как установить winbind в linux
🐧 Интеграция серверов Linux с Active Directory с помощью Samba, Winbind и Kerberos
В этом руководстве мы обсудим, как интегрировать Linux-серверы (Centos/RHEL) с Windows Active Directory в целях аутентификации.
Выполните следующие шаги, чтобы интегрировать эти серверы с AD с помощью samba, winbind и Kerberos.
Шаг 1: Установите пакеты samba-winbind и kerberos.
Шаг 2: Синхронизация времени.
AD очень требователен к соответствию времени при аутентификации.
Поэтому время сервера linux и сервера AD должно быть синхронизировано с сервером ntp.
Используйте приведенную ниже команду для синхронизации времени сервера Linux с сервером ntp.
Чтобы сделать вышеуказанную конфигурацию постоянной, отредактируйте файл “/etc/ntp.conf” и просто замените то, что там есть, на один или несколько NTP-серверов в вашем домене, например:
Шаг 3: Отредактируйте файл /etc/hosts.
Шаг 4: Отредактируйте файл /etc/krb5.conf.
Шаг 5: Теперь протестируйте аутентификацию Kerberos.
Если он запросит пароль, введите пароль пользователя ad, если все в порядке, то мы получим приглашение, в противном случае перепроверьте файл krb5.conf.
Шаг 6: Теперь настройте Samba и Winbind.
Отредактируйте файл /etc/samba/smb.conf.
Шаг 7: Настройте файл /etc/nsswitch.conf для обработки аутентификации.
Шаг 8: Теперь перезапустите службы winbind и Samba.
Теперь присоединитесь к домену:
Если вышеуказанная команда сообщает “Join is OK”, проверьте winbind:
Команда для составления списка всех пользователей AD:
Шаг 9: Теперь проведите тестирование и попробуйте войти на сервер linux через учетные данные пользователя AD.
Anything in here will be replaced on browsers that support the canvas element
Ввод компьютера в домен Windows
Содержание
Введение
Зачастую возникает необходимость ввести Linux-машину в существующий домен Windows. Например, чтобы сделать файловый сервер с помощью Samba. Сделать это очень просто, для этого вам понадобятся клиент Kerberos, Samba и Winbind.
Перед установкой желательно обновиться:
Установить всё это добро можно командой:
Также может понадобиться установить следующие библиотеки:
Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic.
Настройка DNS
Если у вас статический IP-адрес, то в Ubuntu Desktop это можно сделать через Network Manager, в Ubuntu Server необходимо изменить содержимое файла /etc/resolv.conf на примерно такое:
В современных дистрибутивах файл resolv.conf создается автоматически и править вручную его не нужно. Для получение нужного результата нужно добавить необходимые изменения в файл: /etc/resolvconf/resolv.conf.d/head Данные которые будут добавлены в него, будут автоматически вставлены в файл /etc/resolv.conf
Чтобы добавить еще один nameserver нужно убрать комментарий перед prepend domain-name-servers и указать ip сервера:
Для применения изменений остается перезапустить службу:
Теперь убедитесь, что вы задали нужное имя компьютера в файле /etc/hostname :
Кроме того необходимо отредактировать файл /etc/hosts так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
Сразу нужно проверить что нормально пингуется наш контроллер домена, по короткому и полному имени, чтобы в будушем не получать ошибки что контроллер домена не найден:
Настройка синхронизации времени
Далее необходимо настроить синхронизацию времени с доменконтроллером. Если разница будет более 5 минут мы не сможем получить лист от Kerberos. Для единовременной синхронизации можно воспользоваться командой:
Если в сети существует сервер точного времени, то можно воспользоваться им или любым публичным:
После чего перезапустите демон ntpd :
Теперь пора настраивать непосредственно взаимодействие с доменом.
Настройка авторизации через Kerberos
Это не все возможные опции настройки Kerberos, только основные. Однако их обычно достаточно.
Теперь настало время проверить, что мы можем авторизоваться в домене. Для этого выполните команду
Вместо username естественно стоит вписать имя существующего пользователя домена.
