User Tools

Site Tools


сервис_winbind

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Both sides previous revision Previous revision
Next revision
Previous revision
сервис_winbind [2021/03/01 19:42]
val [Debian/Ubuntu]
сервис_winbind [2024/02/15 10:03] (current)
val [Управление ключами KERBEROS в режиме ADS]
Line 14: Line 14:
  
 ==== Регистрация unix системы в домене в режиме ADS ==== ==== Регистрация unix системы в домене в режиме ADS ====
 +
 +  * !!! Удалить все старые принципалы сервисов,​ привязанные к gate
 +
 <​code>​ <​code>​
 gate# cat /​etc/​samba/​smb.conf gate# cat /​etc/​samba/​smb.conf
Line 22: Line 25:
         realm = CORPX.UN         realm = CORPX.UN
         kerberos method = system keytab         kerberos method = system keytab
-        winbind use default domain = Yes +        winbind use default domain = Yes
 </​code><​code>​ </​code><​code>​
 gate# net ads join -U Administrator gate# net ads join -U Administrator
Line 45: Line 48:
 <​code>​ <​code>​
 gate# net ads leave -U Administrator gate# net ads leave -U Administrator
 +  или
 +gate# net ads leave -k
  
 gate# rm /​etc/​krb5.keytab gate# rm /​etc/​krb5.keytab
Line 56: Line 61:
 === На Linux системе === === На Linux системе ===
 <​code>​ <​code>​
-    ​gate# net ads keytab add HTTP -k +gate# klist -ek /​etc/​krb5.keytab 
-samba4.9# net ads keytab add_update_ads HTTP -k+ 
 +gate# kinit Administrator 
 + 
 +samba4.9+# net ads keytab add_update_ads HTTP -k
  
-    gate# net ads keytab add imap -U Administrator +samba4.9+# net ads keytab add_update_ads imap -k
-samba4.9# net ads keytab add_update_ads imap -k+
  
-    gate# net ads keytab ​add xmpp -k         ​# С MS AD не работает,​ но, можно оставить через ktpass, с samba4 - OK ... +samba4.9+# net ads keytab ​add_update_ads smtp -k 
-samba4.9# net ads keytab add_update_ads xmpp -k+    
 +samba4.9+# net ads keytab add_update_ads ​xmpp -k     ​# С MS AD не работает,​ но, можно оставить через ktpass, с samba4 - OK ...
  
 gate# klist -ek /​etc/​krb5.keytab gate# klist -ek /​etc/​krb5.keytab
Line 70: Line 78:
 </​code>​ </​code>​
  
-Пример команд на будущее (сейчас пишет в keytab файл http в нижнем регистре)+Современный вариант
  
 <​code>​ <​code>​
 # net ads setspn add HTTP/​gate.corp13.un # net ads setspn add HTTP/​gate.corp13.un
  
-# net ads keytab create -k+# net ads keytab create 
 + 
 +но, пока, при создании /​etc/​krb5.keytab пишет http в нижнем регистре , поэтому,​ приходится 
 +# sed -i''​ '​s/​http/​HTTP/​g'​ /​etc/​krb5.keytab
 </​code>​ </​code>​
  
Line 107: Line 118:
 ==== Авторизация в режиме ADS/DOMAIN ==== ==== Авторизация в режиме ADS/DOMAIN ====
 <​code>​ <​code>​
 +gate# wbinfo -n user1
 +
 gate# cat /​etc/​samba/​smb.conf gate# cat /​etc/​samba/​smb.conf
 </​code><​code>​ </​code><​code>​
Line 119: Line 132:
         idmap config * : range = 20000-40000         idmap config * : range = 20000-40000
         template homedir = /home/%U         template homedir = /home/%U
 +        #use suitable shell (what abount /​usr/​sbin/​nologin ?)
         template shell = /bin/sh         template shell = /bin/sh
 </​code><​code>​ </​code><​code>​
Line 129: Line 143:
  
 <​code>​ <​code>​
-gate# wbinfo -n user1 +gate# wbinfo -S `wbinfo -n user1|cut -d' ' -f1` 
-gate# wbinfo ​-S ...+
 gate# wbinfo -i user1 gate# wbinfo -i user1
 </​code><​code>​ </​code><​code>​
Line 157: Line 171:
 gate# chown -R user2:'​domain users' /​home/​user2/​ gate# chown -R user2:'​domain users' /​home/​user2/​
 gate# chown user2 /​var/​mail/​user2 gate# chown user2 /​var/​mail/​user2
 +
 +
 </​code>​ </​code>​
  
сервис_winbind.1614616953.txt.gz · Last modified: 2021/03/01 19:42 by val