Thank you for reading this post, don't forget to subscribe!
есть машина c OC Linux, данную машину необходимо ввести в домен Windows, настроить вход в систему только тем пользователям, которые являются членами определенной группы в AD.
Установка samba-winbind
Создание А записи в DNS
- Смотрим какой IP адрес у машины:
- В Windows открываем консоль DNS - Forward Lookup Zones
- Создаем А запись, указываем имя машины и IP
Ввод в домен CentOS
- System - Administration - Authentication
В открывшемся окне, необходимо выбрать \ указать:
- User Account Database: Winbind
- Winbind Domain: DOMAIN
- Secutity Model: ads
- Winbind ADS Realm: DOMAIN.LOCAL
- Winbind Domain Controllers: DC01
- Template Shell: /bin/shell
- На вкладке Advanced Options, при необходимости отметить параметр: Create home directories on the first login
- Перейти на вкладку - Identity & Authentication, нажать кнопку - Join Domain…
- На запрос сохранения, необходимо нажать Save
Проверка
Для начала необходимо убедиться, что учетная запись создалась, смотрим дефолтную OU Computers в AD
Примечание: перед просмотром не забываем обновить отображение элементов
Если учетная запись существует, пробуем совершить вход в систему посредством учетной записи домена, все хорошо но на данную машину возможно совершать вход под любой учетной записью, здесь нужно немного безопасности.
Вход только членам определенной группы в AD
- Для этих целей необходимо создать группу или выбрать уже существующую
- Добавить членов, к примеру - Domain Admins, User1, User2
- Открыть файл - /etc/security/pam_winbind.conf
- Раскомментировать параметр - require_membership_of
- После знака равно, написать имя группы
После проведения всех действий, попробовать совершить вход в систему под различными учетными записями.
Примечание: формат логина должен содержать имя домена т.е. - domain\username
В Fedora пришлось доустановить winbind такой командой: yum -y install samba-winbind samba samba-winbind-krb5-locator