Участник:Petr-akhlamov/Советы ГИТам/Настройка рабочего места: различия между версиями
| Строка 143: | Строка 143: | ||
====Pam mount==== | ====Pam mount==== | ||
{{Note|Проверьте, чтобы не было рассинхрона времени между контроллерами домена (если у Вас их несколько) и рабочей станцией}} | {{Note|Проверьте, чтобы не было рассинхрона времени между контроллерами домена (если у Вас их несколько) и рабочей станцией}} | ||
{{Note|Способ описанный здесь использует аутентификацию через Kerberos, которая поддерживает аутентификацию без пароля '''только по доменному имени''', по IP будет запрашивать пароль}} | {{Note|Способ описанный здесь использует аутентификацию через Kerberos, которая поддерживает аутентификацию без пароля '''только у файлового ресурса с адресом по доменному имени''', по IP будет запрашивать пароль}} | ||
1. Устанавливаем необходимые пакеты | |||
# apt-get install pam_mount cifs-utils | |||
2. Приводим файл /etc/pam.d/system-auth-sss к следующему виду: | |||
$ beesu su - | |||
# pluma /etc/pam.d/system-auth-sss | |||
<pre> | |||
#%PAM-1.0 | |||
auth [success=5 perm_denied=ignore default=die] pam_localuser.so | |||
auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | |||
auth [default=1] pam_permit.so | |||
auth optional pam_mount.so | |||
auth substack system-auth-sss-only | |||
auth [default=1] pam_permit.so | |||
auth substack system-auth-local-only | |||
auth substack system-auth-common | |||
account [success=4 perm_denied=ignore default=die] pam_localuser.so | |||
account [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | |||
account [default=1] pam_permit.so | |||
account substack system-auth-sss-only | |||
account [default=1] pam_permit.so | |||
account substack system-auth-local-only | |||
account substack system-auth-common | |||
password [success=4 perm_denied=ignore default=die] pam_localuser.so | |||
password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | |||
password [default=1] pam_permit.so | |||
password substack system-auth-sss-only | |||
password [default=1] pam_permit.so | |||
password substack system-auth-local-only | |||
password substack system-auth-common | |||
session [success=5 perm_denied=ignore default=die] pam_localuser.so | |||
session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet | |||
session [default=1] pam_permit.so | |||
session optional pam_mount.so | |||
session substack system-auth-sss-only | |||
session [default=1] pam_permit.so | |||
session substack system-auth-local-only | |||
session substack system-auth-common | |||
</pre> | |||
3. Приводим /etc/security/pam_mount.conf.xml к следующему виду: | |||
$ beesu su - | |||
# pluma /etc/security/pam_mount.conf.xml | |||
<pre> | |||
<?xml version="1.0" encoding="utf-8"?> | |||
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd"> | |||
<pam_mount> | |||
<debug enable="0"/> | |||
<cifsmount>systemd-mount -A -G -q -t cifs %(COMBOPATH) %(MNTPT) -o uid=%(USERUID),gid=%(USERGID),username=%(USER),%(OPTIONS)</cifsmount> | |||
<umount>systemd-mount -u %(MNTPT)</umount> | |||
<volume fstype="cifs" | |||
server="dc.test.alt" | |||
path="share" | |||
mountpoint="~/share" | |||
options="vers=2.0,sec=krb5,cruid=%(USERUID),rw"/> | |||
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec"/> | |||
<mntoptions require="nosuid,nodev"/> | |||
<logout wait="0" hup="no" term="no" kill="no"/> | |||
<mkmountpoint enable="1" remove="true"/> | |||
</pam_mount> | |||
</pre> | |||
Нас интересуют тут следующие строки в "скобке" "volume": | |||
*server="'''dc.test.alt'''" - доменный адрес файлового сервера, по IP Kerberos не поддерживает! | |||
*path="'''share'''" - общая папка на сервере | |||
*mountpoint="'''~/share'''" - точка монтирования, '''~''' - указывает, что она будет в домашней папке пользователя. | |||
Правим их под себя. | |||
При следующем входе при попытке войти в систему при вводе пароля будет строчка pam_mount, а в домашнем каталоге в папке share будет смонтирована общая папка. | |||
==Оборудование== | ==Оборудование== | ||
Версия от 20:24, 26 сентября 2022
Система
Ввод в домен
Примечание: В мире Linux для использования/взаимодействия с SMB и ActiveDirectory существует проект Samba. Первоначально он обеспечивал доступ к SMB-ресурсам. Позже он начал обеспечивать доступ Linux-систем к AD-домену, а сейчас серверная часть сама может выступать в роли контроллера домена.
