Подключаем Ubuntu к Active Directory – часть вторая
Эта статья является продолжением материала по подключению Linux в домен Active Directory штатными средствами.
Ниже мы рассмотрим некоторые проблемы и интересные моменты по использованию Linux в домене.
Проблема Error при входе в компьютер
На некоторых машинах появляется такое сообщение при попытке ввода имени и пароля доменного пользователя после загрузки:
Корень проблемы заключается в том, что сетевой интерфейс стартует позже, чем служба, ответственная за подключение к домену AD. Поправить несложно: с правами администратора создаем новый файл /etc/network/if-up.d/winbr, например с помощью терминала (мы не ищем легких путей 
):
В открывшемся редакторе добавляем в этот файл содержимое:
#!/bin/sh /etc/init.d/likewise-open restart
Это указывает системе при любом изменении статуса сетевого интерфейса перезапускать соответствующую службу likewise-open. Возвращаемся в терминал в устанавливаем этому файлу флаг исполняемый:
командой sudo chmod +x /etc/network/if-up.d/winbr. После перезапуска системы проблема с сообщением Error исчезнет.
Как использовать доменных пользователей в Linux?
1) Изменение владельца файла на доменную группу (здесь доменная группа называется Domain Users):
chown root:'DOMAIN\Domain Users' test.file
2) Входим в доменный компьютер по SSH (требует установленной службы openssh-server):
ssh 'DOMAIN\t.user'@10.10.10.10
3) Добавляем вручную пользователя в локальную группу:
DOMAIN\t.user@buh2:~$ sudo adduser 'DOMAIN\t.user' adm Добавляется пользователь DOMAIN\t.user в группу `adm' ... Добавление пользователя DOMAIN\t.user в группу adm Готово.
Автоматическое обновление имени машины на DNS сервере Windows
Очень удобно настроить работу автоматической регистрации имени пользовательских машин в DNS (аналогично поведению рабочих станций Windows), если они получают IP адрес через DHCP. Чтобы машина с Ubuntu прописывалась в DNS, нужно в файле /etc/dhcp3/dhclient.conf добавить три строчки:
send fqdn.fqdn "workstation.domain.ru."; send fqdn.encoded off; send fqdn.server-update off;
,где «workstation.domain.ru» – обязательное полное fqdn имя машины.
Даем возможность доменным администраторам (или может быть кому-то еще) выполнять sudo
В примере используется домен DOMAIN и доменная группа Domain Admins. Добавляем в файл /etc/sudoers строчку:
%DOMAIN\\Domain\ Admins ALL=(ALL) ALL
Обратите внимание, что этот файл редактировать напрямую нельзя, следует использовать такую утилиту как visudo с правами администратора.
Single Sign-On (SSO)
Глупо использовать повторный ввод доменного пароля для подключения к другим ресурсам, если вы уже авторизовались один раз при входе в систему. Такая замечательная вещь как Single Sign-On (единая служба входа) позволит использовать протокол Kerberos для прозрачной авторизации. Рассмотрим типичный пример: у нас существует корпоративное web-приложение на базе Windows Server, которое раздает права в соответствии с авторизацией пользователей. Естественным образом активирована доменная авторизация, которая позволяет сотрудникам с Windows-машин не вводить повторно свои логины и пароли.
Как это сделать для Linux-машин? Проще простого, берем Firefox, вводим в адресной строке about:config, ищем два параметра и меняем их на:
network.negotiate-auth.delegation-uris = http://,https:// network.negotiate-auth.trusted-uris = http://,https://
Теперь любой внутренний сайт, требовавший пароль, будет открываться без его запроса.
Аналогично этому настраиваются беспарольный вход по SSH (даже при помощи Putty с Windows-машин!), FTP, rlogin, LDAP и прочие службы. Все это более детально описано в Руководстве администратора.
[...] Продолжить знакомство с работой Linux в Active Directory. [...]
Доброе время суток.