Убедиться в том, что билет получен, можно выполнив команду
Удалить все билеты (они вам вообще говоря не нужны) можно командой
Распространённые ошибки kinit
Это значит, что у вашего компьютера не синхронизировано время с доменконтроллером (см. выше).
Вы ввели неверный пароль.
Указанного пользователя не существует в домене.
Настройка Samba и вход в домен
После того, как вы отредактируете smb.conf выполните команду
Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём:
Как видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду:
И в случае успеха вы увидите что-то похожее на:
Используемые параметры команды net
-U username%password : Обязательный параметр, вместо username необходимо подставить имя пользователя с правами администратора домена, и указать пароль.
Так же можно набрать команду:
Если все хорошо, можно увидеть:
Но иногда после сообщения о присоединении к домену выдаётся ошибка наподобие 3) :
Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Для этого установите smbclient :
Теперь можно просматривать ресурсы компьютеров домена. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером workstation :
Вы должны увидеть список общих ресурсов на этом компьютере.
Настройка Winbind
Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.
в новых версиях Samba уже устарели и при проверке конфига самбы с помощью testparm будет выдваться предупреждение:
WARNING: The «idmap uid» option is deprecated
WARNING: The «idmap gid» option is deprecated
Чтобы убрать предупреждения нужно заменить эти строки на новые:
idmap config * : range = 10000-20000
idmap config * : backend = tdb
Теперь перезапустите демон Winbind и Samba в следующем порядке:
Смотрим есть ли ошибки или предупреждения, если появится:
«rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»
Без перезагрузки можно устранить так:
Для сохранения после перезагрузки отредактировать файл /etc/security/limits.conf
После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой:
А так же, что Winbind увидел пользователей и группы из AD командами 4) :
Итак, Winbind работает, однако в систему он ещё не интегрирован.
Добавление Winbind в качестве источника пользователей и групп
Для того, чтобы ваша Ubuntu прозрачно работала с пользователями домена, в частности, чтобы вы могли назначать пользователей домена владельцами папок и файлов, необходимо указать Ubuntu использовать Winbind как дополнительный источник информации о пользователях и группах.
Для этого измените две строчки в файле /etc/nsswitch.conf :
добавив к ним в конец winbind :
также рекомендую привести строку files в файле /etc/nsswitch.conf к виду:
Теперь проверьте, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив
Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла.
Авторизация в Ubuntu через пользователей домена
Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.
Он-лайн авторизация
Для Ubuntu 13.10 чтобы появилось поле ручного ввода логина необходимо в любой файл из папки /etc/lightdm/lightdm.conf/ снизу добавить строку:
И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:
Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.
Ввод компьютера в домен Windows
Содержание
Введение
Зачастую возникает необходимость ввести Linux-машину в существующий домен Windows. Например, чтобы сделать файловый сервер с помощью Samba. Сделать это очень просто, для этого вам понадобятся клиент Kerberos, Samba и Winbind.
Перед установкой желательно обновиться:
Установить всё это добро можно командой:
Также может понадобиться установить следующие библиотеки:
Либо, если вы используете Ubuntu Desktop, те же пакеты можно поставить через менеджер пакетов Synaptic.
Настройка DNS
Если у вас статический IP-адрес, то в Ubuntu Desktop это можно сделать через Network Manager, в Ubuntu Server необходимо изменить содержимое файла /etc/resolv.conf на примерно такое:
В современных дистрибутивах файл resolv.conf создается автоматически и править вручную его не нужно. Для получение нужного результата нужно добавить необходимые изменения в файл: /etc/resolvconf/resolv.conf.d/head Данные которые будут добавлены в него, будут автоматически вставлены в файл /etc/resolv.conf
Чтобы добавить еще один nameserver нужно убрать комментарий перед prepend domain-name-servers и указать ip сервера:
Для применения изменений остается перезапустить службу:
Теперь убедитесь, что вы задали нужное имя компьютера в файле /etc/hostname :
Кроме того необходимо отредактировать файл /etc/hosts так, чтобы в нём была запись с полным доменным именем компьютера и обязательно коротким именем хоста, ссылающаяся на один из внутренних IP:
Сразу нужно проверить что нормально пингуется наш контроллер домена, по короткому и полному имени, чтобы в будушем не получать ошибки что контроллер домена не найден:
Настройка синхронизации времени
Далее необходимо настроить синхронизацию времени с доменконтроллером. Если разница будет более 5 минут мы не сможем получить лист от Kerberos. Для единовременной синхронизации можно воспользоваться командой:
Если в сети существует сервер точного времени, то можно воспользоваться им или любым публичным:
После чего перезапустите демон ntpd :
Теперь пора настраивать непосредственно взаимодействие с доменом.