Примечание: Чтобы в доменном пользователе мы могли выполнять команды от root, установим пакет beesu. В консоли запускаем команду "beesu команда" и вводим пароль локального администратора
Примечание: Перед этим настраиваем Синхронизацию времени
1.Идем в Центр управления системой и вводим пароль
2.Идем в пункт "Аутентификация"
3.Вводим параметры ActiveDirectory
4.Вводим пароль доменного администратора. Обратите внимание, по-умолчнию пользователь прописан как Administrator. Если у Вас админ КД другой - исправьте.
5.Ввод в домен завершен, перезагружаемся
Ввод в командной строке
# system-auth write ad gitmo.ru hplaptop gitmo 'administrator' 'Pa$$word'
Разъяснение:
# system-auth write ad полный_домен имя_машины короткий_домен 'админ_домена' 'пароль_админа_домена'
Тестирование
[root@HPLAPTOP ~] # net ads info LDAP server: 192.168.0.10 LDAP server name: AD-replice.GITMO.ru Realm: GITMO.RU Bind Path: dc=GITMO,dc=RU LDAP port: 389 Server time: Пт, 23 сен 2022 17:13:40 MSK KDC server: 192.168.0.10 Server time offset: 0 Last machine account password change: Пт, 23 сен 2022 17:06:17 MSK # net ads testjoin Join is OK # getent passwd sysadmin sysadmin:*:570013104:570000513:Администратор Системный:/home/GITMO.RU/sysadmin:/bin/bash
RDP-клиент
Для удобного подключения к серверам установим клиент Connector.
Либо в Synaptic ищем и устанавливаем пакет connector, либо командой в терминале:
$ su- # apt-get install connector
Ищем его потом в Приложения-Интернет-Connector
Идем в "Протоколы"
Затем в "Дополнительные параметры"
Настраиваем и жмем "Сохранить". Потом двойным кликом открываем подключение.
Клиент подключился к Windows Server.
Общие папки
Pam mount
Примечание: Проверьте, чтобы не было рассинхрона времени между контроллерами домена (если у Вас их несколько) и рабочей станцией
Примечание: Способ описанный здесь использует аутентификацию через Kerberos, которая поддерживает аутентификацию без пароля только у файлового ресурса с адресом по доменному имени, по IP будет запрашивать пароль
1. Устанавливаем необходимые пакеты
# apt-get install pam_mount cifs-utils
2. Приводим файл /etc/pam.d/system-auth-sss к следующему виду:
$ beesu su - # pluma /etc/pam.d/system-auth-sss
#%PAM-1.0 auth [success=5 perm_denied=ignore default=die] pam_localuser.so auth [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet auth [default=1] pam_permit.so auth optional pam_mount.so auth substack system-auth-sss-only auth [default=1] pam_permit.so auth substack system-auth-local-only auth substack system-auth-common account [success=4 perm_denied=ignore default=die] pam_localuser.so account [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet account [default=1] pam_permit.so account substack system-auth-sss-only account [default=1] pam_permit.so account substack system-auth-local-only account substack system-auth-common password [success=4 perm_denied=ignore default=die] pam_localuser.so password [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet password [default=1] pam_permit.so password substack system-auth-sss-only password [default=1] pam_permit.so password substack system-auth-local-only password substack system-auth-common session [success=5 perm_denied=ignore default=die] pam_localuser.so session [success=1 default=bad] pam_succeed_if.so uid >= 500 quiet session [default=1] pam_permit.so session optional pam_mount.so session substack system-auth-sss-only session [default=1] pam_permit.so session substack system-auth-local-only session substack system-auth-common
3. Приводим /etc/security/pam_mount.conf.xml к следующему виду:
$ beesu su - # pluma /etc/security/pam_mount.conf.xml
<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE pam_mount SYSTEM "pam_mount.conf.xml.dtd">
<pam_mount>
<debug enable="0"/>
<cifsmount>systemd-mount -A -G -q -t cifs %(COMBOPATH) %(MNTPT) -o uid=%(USERUID),gid=%(USERGID),username=%(USER),%(OPTIONS)</cifsmount>
<umount>systemd-mount -u %(MNTPT)</umount>
<volume fstype="cifs"
server="dc.test.alt"
path="share"
mountpoint="~/share"
options="vers=2.0,sec=krb5,cruid=%(USERUID),rw"/>
<mntoptions allow="nosuid,nodev,loop,encryption,fsck,nonempty,allow_root,allow_other,sec"/>
<mntoptions require="nosuid,nodev"/>
<logout wait="0" hup="no" term="no" kill="no"/>
<mkmountpoint enable="1" remove="true"/>
</pam_mount>
Нас интересуют тут следующие строки в "скобке" "volume":
- server="dc.test.alt" - доменный адрес файлового сервера, по IP Kerberos не поддерживает!
- path="share" - общая папка на сервере
- mountpoint="~/share" - точка монтирования, ~ - указывает, что она будет в домашней папке пользователя.
Правим их под себя.
При следующем входе при попытке войти в систему при вводе пароля будет строчка pam_mount, а в домашнем каталоге в папке share будет смонтирована общая папка.