В моем офисе мы используем домен samba + ldap. Я уже присоединяюсь к некоторым машинам с Windows 7, но теперь мне нужно присоединить CentOS 7 к этому домену. Как я могу это сделать?
Ниже приведены шаги, которые я уже сделал:
Когда я пытаюсь присоединиться с:
net join -U administrator
Я получаю следующее:
не может подключиться к автономному компьютеру
Когда я запускаю
journalcrl -r
, я получаю некоторую ошибку pam_ldap:
pam_ldap: ошибка при открытии соединения с nslcd: нет такого файла или каталога.
Риско. Сначала вы должны установить пакеты для интеграции sssd:
yum install \
realmd \
sssd \
sssd-krb5 \
sssd-krb5-common \
sssd-common \
sssd-common-pac \
sssd-ad \
sssd-proxy \
sssd-tools \
python-sssdconfig \
samba \
samba-common \
authconfig \
authconfig-gtk
Затем создать учетную запись машины в AD контейнере, к которому у вашего пользователя ([Domain UID]) есть полный доступ.
Добавить машину в домен: realm --verbose join [FQ Domain name] -U [Domain UID]
Настройте /etc/sssd/sssd.conf
[sssd]
domains = <FQ Domain name lowercase>
config_file_version = 2
services = nss, pam
[domain/bdp.pt]
ad_domain = <FQ Domain name lowercase>
krb5_realm = <FQ Domain name uppercase>
realmd_tags = manages-system joined-with-samba
cache_credentials = True
id_provider = ad
krb5_store_password_if_offline = True
default_shell = /bin/bash
ldap_id_mapping = True
use_fully_qualified_names = False
fallback_homedir = /home/%u@%d
access_provider = simple
simple_allow_groups = <Comma separated list of AD groups allowed to login in the form <FQDomainLowercase>\<GroupName>>
simple_allow_users = <Same for users>
Возможно, вам придется настроить эти 2 раздела /etc/krb5.conf
[realms]
<FQDomainUpperCase> = {
}
[domain_realm]
<FQDomainLowerCase> = <FQDomainUpperCase>
.<FQDomainLowerCase> = <FQDomainUpperCase>
Тогда это будет уже не отдельная машина, и вы сможете аутентифицировать пользователей домена. Надеюсь, это поможет.
Убедитесь, что вы можете пинговать между вашими хостами, попробуйте оба ping сервера
и ping server.domain.local
. В случае, если у вас там ничего не получится, попробуйте указать пояснение KDC в конфигурации kerberos и в smb.conf.
Пример файла krb5.conf:
/etc/krb5.conf
...
[realms]
DOMAINNAME.COM = {
kdc = din-dc1.domainname.com
kdc = den-dc1.domainname.com
master_kdc = din-dc1.domainname.com
admin_server = din-dc1.domainname.com
}
[domain_realm]
.domainname.com = DOMAINNAME.COM
...
/etc/samba/smb.conf
...
[global]
server string = Dinamo File Server
workgroup = DOMAINNAME
realm = DOMAINNAME.COM
security = ADS
password server = *
#password server = din-dc1.domainname.com
#password server = din-dc1.domainname.com, den-dc1.domainname.com
Используйте kinit
, чтобы убедиться, что kerberos работает!