Підключення сервера Linux до Active Directory

IPI Enterprise Server – Підключення сервера Linux до Active Directory

Відредагуйте файл /etc/hosts, додайте (або відредагуйте) рядок із зазначенням FQDN для цього хосту (змініть його на ім’я свого хосту та <Domain_Name> на ім’я домену):

127.0.1.1       <hostname>.<Domain_Name>  <hostname>

Залежно від налаштувань мережі може знадобитися додати FQDN для сервера AD.

<server_ip>       <Server_Name>.<Domain_Name>  <Server_Name>

Сервер AD повинен бути встановлений як сервер DNS для правильного підключення до AD. Якщо у вашій мережі працює DHCP, як правило, адміністратор вже призначив правильні налаштування для вашого сервера. Ви можете побачити список поточних DNS у файлі resolv.conf:

cat /etc/resolv.conf

IP-адреса сервера AD відображатиметься як DNS-сервер. В іншому випадку ви можете вручну призначитиDNS-сервер. Під час використання DHCP ви не можете змінити resolv.conf напряму, тому необхідно буде виконати кілька простих кроків.

Ubuntu 18.04

Давайте встановимо пакет resolvconf

sudo apt update
sudo apt install resolvconf
sudo systemctl enable resolvconf.service

Потім вам потрібно буде відредагувати файл /etc/resolvconf/resolv.conf.d/head. Додайте рядок:

nameserver  <server_ip>

і виконаємо:

sudo systemctl start resolvconf.service

Centos 7

Необхідно додати наступні рядки

PEERDNS=no
DNS1=<server_ip>

у файл `/etc/sysconfig/network-scripts/ifcfg-* Тут вам потрібно замінити ifcfg-* на назву вашого мережевого інтерфейсу та перезапустити NetworkManager

sudo systemctl restart  NetworkManager

Ще раз перевірте файл resolv.conf, щоб переконатися, що все правильно

cat /etc/resolv.conf

Переконайтеся, що доменне ім’я розпізнається. Примітка: у Centos 7 може знадобитися встановити пакет bind-utils:

sudo yum install bind-utils -y
nslookup <Domain_Name>

Встановіть необхідні пакети

Ubuntu 18.04

sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli

Centos 7

sudo yum install sssd realmd oddjob oddjob-mkhomedir adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python -y

Ви повинні підтвердити домен під час встановлення Kerberos і вказати ім’я сервера. Давайте перевіримо, чи наш домен видно в мережі:

realm discover <Domain_Name>

Приєднайте машину до домену:

sudo realm --verbose join <Domain_Name> -U <YourDomainAdmin> --install=/

Якщо помилки немає, все пройшло добре. Ви можете перейти до контролера домену та перевірити, чи наш сервер Linux відображається в домені. Якщо сервер Active Directory використовує самопідписні сертифікати, вам потрібно відредагувати файл ldap.conf. В ubuntu він зберігається в /etc/ldap/ldap.conf, в Centos - /etc/openldap/ldap.conf. Необхідно вказати (додати в кінець файлу) цей параметр:

TLS_REQCERT never

Перевірка встановлення

Наприклад, щоб отримати всіх користувачів (потрібно ввести пароль):

ldapsearch -x -H "ldaps://<Domain_Name>" -D "<YourDomainAdmin>@<Domain_Name>" -W  -b "dc=<dc>,dc=<dc>, ..." "objectCategory=person" name

Якщо у нас є домен ipi.example.com і адміністратор з іменем «administrator», команда виглядатиме так::

ldapsearch -x -H "ldaps://ipi.example.com" -W -D "administrator@ipi.example.com" -b "dc=ipi,dc=example,dc=com"  "objectCategory=person" name

У разі помилки ви можете додати ключ -d1 і прочитати опис помилки.

Last updated