Как ввести в домен сервер Centos 7?

Question

[Александр Лычангин]

Здравствуйте, задача у меня стоит такая. Надо сделать аутентификацию по учетным записям домена и прописать право на запуск sudo в sudoers для членов группы в домене 'linux' например. я пробовал сделать подобное для debian подобный дистрибутив по этой инструкции Ввод ubuntu в домен но у меня проблема что не корректно работает sudoers по группе домена. То есть при добавления пользователя в группу linux в домене, он не отображается таковым при выводе команды getent group 'linux' и в итоге у пользователя нет прав администратора на сервере. В настройках winbind cache выставил самое маленькое значение, но инфа корректно так и не обновляется.
И вопрос такой, есть какой то более простой способ ввода в домен linux серверов без танцев с бубнами и правкой большого числа конфигов? Или может кто подскажет какой способ еще есть помимо связки samba+winbind или это как то уже автоматизировано?

Answer 1

[Дмитрий Александров]

В центос и дебиане ввод в домен это попаболь. Лучше всего дела у suse с доменами.

Comments

[Александр Лычангин]

Дмитрий Александров Я так понимаю необязательно же ведь вводить в домен, чтобы использовать аутентификацию по доменным пользователелям?

[Дмитрий Александров]

Александр Лычангин: Лучше затолкнуть в домен, проблем намного меньше будет.
Сожешь вот тут https://www.suse.com/documentation/sles-12/book_se... посмотреть довольно исчерпывающую информацию о доменах в сюзи.

[CityCat4]

Ну щас. Нет там никакой попаболи, уже лет десять как. Есть как минимум два способа запнуть UNIX в домен, вне всякой зависимости от того, центос там, слака или вообще FreeBSD

[Александр Лычангин]

CityCat4: подскажите пожалуйста какие способы есть? А то я уже три дня бьюсь над вопросом, он вроде как нормально вводится в домен, но группы доменные он некорректно обновляет

[CityCat4]

Александр Лычангин: Ищите статью "За пределами nss_ldap..." - там все подробно расписано. Там правда центос 6 использовался. Скачайте с торрентов архив журнала за 2015 год и там посмотрите.

[Ульрих]

Дмитрий Александров, дебиан и убунту вводятся в домен по этому мануалу help.ubuntu.ru/wiki/%D0%B2%D0%B2%D0%BE%D0%B4_%D0%B... за 10-15 минут. Попаболь - это когда руки не из того места растут)

[Дмитрий Александров]

Ульрих: ок, померимся линуксами. Ввод в домен сюзи https://www.suse.com/documentation/sles10/book_sle...
Поднятие ad у сюзи https://ru.opensuse.org/SDB:Samba_%D0%B8_LDAP_%D0%...
Делать разные тонкости клиента и сервера становится во много раз проще после вот таких удобных и не хитрых действий. В крайнем случае копаться в конфигах ручками придется точно намного меньше.

[Ульрих]

Дмитрий Александров: да больно надо мне с вами чем-то мериться) Каждый будет работать с теми дистрами, с которыми ему удобно

Answer 2

[CityCat4]

Процесс добавления UNIX в домен описан был еще в лохматом 2005 году. Ссылка раз. Ссылка два. Статьи эти публиковались в журнале "Системный администратор" в соответствующее время. Процесс добавления конкретно центоса в домен без самбы (на самом деле самба там совершенно не-пришей-кобыле-хвост) был описан в статье "За пределами nss_ldap или еще ор методах авторизации", которую "Системный администратор" публиковал по-моему в марте 2015-го. Ссылку дать не могу - сайт, с которого предыдущие ссылки, автором заброшен, там последнее обновление в 2011 году :D

Но добавление центоса в домен не даст автоматически прав доменным админам прав администратора. Все, что оно сделает - это сделает на центосе известными учетки домена.

Answer 3

[Дмитрий Шицков]

Полностью операции по вводу самбы в домен сложно расписать. Однако, всё становится несколько проще, если вводить самбу в домен при помощи samba-tool domain join. По результатам работы этой утилиты samba будет введена в домен и будут сгенерированы минимальные smb.conf и krb.conf для работы с текущим доменом, которые уже можно дополнять параметрами по необходимости.

Comments

[Александр Лычангин]

Дмитрий Шицков с этой утилитой я смогу по ssh подключаться доменными пользователями или надо еще дополнительно настраивать pam модули ?

[Дмитрий Шицков]

Александр Лычангин: боюсь без настройки модуля pam это не удастся воплотить.

[Дмитрий]

Александр Лычангин: для pam подойдет authconfig. Возможно, заработает даже без плясок.