Используемые параметры команды net

Лабораторная работа №23 Ввод компьютера в домен Windows. Часть 2.

1. Цель работы: научиться вводить компьютер на базе Linux в домен Windows.

2. Информационные источники: Назаров, С.В. Современные операционные системы: учебное пособие/ С.В. Назаров, А.И. Широков -Интернет-М. Университет Информационных Технологий (ИНТУИТ), 2016, - 351 с., - ISBN: 978-5-9963-0416-5

3. Вопросы домашней подготовки:

1. Что такое контроллер домена?

2. Что такое DNS-сервер?

3. Что такое DHCP-сервер?

4. Основное оборудование:

 - компьютеры студенческие с лицензионным ПО (Intel® Celeron™ CPU 2GHz, 512 Mb ОЗУ)

5. Задание:

5.1 Ознакомиться с пунктами 6.1-6.5

5.2 Выполнить настройку Samba (Методические указания смотреть в приложении)

5.3 Выполнить настройку Winbind (методические указания смотреть в приложении)

5.4 Предоставить результаты преподавателю.

6. Порядок выполнения работы:

6.1 Вопросы ОТ

6.1.1. Персональный компьютер — электроприбор. От прочих электроприборов он отличается тем, что для него предусмотрена возможность длительной эксплуатации без отключения от электрической сети. Кроме обычного режима работы компьютер может находиться в режиме работы с пониженным электропотреблением или в дежурном режиме ожидания запроса. В связи с возможностью продолжительной работы компьютера без отключения от электросети следует уделить особое внимание качеству организации электропитания.

6.1.2. Студент включает персональный компьютер только с разрешения преподавателя

6.1.3. Включение персонального компьютера производится последовательно, при закрытом корпусе системного блока и монитора.

6.1.4. При работе необходимо, чтобы экран находился на расстоянии 55-65 см. от глаз перпендикулярно линии взгляда.

6.1.5. Не касаться экрана монитора, проводов.

6.1.6.После окончания работы студент оповещает преподавателя и последовательно отключает ПК, точно выполняя указания преподавателя.

6.1.7. Рабочее место студент оставляет аккуратно, дисциплинированно.

6.1.8. При появлении запаха гари, студент оставляет рабочее место и немедленно сообщает преподавателю. Преподаватель в свою очередь сообщает администрации.

6.1.9. Во всех случаях студент действует согласно с общими и специальными правилами безопасности жизнедеятельности.

 

6.2 Ознакомиться с пунктами практической работы;

6.3 Оформите свой отчет согласно седьмому пункту данной практической работы;

6.4 Выполните задание в соответствии с п.5.1-5.4;
6.5 Сделайте вывод о проделанной работе.

7. Содержание отчета:

1.Название, цель работы, задание данной практической работы;

2.Номер варианта, условие задачи своего варианта и ее решение;

3.Вывод о проделанной работе;

8. Контрольные вопросы:

8.1 В каком файле задаётся конфигурация Samba?

8.2 Команда проверки работы Samba?

8.3 Команда входа в домен?

8.4 Команда просмотра ресурсов удалённого компьютера?

8.5 Команда просмотра пользователей домена?

 

Приложение

Настройка Samba и вход в домен

Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле /etc/samba/smb.conf. На данном этапе вас должны интересовать только некоторые опции из секции [global]. Ниже - пример части файла конфигурации Samba с комментариями по поводу значения важных параметров:

[global] # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без # последней секции после точки, а realm - полное имя домена    workgroup = DOMAIN realm = DOMAIN.COM # Эти две опции отвечают как раз за авторизацию через AD security = ADS encrypt passwords = true # Просто важные    dns proxy = no    socket options = TCP_NODELAY # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе, # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде domain master = no local master = no preferred master = no os level = 0 domain logons = no # Отключить поддержку принтеров load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes

 

После того, как вы отредактируете smb.conf выполните команду:

testparm

 

Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём:

# testparmLoad smb config files from /etc/samba/smb.confLoaded services file OK.Server role: ROLE_DOMAIN_MEMBERPress enter to see a dump of your service definitions

Как видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду:

net ads join -U username -D DOMAIN

И в случае успеха вы увидите что-то похожее на:

# net ads join -U username -D DOMAINEnter username's password:Using short domain name -- DOMAINJoined 'SMBSRV01' to realm 'domain.com'

Используемые параметры команды net

-U username%password: Обязательный параметр, вместо username необходимо подставить имя пользователя с правами администратора домена, и указать пароль.