Настройка авторизации через Kerberos
Это не все возможные опции настройки Kerberos, только основные. Однако их обычно достаточно.
Теперь настало время проверить, что мы можем авторизоваться в домене. Для этого выполните команду
Вместо username естественно стоит вписать имя существующего пользователя домена.
Убедиться в том, что билет получен, можно выполнив команду
Удалить все билеты (они вам вообще говоря не нужны) можно командой
Распространённые ошибки kinit
Это значит, что у вашего компьютера не синхронизировано время с доменконтроллером (см. выше).
Вы ввели неверный пароль.
Указанного пользователя не существует в домене.
Настройка Samba и вход в домен
После того, как вы отредактируете smb.conf выполните команду
Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём:
Как видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду:
И в случае успеха вы увидите что-то похожее на:
Используемые параметры команды net
-U username%password : Обязательный параметр, вместо username необходимо подставить имя пользователя с правами администратора домена, и указать пароль.
Так же можно набрать команду:
Если все хорошо, можно увидеть:
Но иногда после сообщения о присоединении к домену выдаётся ошибка наподобие 3) :
Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Для этого установите smbclient :
Теперь можно просматривать ресурсы компьютеров домена. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером workstation :
Вы должны увидеть список общих ресурсов на этом компьютере.
Настройка Winbind
Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.
в новых версиях Samba уже устарели и при проверке конфига самбы с помощью testparm будет выдваться предупреждение:
WARNING: The «idmap uid» option is deprecated
WARNING: The «idmap gid» option is deprecated
Чтобы убрать предупреждения нужно заменить эти строки на новые:
idmap config * : range = 10000-20000
idmap config * : backend = tdb
Теперь перезапустите демон Winbind и Samba в следующем порядке:
Смотрим есть ли ошибки или предупреждения, если появится:
«rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»
Без перезагрузки можно устранить так:
Для сохранения после перезагрузки отредактировать файл /etc/security/limits.conf
После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой:
А так же, что Winbind увидел пользователей и группы из AD командами 4) :
Итак, Winbind работает, однако в систему он ещё не интегрирован.
Добавление Winbind в качестве источника пользователей и групп
Для того, чтобы ваша Ubuntu прозрачно работала с пользователями домена, в частности, чтобы вы могли назначать пользователей домена владельцами папок и файлов, необходимо указать Ubuntu использовать Winbind как дополнительный источник информации о пользователях и группах.
Для этого измените две строчки в файле /etc/nsswitch.conf :
добавив к ним в конец winbind :
также рекомендую привести строку files в файле /etc/nsswitch.conf к виду:
Теперь проверьте, что Ubuntu запрашивает у Winbind информацию о пользователях и группах, выполнив
Теперь вы можете взять любого пользователя домена и сделать его, например, владельцем какого-нибудь файла.
Авторизация в Ubuntu через пользователей домена
Несмотря на то, что все пользователи домена фактически стали полноценными пользователями системы (в чём можно убедиться, выполнив последние две команды из предыдущего раздела), зайти ни под кем из них в систему всё ещё нельзя. Для включения возможности авторизации пользователей домена на компьютере с Ubuntu необходимо настроить PAM на работу с Winbind.
Он-лайн авторизация
Для Ubuntu 13.10 чтобы появилось поле ручного ввода логина необходимо в любой файл из папки /etc/lightdm/lightdm.conf/ снизу добавить строку:
И, наконец, необходимо перенести запуск Winbind при загрузке системы после всех остальных служб (по умолчанию он запускается с индексом 20). Для этого в терминале выполните следующую команду:
Готово, все настройки завершены. Перезагружайтесь и пытайтесь войти с учетной записью пользователя домена.
