Přejít k obsahu webu
19.3.2021 / kaldy123

Ubuntu 20.4 : Domain join, připojení do domény

Prvním předpokladem je, abychom měli v TCP stacku správně nastavené adresy DNS, t.j. potřebujeme DNS, které ukazují na DC, domain controllery (řadiče domény). Pro odborníky: ve struktuře DNS musí být správně nastaveny objekty _msdcs .

Ověření TCP stacku

Druhým krokem je instalace potřebného softwaru:

sudo apt -y install realmd sssd sssd-tools libnss-sss libpam-sss adcli samba-common-bin oddjob oddjob-mkhomedir packagekit 

Nahrávání a instalace něco sw

Ono ten výpis byl podstatně delší, takže uvádím jen jeho začátek a konec. Heslo pro sudo jsem musil zadat nadvakrát, neb jsem měl na klávesnici češtinu 😦

nahrávání a instalace něco sw

Po úspěšném stažení a instalaci potřebných sw komponent přejdeme ks samotnému domain join – připojení do domény. Podívejme se nejdříve, zda realm service „vidí“ požadovanou doménu:

realm discover kaldy.eu

Haló doméno, slyšíte mne?

A když ano, připojme náš stroj do ní:

sudo realm join --user=<domain admin> --computer-ou=<OU for my computer> kaldy.eu


[sudo] password for s… je heslem pro lokálního admina na Ubuntu mašině.
Password for s…: je heslem pro doménového administrátora na straně domain controlleru (windows domény). Oba účty shodou okolností začínají na s, nicméně nejsou stejná!

Ani jeden z parametrů není povinný:
–user – zadáváte jméno domain admina (zapisujete jméno počítače na DC!). Pokud nezadáte, volí se implicitní hodnota, skoro jistě Administrator. Ale toho má každý slušný admin windows disablovaný!
–computer-ou – Organizační jednotka, kam se v AD zapíše jméno našeho počítače. Pokud nezadáte, jméno počítače se zapíše do kontejneru Computers.
kaldy.eu – toto je jen příklad realmu, domény do které se připojujeme. Pokud se nezadá, bere se implicitní doména. Měla by být známá z doménových záznamů na DNS-kách. (Moc mi to nefungovalo).

A teď to podstatné: máme již realm (t.j. mechanizmus pro ověřování uživatelů), ale ještě musíme povolit, kterým účtem z AD se můžeme na naši mašinu připojit…

sudo realm permit --all

by měl povolit přihlášení pomocí všech uživatelských účtů. Mě se to ňáko nepovedlo…

sudo realm permit user@kaldy.eu

toto mi chodilo na první ťuk.

sudo realm permit -g group@kaldy.eu

nezkoušel jsem. Mělo by to povolit login pro všechny členy skupiny (group). A pro úplnost:

sudo realm permit -withdraw user@kaldy.eu

Zakáže přihlašování pomocí tohoto účtu.
Jenom taková drobnost: při operaci realm permit se současně vytváří domovský adresář (/home).

A nakonec: zadávat celé upn (user@kaldy.eu) je vopruz. Zařídíme, aby se to nemuselo zadávat celé, upravíme soubor /etc/sssd/sssd.conf:

sudo nano /etc/sssd/sssd.conf

…a po úpravě restartujeme službu sssd:

systemctl restart sssd

a můžeme zkusit přihlášení lokálně nebo přes ssh. Taky to lze ověřit takto:
Ty jména skupin windows adminům asi řeknou wo-co-go. Takže budu potřebovat uživatele s… z domény kaldy.eu dostat mezi privilegované uživatele. To lze buď zařazením do skupiny %admins, anebo úpravou souboru sudoers.tmp

Zanechat odpověď

Vyplňte detaily níže nebo klikněte na ikonu pro přihlášení:

Logo WordPress.com

Komentujete pomocí vašeho WordPress.com účtu. Odhlásit /  Změnit )

Google photo

Komentujete pomocí vašeho Google účtu. Odhlásit /  Změnit )

Twitter picture

Komentujete pomocí vašeho Twitter účtu. Odhlásit /  Změnit )

Facebook photo

Komentujete pomocí vašeho Facebook účtu. Odhlásit /  Změnit )

Připojování k %s

%d blogerům se to líbí: