTSP/UpstreamMigration • USBIP • Veyon • Viber • Video streaming vlc • VipNet Client • ViPNet Coordinator/СПТ7 • VirtualBox • Vk play • VNC • VPN c динамической маршрутизацией (GRE Racoon OSPF) • Waydroid • WebDav • Wi-fi • Wicd • WINE • Xbox геймпад • XCAT • Xfce/Ограничения • Автологин с блокировкой сеанса • Автоматический вход • Браузер во весь экран • Виртуальная клавиатура в ALT Workstation • Виртуальная флешка • Включение TRIM на (внешнем) SSD • Воссоздание пользователя на отдельном home-разделе • Восстановление • Где и как искать программы • ГОСТ в Caja • ГОСТ в OpenSSL • Гостевой сеанс • Двухфакторная аутентификация Google Authenticator • Диагностика оборудования и системы • ЕАВИИАС • ЕСПД • Загрузочная USB Flash • Загрузочные флешки • Запуск typo3 • Заставка - слайд-шоу • Звук входа в систему • Зеркала • Инструкция по разворачиванию girar-builder • Как Ваш компьютер может дать доступ к себе через туннель средствами ssh, autossh, autosshd • Участник:IvanZakharyaschev/Как дать мне доступ по ssh на Ваш (мобильный) компьютер • Как запускать программы • Как найти пакет по программе • Как настроить почту в Thunderbird • Каталог с доступом для всех локальных пользователей • Киоск • Конcоль GRUB • КонсультантПлюс • Монтирование образов устройств • Настройка Alt Linux для Raspberry Pi с помощью QEMU • Настройка Fstab • Настройка принтера • Неверный размер шрифтов • О Сообществе ALT Linux • Обновление • Обход сбоя загрузки с USB • Особые действия Thunar • Очистка диска • Партионная почта • Перенос программ (backports) • Подключение Android • Пользовательские каталоги • Проверка диска на ошибки • Распознавание лица (howdy) • Режимы работы фреймбуфера • Участник:IvanZakharyaschev/Репликация почтового ящика • Сага о драйверах • Сборка пакетов • Связка Puppet и Foreman • Связка ключей • Секционирование (партицирование) БД Zabbix на СУБД PostgreSQL • Синхронизация файлов • Сканер отпечатков пальцев (fprintd) • Скачивание видео с Яндекс.Дзен • Скачивание сайта • Создание образов устройств • Создание самоподписанных сертификатов • Создание сервиса systemd • Специальные возможности • Oracle/СПТ • Теневое копирование+Точка восстановления • Точка на цифровой клавиатуре • Управление пользователями • Управление правами • Установка Cisco Packet Tracer 7.3.1 на ALT KWorkstation P9 • Установка и настройка Rujel • Установка корневого сертификата • Установка шрифтов • Что делать, если программа не работает • Что такое дистрибутив • Шаблоны документов • Шейпер для больших сетей • ЭП • Ярлычки программ • Категория:32x-video-on64x • Категория:Backup • Категория:BootFlash • Категория:Fdisk • Категория:FreePascal • Категория:Rescue manuals • Категория:Upgrade • Категория:WINE