Устанавливаем Microsoft Word в Linux с помощью PlayOnLinux
Для того чтобы установить Microsoft Word в Linux необходимо установить программу PlayOnLinux с набором скриптов. Инструкция по установке PlayOnLinux.
Если Вы запустили PlayOnLinux в первый раз, то перед вами возникнет мастер настройки, которому необходимо несколько раз ответить «далее».
Итак, для установки Microsoft Word 2010 на Linux в основном окне программы PlayOnLinux нажимаем «Установить».
В окне PlayOnLinux, в поиске пишем «office»:
В нашем случае это Microsoft Office 2010, выбираем его и нажимаем установка, → «Далее».
Если возникнет подобная ошибка «Error in main Please install winbind before installing Microsoft Office 2010», то необходимо открыть терминал и скомандовать:
Следующее окно позволяет указать источник для установки Microsoft Word 2010. В моем случае это iso — образ, содержащийся в домашнем каталоге, который я сначала подключил в виде виртуального оптического диска, у других может использоваться простой экзешный установочный файл (MS_Office_2010_SP1.exe), а потом указал путь до исполняемого файла, после чего началась загрузка wine 1.5.16 и остальных компонентов.
Далее возникло стандартное окно мастера установки Microsoft Word 2010.
Поздравляю с успешной установкой Microsoft Word!
Подобным образом можно установить предыдущие версии данного текстового редактора: Microsoft Word 2000, Microsoft Word 2003, Microsoft Word 2007.
13 комментариев Устанавливаем Microsoft Word в Linux с помощью PlayOnLinux
Ммм, а как его потом активировать? Ведь без активации он долго не проработает, потребует ввести ключ… А сделать это не возможно, поскольку поле для ввода ключа не активно. Что делать? Каким еще способом это его активировать?
Попробуйте заново установить Word.
Ну, Вы же через PlayOnLinux устанавливаете? PlayOnLinux снова подготовит и создаст Wine со всеми нужными библиотеками.
В свежей версии playonlinux есть установка активатора для Office 2010. Ищите по слову office
Хорошо, установили офис. А как потом обновления накатывать? Майки периодически обновляют офис, как быть в этом случае?
Работает, но шрифтов для него не хватает.
В момент установки получаю ошибку
Error in POL_Wine
Похоже, Wine прервала работу.
При установке на 15.10 кучу выдало несколько предупреждений и ошибок ставил Word10 только. Отправил отчёт об ошибках. И думал что не вышло установить, но попробовал запустить из окна установки работает.
У меня windbind через терминал не установился, на этом все и застопорилось. Может кто подскажет что делать?
Ubuntu Documentation
Introduction
This Howto describes how to add an Ubuntu box in an Active Directory domain and to authenticate the users with AD.
Note: Centrify Express and Likewise Open are alternative solutions for Linux systems to authenticate to an Active Directory domain. For Centrify Express see DirectControl. For Likewise Open see LikewiseOpen.
Used terms
term
definition
win2k3.lab.example.com
computername of the Ubuntu workstation
linuxwork.lab.example.com
FQDN of the Ubuntu workstation
Kerberos
The first step in joining an Active Directory domain is to install and configure Kerberos. See Samba/Kerberos for details.
Join AD domain
Required software
You need to install the winbind and samba packages. The packages smbfs and smbclient are useful for mounting network shares and copying files.
Ubuntu 10.04 and later should also install the libnss-winbind and libpam-winbind packages.
The first step in joining the Active Directory domain is to edit /etc/samba/smb.conf:
Be sure to restart the Samba and Winbind services after changing the /etc/samba/smb.conf file:
for this. Maybe it’s useful for unattended installations where you want to add machines to an AD automatically.
To fix this, specify the AD server to the «net join» command:
You’ll get a warning about not being able to update DNS, but you will successfully join the AD!
Testing
Setup Authentication
nsswitch
Testing
You can check that the Domain has successfully been joined by:
You should get a list of the users of the domain.