Возникла та же самая проблема при входе в домен, показывает ошибку. Сделал все как в инструкции, но не помогло, проблема осталась.
Подскажите как еще это можно решить?
Домен русский или английский?
домен русский, win 2003 R2
причём завел машинку в домен win 2003 и залогинился без проблем, А вот в R2 не хочет (
Были также обращения на невозможность подключения к русскому домену через Likewise. Предлагаю написать багрепорт разработчикам
кстати если загнать машинку в домен и не перезагружаться а сделать логаут, то залогиниться можно. Но если перезагрузить машинку, то все не пускают.
А проблема Error появляется даже если логинишся как локальный пользователь из чего по мойму следует что winbr придёться создавать полюбас!?
Спасибо кстати за статью! Помогло очень:)
Вопрос. Как назначить права root в системе этой доменной учётке?
А вот и ответик! Войти под локальной учёткой и запустить терминал
открываем файл sudoers редактором «vi» (требуеться опыт работы с ним)
sudo visudo
туда добавляем строки
в # User privilege specification
domain-user ALL=(ALL) ALL
а в # Members of the admin group may gain root privileges
%support ALL=(ALL) ALL
где support заменить на имя вашей доменной учётки
у меня это выглядело так %lexa ALL=(ALL) ALL
Проблема. Ubuntu 9.04, домен 2003 R2 русский, айпишники статические, всё сделал как написано. При попытке подключения выдает ошибку:
Failed to lookup the domain controller for given domain
details:
Error code: CENTERROR_DOMAINJOIN_LSASS_ERROR (0×00080047)
Backtrace:
main.c:302
djmodule.c:213
djfirewall.c:732
djfirewall.c:655
djauthinfo.c:971
Что делать и как быть?
Похоже ошиблись в либо в адресе домена лмбо в логине и пароле админовской учетки домена
У меня такое было до того, пока я не поменял в файле /etc/nsswitch.conf строчку
hosts: files mdns4_minimal [NOTFOUND=return] dns mdns4
на:
hosts: files dns
[...] Подключаем Ubuntu к Active Directory. [...]
При подключении ошибка такая-же
Error code: CENTERROR_DOMAINJOIN_LSASS_ERROR (0×00080047)
Приэтом файл /etc/nsswitch.conf поправлен, имя домена разрешается, учетка администратора домена вводится правильно.
Что интересно, вручную Linu компьютеры в домен формально подключались, появлялось имя компьютера в группе, но не более того. Войти доменным пользователем на машину с Линюх так и не удавалось.
Что посмотреть и где покопать?
Да, время домена и локальной машины совпадает.
Ошибка- CENTERROR_DOMAINJOIN_LSASS_ERROR (0×00080047) была уничтожена при помощи старого доброго приёма: снести приложение, перезагрузится, установить заново.
Теперь Likewise показывает, что подсоединение к домену есть.
Обойти данную ошибку можно введя полное имя домена
Покрайней мере мне помогло
Здравствуйте.
У меня возникла проблема, действовал не отходя от инструкции, но видимо что-то не так понял.
%DOMAIN\\Domain\ Admins ALL=(ALL) ALL
К примеру мой домен называется home.ru
Группа доменных админов называется DomainAdmins
строчка должна выглядеть так?:
%HOME.RU\\HOME.RU\ DomainAdmins ALL=(ALL) ALL
Честно говоря уже пробовал «играть» с словами, но мне попрежнему под доменной учёткой пишется «…is not in the sudoers file…»
Пробовал как писал тут в коментах Lexa, но изменений нет.
[...] Решение описано ТУТ. и ТУТ [...]
Здравствуйте. Зайти в домен не проблема. У меня проблема в другом. После того как я зашел в систему под доменной учетной записью возникает необходимость сделать что нибудь с правами ROOT. А не получается. Во первых ругается терминал что для учетной зхаписи IDтакой то не определена группа. На компьтере не сосздается группа доменных пользователей чтобы им можно было задать какие нибудь права. Куда копать? (cavalcada@mail.ru)