Участник:Toga/ADJoin: различия между версиями
Toga (обсуждение | вклад) |
|||
(не показано 17 промежуточных версий 3 участников) | |||
Строка 5: | Строка 5: | ||
* Автоматически настроить окружение пользователя. | * Автоматически настроить окружение пользователя. | ||
=== Предварительная настройка клиентской машины перед вводом в домен === | === Предварительная настройка клиентской машины перед вводом в домен === | ||
Для ввода машины в домен необходимо настроить DNS, а для этого в свою очередь необходимо знать имя нужного домена. | Для ввода машины в домен необходимо настроить DNS, а для этого в свою очередь необходимо знать имя нужного домена и его IP адресс. | ||
=== | |||
==== Настройка DNS подключения ==== | |||
* Необходимо открыть сетевые соединения и добавить новое подключение | |||
<br>[[Файл:Screen.png|центр]] | |||
* Во вкладке Ethernet выбратьустройство | |||
<br>[[Файл:Выбор устройства.png|центр]] | |||
* Во вкладке IPv4 выбрать метод, а так же заполнить поля поисковой домен и серверы DNS после чего сохранить сеть | |||
<br>[[Файл:Изменение параметров IPv4.png|центр]] | |||
Далее необходимо подключится к данной сети и выполнить следующую команду | |||
<pre>service network restart</pre> | |||
После чего можно проверить установленные настройки | |||
<pre>cat /etc/resolv.conf</pre> | |||
<pre>$ cat /etc/resolv.conf | |||
# Generated by resolvconf | |||
# Do not edit manually, use | |||
# /etc/net/ifaces/<interface>/resolv.conf instead. | |||
search domain.alt | |||
nameserver 10.64.179.10 | |||
</pre> | |||
А также проверить доступность доменных имен | |||
<pre>host <DOMAIN_NAME></pre> | |||
<pre>$ host domain.alt | |||
domain.alt has address 10.64.179.10 | |||
domain.alt has address 10.64.179.12 | |||
domain.alt has address 10.64.179.11</pre> | |||
Просмотр SRV записей LDAP и kerberos | |||
<pre>host -t SRV _kerberos._udp.<DOMAIN_NAME></pre> | |||
<pre>host -t SRV _ldap._tcp.<DOMAIN_NAME></pre> | |||
<pre>$ host -t SRV _kerberos._udp.domain.alt | |||
_kerberos._udp.domain.alt has SRV record 0 100 88 dc0.domain.alt. | |||
_kerberos._udp.domain.alt has SRV record 0 100 88 dc2.domain.alt. | |||
_kerberos._udp.domain.alt has SRV record 0 100 88 dc1.domain.alt.</pre> | |||
<pre>$ host -t SRV _ldap._tcp.domain.alt | |||
_ldap._tcp.domain.alt has SRV record 0 100 389 dc0.domain.alt. | |||
_ldap._tcp.domain.alt has SRV record 0 100 389 dc2.domain.alt. | |||
_ldap._tcp.domain.alt has SRV record 0 100 389 dc1.domain.alt. | |||
</pre> | |||
=== Ввод машины в домен === | |||
==== Смена имени хоста ==== | ==== Смена имени хоста ==== | ||
<pre> hostnamectl set-hostname <NEW_HOST_NAME></pre> | <pre> hostnamectl set-hostname <NEW_HOST_NAME></pre> | ||
После изменения имени хоста необходимо перезагрузить компьютер. | После изменения имени хоста необходимо перезагрузить компьютер. | ||
==== Ввод в домен ==== | |||
==== С точки зрения сервера ==== | |||
Создание учетной записи в базе данных по протоколу LDAP (то есть в дереве домена) | |||
==== С точки зрения клиента ==== | |||
* Предварительная настройка DNS | |||
* Получение учетных данных компьютера (получения файла, который хранит ключи для доступа к различным сервисам /etc/krb5.keytab) | |||
Можно посмотреть полученные ключи | |||
<pre>klist -ke /etc/krb5.keytab </pre> | |||
<pre>$ klist -ke /etc/krb5.keytab | |||
Keytab name: FILE:/etc/krb5.keytab | |||
KVNO Principal | |||
---- -------------------------------------------------------------------------- | |||
1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-crc) | |||
1 host/TOGA@DOMAIN.ALT (des-cbc-crc) | |||
1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-md5) | |||
1 host/TOGA@DOMAIN.ALT (des-cbc-md5) | |||
1 host/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96) | |||
1 host/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96) | |||
1 host/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96) | |||
1 host/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96) | |||
1 host/toga.domain.alt@DOMAIN.ALT (arcfour-hmac) | |||
1 host/TOGA@DOMAIN.ALT (arcfour-hmac) | |||
1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-crc) | |||
1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-crc) | |||
1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-md5) | |||
1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-md5) | |||
1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96) | |||
1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96) | |||
1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96) | |||
1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96) | |||
1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (arcfour-hmac) | |||
1 restrictedkrbhost/TOGA@DOMAIN.ALT (arcfour-hmac) | |||
1 TOGA$@DOMAIN.ALT (des-cbc-crc) | |||
1 TOGA$@DOMAIN.ALT (des-cbc-md5) | |||
1 TOGA$@DOMAIN.ALT (aes128-cts-hmac-sha1-96) | |||
1 TOGA$@DOMAIN.ALT (aes256-cts-hmac-sha1-96) | |||
1 TOGA$@DOMAIN.ALT (arcfour-hmac) | |||
</pre> | |||
* Настройка авторизации и аутентификации | |||
* Обновление А и АААА записей | |||
<br> Все действия делаются на стороне клиента, при этом создание учетной записи требует авторизационного запроса на сервер. Для этого на клиенте запрашиваются учетные данные администратора домена. |
Текущая версия от 17:20, 7 февраля 2020
Введение в домен
Для чего же нужно вводить машину в домен?