And a list of the groups. Be patient these queries can take time.
Check Winbind nsswitch module with getent.
Note that the domain name (here, «LAB+») is displayed by getent only if you have not set winbind use default domain = yes in smb.conf.
With this configuration you can access the workstation with local accounts or with domain accounts. On the first login of a domain user a home directory will be created. This PAM configuration assumes that the system will be used primarily with domain accounts. If the opposite is true (i.e., the system will be used primarily with local accounts), the order of pam_winbind.so and pam_unix.so should be reversed. When used with local accounts, the configuration shown here will result in a failed authentication to the Windows/Samba DC for each login and sudo use. This can litter the DC’s event log. Likewise, if local accounts are checked first, the /var/log/auth.log will be littered with failed logon attempts each time a domain account is accessed.
Note: You can use pam-auth-update to add the necessary entries for winbind authentication. If you installed libpam-winbind above, this step is all you need to do to configure pam. You may want to add the line to automatically create the home directory.
This PAM configuration does not acquire a Kerberos TGT at login. To acquire a ticket, use kinit after logging in, and consider using kdestroy in a logout script.
This one allows login for AD users and local users (tested with Ubuntu 9.10)
Final configuration
Each domain needs a directory in /home/.
One last thing
If you want to be able to use an active directory account to manage your Ubuntu box, you need to add it to the sudoers file. For that, you will need to edit the file /etc/group an add your username to the admin group and whatever other group you need(plugdev,audio,cdrom just to mention a few). it will be like:
Where, olduser, is your current linux user and, ActiveDirectoryUser, is the new administrator. Another way to make a Domain Group a sudoer in your ubuntu is to edit the file /etc/sudoers (using the command ‘visudo’) and add the following line
Where, adgroup, is a group from your active directory. Keep in mind that spaces in the group name are not allowed. You can use ‘%domain\ admins’, without quotes.
Usage
Logon with DOMAIN+USERNAME, unless you included «winbind use default domain» in your smb.conf, in which case you may log in using only USERNAME.
Automatic Kerberos Ticket Refresh
To have pam_winbind automatically refresh the kerberos ticket
Add the winbind refresh tickets line to smb.conf :
And modify /etc/pam.d/common-auth:
Troubleshooting
If the Winbind PAM module in /var/log/auth.log says that the AD-user is not existing restart winbind. It might be best to restart the whole workstation.
If when logging into the machine one gets a «no logon servers» error winbind\samba may not be starting properly. Try restarting them manually, and then logging in.
-If a manual restart works, then to fix this issue one needs to change scripts S20samba and S20winbind to S25samba and S25winbind in the /etc/rc2.d, rc3.d, rc4.d, rc5.d folders. The understanding is that this causes samba and winbind to startup later in the boot order for each runlevel. So that they start after S24avahi-daemon. If you then find that you must wait a bit before you can log in, you need to set «winbind enum users» and «winbind enum groups» in /etc/samba/smb.conf to ‘no’.
name service cache daemon
The name service cache daemon (nscd) can interfere with winbind, as winbind maintains its own cache. Remove it.
Some names or groups are resolved with getent, but others are not
The range of your idmap parameter is not wide enough to encompass all the users or groups
Adding more than one Linux machine to a Windows network
The above procedure allows you to add as many Linux machines as you like. However, the UID assigned to a given user may not be the same across all the machines. It created file ownership & rights issues when files/folders are shared between these machines. See Question #21806 on https://answers.launchpad.net/ubuntu/ for details. Therefore it is advisable to specify the UID mapping method
The newer syntax is (with old style you can get NT_STATUS_OBJECT_NAME_COLLISION in /var/log/samba/log.winbindd)
Resources
The Samba and Active Directory Wiki contains very detailed instructions.
Automated Methods
The SADMS package allows for automated joining to Active Directory through a GUI interface. http://sadms.sourceforge.net/
ActiveDirectoryWinbindHowto (последним исправлял пользователь penalvch 2015-09-24 09:04:42)
The material on this wiki is available under a free license, see Copyright / License for details
You can contribute to this wiki, see Wiki Guide for details