CC BY
87
НЕСКОЛЬКО СЛОВ О ВВОДЕ В ДОМЕН WINDOWS КОМПЬЮТЕРА ПОД УПРАВЛЕНИЕМ ОС DEBIAN GNU/LINUX
Г.В. Мартынов
Поморский государственный университет имени М.В. Ломоносова, г. Архангельск, Россия
Огромное количество современных предприятий на сегодняшний момент времени имеет смешанную конфигурацию сети. Под такой конфигурацией понимается не только способ соединения компьютеров для организации общего рабочего пространства, но и наличие рабочих станций с разными операционными системами.
Не секрет, что большинство серверов любого предприятия настроены на ОС Unix, тем не менее существуют ряд серверов, использующих структуру Windows 2X Server. Это в первую очередь относится к файловому серверу, формирующему пространство общего ресурса. Кроме того, многие системные администраторы уже оценили возможности Active Derectory Windows 2X Server, позволяющие производить учет пользователей сети на основе доменной политики.
Большинство современных пользователей привыкли взаимодействовать с ОС Windows, и вполне логичным является использование Active Directory на предприятии. Но такая политика вызывает проблему учета пользователей ОС Linux в домене предприятия. Эта проблема возникает, в основном, из-за принципиальных отличий самих операционных систем. Тем не менее, для системного администратора данный вопрос является актуальным.
Следует отметить, что эта проблема, в основном, является проблемой именно системного администратора, так как те пользователи, которые используют ОС Linux в своей работе, прекрасно представляют все инструментарии системы и вполне могут обходиться без регистрации машины в домене для получения необходимого, возможного ресурса. Естественно, при этом им необходимо быть зарегистрированными пользователями домена.
В отличии от ОС Windows, которая рассчитана на доменную структуру, ввод ОС Debian GNU/Linux в домен является нетривиальной задачей. Рассмотрим ее решение на обобщенном уровне.
Итак, в первую очередь необходимо убедиться, что на компьютере под управлением ОС Debian GNU/Linux установлена служба аутентификации NT в системе Unix -winbind, а так же модуль pam_smb, позволяющий пользователям Linux пройти проверку на Samba, NT или Windows 95/98 машинах. Ну и, конечно же, сервер Samba -свободно распространяемое программное обеспечение, позволяющее:
а) создавать файл-сервер и принт-сервер (для клиентов, поддерживающих одну из реализаций протокола SMB) на базе открытых систем (OpenVMS, Digital Unix, AIX, IRIX, HPUX, Solaris, FreeBSD, NetBSD, Linux и т. д.);
б) поддерживать (не полностью) доменную структуру NT DOMAIN;
в) обеспечивать сервисы WINS (клиент и сервер), TIME-server и т. д.
Если данных продуктов нет, то их следует установить:
apt-get install samba winbind libpam-smbpass
Отметим, что в файле interfaces и sources.list должны быть прописаны строки, обеспечивающие подключение к соответствующим сетевым ресурсам [1].
Следующим шагом надо указать в файле /etc/resolv.conf сервер(ы) DNS, обслуживающий домен.
Заметим, если была сделана базовая установка ОС Debian GNU/Linux [1], то соответствующие записи там уже должны быть, но на всякий случай лучше убедиться в их наличии.
После этого необходимо удостовериться, что вводимая в домен машина определяется на указанных DNS серверах:
hostname
Следует отметить, что переход к следующему этапу можно делать только после того, как вы определили, что вводимая в домен машина определяться на указанных DNS серверах, если это не так, то придется повторить предыдущий шаг, возможно где-то закралась ошибка или на машине сделаны спе-
3. Механизмы развития инновационных процессов в эпоху информационного общества
цифические настройки, которые придется отменить. Кроме того, следует обратить внимание на то, что Hostname машины следует прописывать полностью.
Как только было установлено, что машина определяется на указанных DNS серверах, в файле /etc/nsswitch.conf необходимо прописать, откуда берется информация о пользователях: passwd: files winbind
group: files winbind
shadow: files winbind
hosts: files dns winbind
После проделанных операций можно перейти к настройке сервера Samba Linux -nano /etc/samba/smb.conf. Общая структура настройки давно известна и не будет приводиться в данной работе. Отметим только, что существуют специфические моменты, связанные с именами доменов организации.
Далее необходимо произвести редактирование файла /etc/krb5.conf, отвечающего, в том числе, и за безопасность соединения. Кроме того, данный файл раздает так называемые билеты. Это означает, что зарегистрированный пользователь домена, пройдя аутентификацию при входе в систему, автоматически получает доступ ко всем ресурсам домена, согласно правам его билета. При этом пользователю нет необходимости вводить каждый раз свое доменное имя и пароль при обращении к соответствующему ресурсу, система это сделает за него.
Как только был отредактирован файл krb5.conf, следует запустить сервисы samba и winbind:
/etc/init.d/winbind restart /etc/init.d/samba restart Теперь можно провести непосредственную операцию ввода машины в домен, при этом следует учитывать, что пользователь, который указывается в ключе -U, должен обладать правом ввода машины в домен: net ads join -U Administrator Using short domain name -- windomain Joined 'unixhost' to realm windo-main.pomorsu.ru
Для проверки результата своих действий надо ввести: wbinfo -t
checking the trust secret via RPC calls succeeded
getent passwd administrator
administra-
tor:*:10001:10002:Administrator:/home/WIND
OMAIN/administrator:/bin/bash
Если результат проверки отрицательный, то надо оценить наличие специфических настроек на компьютере и отменить их. Если таких настроек нет, то, вероятно, допущена ошибка в программном коде. При успешной проверке можно приступить к настройке системы РАМ (системы аутентификации и регистрации событий в ОС Linux).
Чтобы это сделать, требуется изменить несколько файлов и создать домашние каталоги пользователей домена: /etc/pam.d/common-auth: auth sufficient pam_winbind.so auth required pam_unix.so
use_first_pass nullok_secure /etc/pam.d/common-account: account sufficient pam_winbind.so
account required pam_unix.so
/etc/pam.d/common-password: password sufficient pam_winbind.so password required pam_unix.so nullok obscure min=4 max=8 md5
/etc/pam.d/common-session: session required pam_mkhomedir.so
skel=/etc/skel/ umask=0022
session required pam_unix.so mkdir /home/WINDOMAIN Настройка подключения компьютера под управлением ОС Linux в домен Windows закончена. Единственное, что необходимо произвести в конце всей работы, - это проверить работу системы:
smbclient -v --user=administrator \\\\unixhost\\administrator
Password:
Domain=[WINDOMAIN] OS=[Unix] Server=[Samba 3.0.24] smb: \>
Если мы видим стандартное приглашение, это означает, что система работает нормально. Если этого нет, необходимо произвести анализ действий и устранить ошибки кода.
Конечно же, данный путь может показаться и не оптимальным, но, как показала практика, при таком подходе особых проблем по вводу машины в домен Windows не возникает. Единственное неудобство - это право на ввод компьютера в домен, прихо-
дится прибегать к услугам системного адми- 1. Мартынов Г.В. Свободное программное
НИстратора. обеспечение: установка и настройка // Вестник
поморского университета. 2009. № 2.
Литература
