Участник:Toga/ADJoin: различия между версиями

Материал из ALT Linux Wiki
 
(не показано 14 промежуточных версий этого же участника)
Строка 5: Строка 5:
* Автоматически настроить окружение пользователя.
* Автоматически настроить окружение пользователя.
=== Предварительная настройка клиентской машины перед вводом в домен ===
=== Предварительная настройка клиентской машины перед вводом в домен ===
Для ввода машины в домен необходимо настроить DNS, а для этого в свою очередь необходимо знать имя нужного домена.
Для ввода машины в домен необходимо настроить DNS, а для этого в свою очередь необходимо знать имя нужного домена и его IP адресс.




==== Настройка DNS подключения ====
==== Настройка DNS подключения ====
Необходимо открыть сетевые соединения (скрин)<br>
* Необходимо открыть сетевые соединения и добавить новое подключение
<br>[[Файл:Screen.png|центр]]


Добавить новое подключение (скрин)<br>
* Во вкладке Ethernet выбратьустройство
<br>[[Файл:Выбор устройства.png|центр]]


Во вкладке Ethernet выбратьустройство (скрин)<br>


Во вкладке IPv4 выбрать метод (скрин)<br>
* Во вкладке IPv4 выбрать метод, а так же заполнить поля поисковой домен и серверы DNS после чего сохранить сеть
 
<br>[[Файл:Изменение параметров IPv4.png|центр]]
А так же заполнить поля поисковой домен и серверы DNS после чего сохранить сеть (скрин)<br>




Строка 24: Строка 24:
После чего можно проверить установленные настройки
После чего можно проверить установленные настройки
<pre>cat /etc/resolv.conf</pre>  
<pre>cat /etc/resolv.conf</pre>  
<pre>$ cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
search domain.alt
nameserver 10.64.179.10
</pre>
А также проверить доступность доменных имен
<pre>host <DOMAIN_NAME></pre>
<pre>host <DOMAIN_NAME></pre>
<pre>$ host domain.alt
domain.alt has address 10.64.179.10
domain.alt has address 10.64.179.12
domain.alt has address 10.64.179.11</pre>
Просмотр SRV записей LDAP и kerberos
<pre>host -t SRV _kerberos._udp.<DOMAIN_NAME></pre>
<pre>host -t SRV _ldap._tcp.<DOMAIN_NAME></pre>
<pre>$ host -t SRV _kerberos._udp.domain.alt
_kerberos._udp.domain.alt has SRV record 0 100 88 dc0.domain.alt.
_kerberos._udp.domain.alt has SRV record 0 100 88 dc2.domain.alt.
_kerberos._udp.domain.alt has SRV record 0 100 88 dc1.domain.alt.</pre>
<pre>$ host -t SRV _ldap._tcp.domain.alt
_ldap._tcp.domain.alt has SRV record 0 100 389 dc0.domain.alt.
_ldap._tcp.domain.alt has SRV record 0 100 389 dc2.domain.alt.
_ldap._tcp.domain.alt has SRV record 0 100 389 dc1.domain.alt.
</pre>


=== Алгоритм ===
=== Ввод машины в домен ===
==== Смена имени хоста ====
==== Смена имени хоста ====
<pre> hostnamectl set-hostname <NEW_HOST_NAME></pre>
<pre> hostnamectl set-hostname <NEW_HOST_NAME></pre>
После изменения имени хоста необходимо перезагрузить компьютер.
После изменения имени хоста необходимо перезагрузить компьютер.
==== Ввод в домен ====
==== С точки зрения сервера ====
Создание учетной записи в базе данных по протоколу LDAP (то есть в дереве домена)
==== С точки зрения клиента ====
* Предварительная настройка DNS
* Получение учетных данных компьютера (получения файла, который хранит ключи для доступа к различным сервисам /etc/krb5.keytab)
Можно посмотреть полученные ключи
<pre>klist -ke /etc/krb5.keytab </pre>
<pre>$ klist -ke /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
  1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-crc)
  1 host/TOGA@DOMAIN.ALT (des-cbc-crc)
  1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-md5)
  1 host/TOGA@DOMAIN.ALT (des-cbc-md5)
  1 host/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96)
  1 host/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96)
  1 host/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96)
  1 host/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96)
  1 host/toga.domain.alt@DOMAIN.ALT (arcfour-hmac)
  1 host/TOGA@DOMAIN.ALT (arcfour-hmac)
  1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-crc)
  1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-crc)
  1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-md5)
  1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-md5)
  1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96)
  1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96)
  1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96)
  1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96)
  1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (arcfour-hmac)
  1 restrictedkrbhost/TOGA@DOMAIN.ALT (arcfour-hmac)
  1 TOGA$@DOMAIN.ALT (des-cbc-crc)
  1 TOGA$@DOMAIN.ALT (des-cbc-md5)
  1 TOGA$@DOMAIN.ALT (aes128-cts-hmac-sha1-96)
  1 TOGA$@DOMAIN.ALT (aes256-cts-hmac-sha1-96)
  1 TOGA$@DOMAIN.ALT (arcfour-hmac)
</pre>
* Настройка авторизации и аутентификации
* Обновление А и АААА записей
<br> Все действия делаются на стороне клиента, при этом создание учетной записи требует авторизационного запроса на сервер. Для этого на клиенте запрашиваются учетные данные администратора домена.