-D DOMAIN: DOMAIN - собственно сам домен, домен можно и не указывать, но лучше всё же это всегда делать - хуже не будет.

-S win_domain_controller: win_domain_controller, можно не указывать, но бывают случаи когда автоматически сервер не находит контроллер домена.

createcomputer=«OU/OU/…» : В AD часто используется OU (Organizational Unit), есть в корне домена OU = Office, в нем OU = Cabinet, чтобы сразу добавить в нужный можно указать так: sudo net ads join -U username createcomputer=«Office/Cabinet».

Если больше никаких сообщений нет - значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо.

Так же можно набрать команду:

net ads testjoin

Если все хорошо, можно увидеть:

#net ads testjoinJoin is OK

Но иногда после сообщения о присоединении к домену выдаётся ошибка наподобие:

DNS update failed!

Эту ошибку можно проигнорировать, если интересно, то вот её возможные причины и способы устранения:

В этом случае рекомендуется ещё раз прочитать раздел про настройку DNS чуть выше и понять, что же вы сделали не так. После этого нужно удалить компьютер из домена и попытаться ввести его заново. Если вы твердо уверены, что всё настроили верно, а DNS всё равно не обновляется, то можно внести вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать. Конечно, если нет никаких других ошибок, и вы успешно вошли в домен. Однако лучше всё же разберитесь, почему DNS не обновляется автоматически. Это может быть связано не только с вашим компьютером, но и с некорректной настройкой AD.

 

Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером workstation:

smbclient -k -L workstation

Вы должны увидеть список общих ресурсов на этом компьютере.

Настройка Winbind

Если вам необходимо как-либо работать с пользователями домена, например, настраивать SMB-шары с разграничением доступа, то вам понадобится кроме самой Samba ещё и Winbind - специальный демон, служащий для связи локальной системы управления пользователями и группами Linux с сервером Active Directory. Проще говоря Winbind нужен, если вы хотите видеть пользователей домена на своём компьютере с Ubuntu.

 

Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.

 

Для настройки Winbind используется всё тот же файл /etc/samba/smb.conf. Добавьте в секцию [global] следующие строки:

# Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind. # Диапазоны идентификаторов для виртуальных пользователей и групп. idmap config * : range = 10000-20000 idmap config * : backend = tdb # Эти опции не стоит выключать. winbind enum groups = yes winbind enum users = yes # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп # будут использоваться с доменом, т.е. вместо username - DOMAIN\username. # Возможно именно это вам и нужно, однако обычно проще этот параметр включить.    winbind use default domain = yes # Если вы хотите разрещить использовать командную строку для пользователей домена, то # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false template shell = /bin/bash # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку winbind refresh tickets = yes

Теперь перезапустите демон Winbind и Samba в следующем порядке:

sudo /etc/init.d/winbind stopsudo smbd restartsudo /etc/init.d/winbind start

Запускаем

sudo testparm

Смотрим есть ли ошибки или предупреждения, если появится:

 

«rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»

 

Без перезагрузки можно устранить так:

ulimit -n 16384

Для сохранения после перезагрузки отредактировать файл /etc/security/limits.conf

# Добавить в конец файла строки:*          - nofile       16384root       - nofile       16384

После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой:

# wbinfo -tchecking the trust secret for domain DCN via RPC calls succeeded

А так же, что Winbind увидел пользователей и группы из AD командами:

wbinfo -uwbinfo -g

Эти две команды должны выдать список пользователей и групп из домена соответственно. Либо с префиксом DOMAIN\, либо без него - в зависимости от того, какое значение вы указали параметру «winbind use default domain» в smb.conf.

Внимание! Обычно на этом шаге wbinfo может дать сбой и, при выполнении двух последних команд он ничего не выводит, поэтому, чтобы избежать лишних исправлений в конфигурационных файлах, перепроверьте время, поскольку оно могло сбиться, а также сразу проверьте работу протокола Kerberos, выполнив команду kinit.