ALT Domain: различия между версиями

Материал из ALT Linux Wiki
Нет описания правки
Строка 1: Строка 1:
{{Note|Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение [[SambaDC|'''SambaDC''']]. Кроме того, поддерживается [[FreeIPA|'''FreeIPA''']].}}
== Что это такое==
== Что это такое==
Начиная с дистрибутивов [[Пятая_платформа]] существует решение для развёртывания инфраструктуры (сервер-клиенты)  
Начиная с дистрибутивов [[Пятая_платформа]] существует решение для развёртывания инфраструктуры (сервер-клиенты)  

Версия от 00:52, 15 апреля 2023

Примечание: Данное решение является устаревшим и не поддерживается. В настоящее время рекомендовано решение SambaDC. Кроме того, поддерживается FreeIPA.

Что это такое

Начиная с дистрибутивов Пятая_платформа существует решение для развёртывания инфраструктуры (сервер-клиенты) "из коробки". Это решение называется "ALT Domain"

Из чего состоит

ALT Domain состоит из следующих сервисов:

  • DDNS (bind),обслуживающий домен example.com
  • DHCP, обслуживающий локальную сеть
  • LDAP (openldap), обслуживающий соответствующий realm (dc=example,dc=com)
  • Kerberos (mit), обслуживающий соответствующий realm (EXAMPLE.COM), хранящий свою базу в LDAP.
  • SAMBA (раздающая единый для всех каталог share)

На клиенте настраиваются следующие службы:

  • nss-ldap
  • pam-krb5
  • pam-mount + avahi (для автомонтирования /share при входе по krb-тикету)

Как присоединить клиента (ALT)

Присоединять компьютер к домену автоматически умеет модуль alterator-auth (настраивает nss-ldap, pam-krb5)

Как присоединить клиента (другие ОС)

Ubuntu

Настройка выполнялась для Ubuntu-11.04

  • Устанавливаем недостающие пакеты: apt-get install libnss-ldap libpam-krb5 krb5-user
  • В процессе debconf спросит нас параметры ldap. Задаём:
    • ldaps://ldap.example.com
    • dc=example,dc=com
  • убираем проверку ssl-сертификата для ldap: добавляем "TLS_REQCERT never" в /etc/ldap/ldap.conf
  • sudo auth-client-config -t nss -p lac_ldap
  • проверяем работу nss (id <domain_user>)
  • добавляем создание домашних каталогов при входе: "session required pam_mkhomedir skel=/etc/skel umask=0022" в начало /etc/pam.d/common-session
  • можем выполнять вход в систему под <domain_user>

Монтирование сетевых папок теоретически возможно, однако требует дополнительных телодвижений:

  • apt-get install cifs-utils
  • заносим для каждого пользователя запись в /etc/fstab: "//example.com/share /home/<domain_user>/share cifs user 0 0"
  • монтируем mount -n //example.com/share /home/<domain_user/share . Придётся вводить пароль.