- Войти в систему под пользователем домена.
- Получить доступ к ресурсам домена.
- Автоматически настроить окружение пользователя.
Предварительная настройка клиентской машины перед вводом в домен
Для ввода машины в домен необходимо настроить DNS, а для этого в свою очередь необходимо знать имя нужного домена и его IP адресс.
Настройка DNS подключения
- Необходимо открыть сетевые соединения и добавить новое подключение
- Во вкладке Ethernet выбратьустройство
- Во вкладке IPv4 выбрать метод, а так же заполнить поля поисковой домен и серверы DNS после чего сохранить сеть
Далее необходимо подключится к данной сети и выполнить следующую команду
service network restart
После чего можно проверить установленные настройки
cat /etc/resolv.conf
$ cat /etc/resolv.conf # Generated by resolvconf # Do not edit manually, use # /etc/net/ifaces/<interface>/resolv.conf instead. search domain.alt nameserver 10.64.179.10
А также проверить доступность доменных имен
host <DOMAIN_NAME>
$ host domain.alt domain.alt has address 10.64.179.10 domain.alt has address 10.64.179.12 domain.alt has address 10.64.179.11
Просмотр SRV записей LDAP и kerberos
host -t SRV _kerberos._udp.<DOMAIN_NAME>
host -t SRV _ldap._tcp.<DOMAIN_NAME>
$ host -t SRV _kerberos._udp.domain.alt _kerberos._udp.domain.alt has SRV record 0 100 88 dc0.domain.alt. _kerberos._udp.domain.alt has SRV record 0 100 88 dc2.domain.alt. _kerberos._udp.domain.alt has SRV record 0 100 88 dc1.domain.alt.
$ host -t SRV _ldap._tcp.domain.alt _ldap._tcp.domain.alt has SRV record 0 100 389 dc0.domain.alt. _ldap._tcp.domain.alt has SRV record 0 100 389 dc2.domain.alt. _ldap._tcp.domain.alt has SRV record 0 100 389 dc1.domain.alt.
Ввод машины в домен
Смена имени хоста
hostnamectl set-hostname <NEW_HOST_NAME>
После изменения имени хоста необходимо перезагрузить компьютер.
Ввод в домен
С точки зрения сервера
Создание учетной записи в базе данных по протоколу LDAP (то есть в дереве домена)
С точки зрения клиента
- Предварительная настройка DNS
- Получение учетных данных компьютера (получения файла, который хранит ключи для доступа к различным сервисам /etc/krb5.keytab)
Можно посмотреть полученные ключи
klist -ke /etc/krb5.keytab
$ klist -ke /etc/krb5.keytab Keytab name: FILE:/etc/krb5.keytab KVNO Principal ---- -------------------------------------------------------------------------- 1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-crc) 1 host/TOGA@DOMAIN.ALT (des-cbc-crc) 1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-md5) 1 host/TOGA@DOMAIN.ALT (des-cbc-md5) 1 host/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 1 host/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 1 host/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 1 host/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 1 host/toga.domain.alt@DOMAIN.ALT (arcfour-hmac) 1 host/TOGA@DOMAIN.ALT (arcfour-hmac) 1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-crc) 1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-crc) 1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-md5) 1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-md5) 1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (arcfour-hmac) 1 restrictedkrbhost/TOGA@DOMAIN.ALT (arcfour-hmac) 1 TOGA$@DOMAIN.ALT (des-cbc-crc) 1 TOGA$@DOMAIN.ALT (des-cbc-md5) 1 TOGA$@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 1 TOGA$@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 1 TOGA$@DOMAIN.ALT (arcfour-hmac)
- Настройка авторизации и аутентификации
- Обновление А и АААА записей
Все действия делаются на стороне клиента, при этом создание учетной записи требует авторизационного запроса на сервер. Для этого на клиенте запрашиваются учетные данные администратора домена.