Текущая версия от 17:20, 7 февраля 2020

Введение в домен

Для чего же нужно вводить машину в домен?

  • Войти в систему под пользователем домена.
  • Получить доступ к ресурсам домена.
  • Автоматически настроить окружение пользователя.

Предварительная настройка клиентской машины перед вводом в домен

Для ввода машины в домен необходимо настроить DNS, а для этого в свою очередь необходимо знать имя нужного домена и его IP адресс.


Настройка DNS подключения

  • Необходимо открыть сетевые соединения и добавить новое подключение


Screen.png
  • Во вкладке Ethernet выбратьустройство


Выбор устройства.png


  • Во вкладке IPv4 выбрать метод, а так же заполнить поля поисковой домен и серверы DNS после чего сохранить сеть


Изменение параметров IPv4.png


Далее необходимо подключится к данной сети и выполнить следующую команду

service network restart

После чего можно проверить установленные настройки

cat /etc/resolv.conf
$ cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
search domain.alt
nameserver 10.64.179.10

А также проверить доступность доменных имен

host <DOMAIN_NAME>
$ host domain.alt
domain.alt has address 10.64.179.10
domain.alt has address 10.64.179.12
domain.alt has address 10.64.179.11

Просмотр SRV записей LDAP и kerberos

host -t SRV _kerberos._udp.<DOMAIN_NAME>
host -t SRV _ldap._tcp.<DOMAIN_NAME>
$ host -t SRV _kerberos._udp.domain.alt
_kerberos._udp.domain.alt has SRV record 0 100 88 dc0.domain.alt.
_kerberos._udp.domain.alt has SRV record 0 100 88 dc2.domain.alt.
_kerberos._udp.domain.alt has SRV record 0 100 88 dc1.domain.alt.
$ host -t SRV _ldap._tcp.domain.alt
_ldap._tcp.domain.alt has SRV record 0 100 389 dc0.domain.alt.
_ldap._tcp.domain.alt has SRV record 0 100 389 dc2.domain.alt.
_ldap._tcp.domain.alt has SRV record 0 100 389 dc1.domain.alt.

Ввод машины в домен

Смена имени хоста

 hostnamectl set-hostname <NEW_HOST_NAME>

После изменения имени хоста необходимо перезагрузить компьютер.

Ввод в домен

С точки зрения сервера

Создание учетной записи в базе данных по протоколу LDAP (то есть в дереве домена)

С точки зрения клиента

  • Предварительная настройка DNS
  • Получение учетных данных компьютера (получения файла, который хранит ключи для доступа к различным сервисам /etc/krb5.keytab)

Можно посмотреть полученные ключи

klist -ke /etc/krb5.keytab 
$ klist -ke /etc/krb5.keytab
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-crc) 
   1 host/TOGA@DOMAIN.ALT (des-cbc-crc) 
   1 host/toga.domain.alt@DOMAIN.ALT (des-cbc-md5) 
   1 host/TOGA@DOMAIN.ALT (des-cbc-md5) 
   1 host/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 
   1 host/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 
   1 host/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 
   1 host/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 
   1 host/toga.domain.alt@DOMAIN.ALT (arcfour-hmac) 
   1 host/TOGA@DOMAIN.ALT (arcfour-hmac) 
   1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-crc) 
   1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-crc) 
   1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (des-cbc-md5) 
   1 restrictedkrbhost/TOGA@DOMAIN.ALT (des-cbc-md5) 
   1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 
   1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 
   1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 
   1 restrictedkrbhost/TOGA@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 
   1 restrictedkrbhost/toga.domain.alt@DOMAIN.ALT (arcfour-hmac) 
   1 restrictedkrbhost/TOGA@DOMAIN.ALT (arcfour-hmac) 
   1 TOGA$@DOMAIN.ALT (des-cbc-crc) 
   1 TOGA$@DOMAIN.ALT (des-cbc-md5) 
   1 TOGA$@DOMAIN.ALT (aes128-cts-hmac-sha1-96) 
   1 TOGA$@DOMAIN.ALT (aes256-cts-hmac-sha1-96) 
   1 TOGA$@DOMAIN.ALT (arcfour-hmac) 
  • Настройка авторизации и аутентификации
  • Обновление А и АААА записей


Все действия делаются на стороне клиента, при этом создание учетной записи требует авторизационного запроса на сервер. Для этого на клиенте запрашиваются учетные данные администратора домена.