Используемые параметры команды net
Лабораторная работа №23 Ввод компьютера в домен Windows. Часть 2. 1. Цель работы: научиться вводить компьютер на базе Linux в домен Windows. 2. Информационные источники: Назаров, С.В. Современные операционные системы: учебное пособие/ С.В. Назаров, А.И. Широков -Интернет-М. Университет Информационных Технологий (ИНТУИТ), 2016, - 351 с., - ISBN: 978-5-9963-0416-5 3. Вопросы домашней подготовки: 1. Что такое контроллер домена? 2. Что такое DNS-сервер? 3. Что такое DHCP-сервер? 4. Основное оборудование: - компьютеры студенческие с лицензионным ПО (Intel® Celeron™ CPU 2GHz, 512 Mb ОЗУ) 5. Задание: 5.1 Ознакомиться с пунктами 6.1-6.5 5.2 Выполнить настройку Samba (Методические указания смотреть в приложении) 5.3 Выполнить настройку Winbind (методические указания смотреть в приложении) 5.4 Предоставить результаты преподавателю.
6.1 Вопросы ОТ 6.1.1. Персональный компьютер — электроприбор. От прочих электроприборов он отличается тем, что для него предусмотрена возможность длительной эксплуатации без отключения от электрической сети. Кроме обычного режима работы компьютер может находиться в режиме работы с пониженным электропотреблением или в дежурном режиме ожидания запроса. В связи с возможностью продолжительной работы компьютера без отключения от электросети следует уделить особое внимание качеству организации электропитания. 6.1.2. Студент включает персональный компьютер только с разрешения преподавателя 6.1.3. Включение персонального компьютера производится последовательно, при закрытом корпусе системного блока и монитора. 6.1.4. При работе необходимо, чтобы экран находился на расстоянии 55-65 см. от глаз перпендикулярно линии взгляда. 6.1.5. Не касаться экрана монитора, проводов. 6.1.6.После окончания работы студент оповещает преподавателя и последовательно отключает ПК, точно выполняя указания преподавателя. 6.1.7. Рабочее место студент оставляет аккуратно, дисциплинированно. 6.1.8. При появлении запаха гари, студент оставляет рабочее место и немедленно сообщает преподавателю. Преподаватель в свою очередь сообщает администрации. 6.1.9. Во всех случаях студент действует согласно с общими и специальными правилами безопасности жизнедеятельности.
6.2 Ознакомиться с пунктами практической работы; 6.3 Оформите свой отчет согласно седьмому пункту данной практической работы; 6.4 Выполните задание в соответствии с п.5.1-5.4; 7. Содержание отчета: 1.Название, цель работы, задание данной практической работы; 2.Номер варианта, условие задачи своего варианта и ее решение; 3.Вывод о проделанной работе; 8. Контрольные вопросы: 8.1 В каком файле задаётся конфигурация Samba? 8.2 Команда проверки работы Samba? 8.3 Команда входа в домен? 8.4 Команда просмотра ресурсов удалённого компьютера? 8.5 Команда просмотра пользователей домена?
Приложение Настройка Samba и вход в домен Для того, чтобы войти в домен, необходимо прописать правильные настройки в файле /etc/samba/smb.conf. На данном этапе вас должны интересовать только некоторые опции из секции [global]. Ниже - пример части файла конфигурации Samba с комментариями по поводу значения важных параметров: [global] # Эти две опции нужно писать именно в заглавном регистре, причём workgroup без # последней секции после точки, а realm - полное имя домена workgroup = DOMAIN realm = DOMAIN.COM # Эти две опции отвечают как раз за авторизацию через AD security = ADS encrypt passwords = true # Просто важные dns proxy = no socket options = TCP_NODELAY # Если вы не хотите, чтобы самба пыталась при случае вылезти в лидеры в домене или рабочей группе, # или даже стать доменконтроллером, то всегда прописывайте эти пять опций именно в таком виде domain master = no local master = no preferred master = no os level = 0 domain logons = no # Отключить поддержку принтеров load printers = no show add printer wizard = no printcap name = /dev/null disable spoolss = yes
После того, как вы отредактируете smb.conf выполните команду: testparm
Она проверит вашу конфигурацию на ошибки и выдаст суммарную сводку о нём: # testparmLoad smb config files from /etc/samba/smb.confLoaded services file OK.Server role: ROLE_DOMAIN_MEMBERPress enter to see a dump of your service definitionsКак видно мы задали правильные параметры для того, чтобы наш компьютер стал членом домена. Теперь пора попытаться непосредственно войти в домен. Для этого введите команду: net ads join -U username -D DOMAINИ в случае успеха вы увидите что-то похожее на: # net ads join -U username -D DOMAINEnter username's password:Using short domain name -- DOMAINJoined 'SMBSRV01' to realm 'domain.com'Используемые параметры команды net -U username%password: Обязательный параметр, вместо username необходимо подставить имя пользователя с правами администратора домена, и указать пароль. -D DOMAIN: DOMAIN - собственно сам домен, домен можно и не указывать, но лучше всё же это всегда делать - хуже не будет. -S win_domain_controller: win_domain_controller, можно не указывать, но бывают случаи когда автоматически сервер не находит контроллер домена. createcomputer=«OU/OU/…» : В AD часто используется OU (Organizational Unit), есть в корне домена OU = Office, в нем OU = Cabinet, чтобы сразу добавить в нужный можно указать так: sudo net ads join -U username createcomputer=«Office/Cabinet». Если больше никаких сообщений нет - значит всё хорошо. Попробуйте попинговать свой компьютер по имени с другого члена домена, чтобы убедиться, что в домене всё прописалось так, как надо. Так же можно набрать команду: net ads testjoinЕсли все хорошо, можно увидеть: #net ads testjoinJoin is OKНо иногда после сообщения о присоединении к домену выдаётся ошибка наподобие: DNS update failed!Эту ошибку можно проигнорировать, если интересно, то вот её возможные причины и способы устранения: В этом случае рекомендуется ещё раз прочитать раздел про настройку DNS чуть выше и понять, что же вы сделали не так. После этого нужно удалить компьютер из домена и попытаться ввести его заново. Если вы твердо уверены, что всё настроили верно, а DNS всё равно не обновляется, то можно внести вручную запись для вашего компьютера на ваш DNS сервер и всё будет работать. Конечно, если нет никаких других ошибок, и вы успешно вошли в домен. Однако лучше всё же разберитесь, почему DNS не обновляется автоматически. Это может быть связано не только с вашим компьютером, но и с некорректной настройкой AD.
Если всё прошло без ошибок, то поздравляем, вы успешно вошли в домен! Можете заглянуть в AD и убедиться в этом. Кроме того хорошо бы проверить, что вы можете видеть ресурсы в домене. Но для этого нужно иметь билет kerberos, т.е. если мы их удалили, то получаем опять через kinit (см. выше). Посмотрим какие ресурсы предоставлены в сеть компьютером workstation: smbclient -k -L workstationВы должны увидеть список общих ресурсов на этом компьютере. Настройка Winbind Если вам необходимо как-либо работать с пользователями домена, например, настраивать SMB-шары с разграничением доступа, то вам понадобится кроме самой Samba ещё и Winbind - специальный демон, служащий для связи локальной системы управления пользователями и группами Linux с сервером Active Directory. Проще говоря Winbind нужен, если вы хотите видеть пользователей домена на своём компьютере с Ubuntu.
Winbind позволяет спроецировать всех пользователей и все группы AD в вашу Linux систему, присвоив им ID из заданного диапазона. Таким образом вы сможете назначать пользователей домена владельцами папок и файлов на вашем компьютере и выполнять любые другие операции, завязанные на пользователей и группы.
Для настройки Winbind используется всё тот же файл /etc/samba/smb.conf. Добавьте в секцию [global] следующие строки: # Опции сопоставления доменных пользователей и виртуальных пользователей в системе через Winbind. # Диапазоны идентификаторов для виртуальных пользователей и групп. idmap config * : range = 10000-20000 idmap config * : backend = tdb # Эти опции не стоит выключать. winbind enum groups = yes winbind enum users = yes # Использовать домен по умолчанию для имён пользователей. Без этой опции имена пользователей и групп # будут использоваться с доменом, т.е. вместо username - DOMAIN\username. # Возможно именно это вам и нужно, однако обычно проще этот параметр включить. winbind use default domain = yes # Если вы хотите разрещить использовать командную строку для пользователей домена, то # добавьте следующую строку, иначе в качестве shell'а будет вызываться /bin/false template shell = /bin/bash # Для автоматического обновления билета Kerberos модулем pam_winbind.so нужно добавить строчку winbind refresh tickets = yesТеперь перезапустите демон Winbind и Samba в следующем порядке: sudo /etc/init.d/winbind stopsudo smbd restartsudo /etc/init.d/winbind startЗапускаем sudo testparmСмотрим есть ли ошибки или предупреждения, если появится:
«rlimit_max: rlimit_max (1024) below minimum Windows limit (16384)»
Без перезагрузки можно устранить так: ulimit -n 16384Для сохранения после перезагрузки отредактировать файл /etc/security/limits.conf # Добавить в конец файла строки:* - nofile 16384root - nofile 16384После перезапуска проверьте, что Winbind установил доверительные отношения с AD командой: # wbinfo -tchecking the trust secret for domain DCN via RPC calls succeededА так же, что Winbind увидел пользователей и группы из AD командами: wbinfo -uwbinfo -gЭти две команды должны выдать список пользователей и групп из домена соответственно. Либо с префиксом DOMAIN\, либо без него - в зависимости от того, какое значение вы указали параметру «winbind use default domain» в smb.conf. Внимание! Обычно на этом шаге wbinfo может дать сбой и, при выполнении двух последних команд он ничего не выводит, поэтому, чтобы избежать лишних исправлений в конфигурационных файлах, перепроверьте время, поскольку оно могло сбиться, а также сразу проверьте работу протокола Kerberos, выполнив команду kinit.
Популярное: Личность ребенка как объект и субъект в образовательной технологии: В настоящее время в России идет становление новой системы образования, ориентированного на вхождение... Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... Генезис конфликтологии как науки в древней Греции: Для уяснения предыстории конфликтологии существенное значение имеет обращение к античной... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (174)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |