The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Сложности с Debian 10 в качестве клиентской машины члена АД"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Samba, вопросы интеграции Unix и Windows (Разное)
Изначальное сообщение [ Отслеживать ]

"Сложности с Debian 10 в качестве клиентской машины члена АД"  +1 +/
Сообщение от dr.anatolij (ok), 03-Авг-19, 21:23 
Коллеги, приветствую. Задачу которую поставил перед собой, решить удалось лишь частично, потому нуждаюсь в ваших комментариях и помощи.

Что планировалось:

В качестве экономии ресурсов, как железа (память и ssd), так и финансов (лицензии MS) и особенно учитывая то, что клиентские машины используются лишь как терминалки, и на их стороне максимум IRC-клиент стоит, и сетевая шара, показалось  не плохим вариантом вместо платной операционной системы, выбрать бесплатную.

Что получилось:

В качестве клиентских систем тестировались Mint, Lubuntu, Debian
По итогу тестирования, самым стабильным дистрибутивом показался Debian, а самым привычным конечному пользователю интерфейсом KDE.
В домен ввел 4 строчками и незначительными правками krb5.conf

sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli
sudo realm discover dc.com
sudo realm --verbose join dc.com -U YourDomainAdmin
sudo pam-auth-update (тут выбрал создание папки пользователя при логине)

kinit, klist продемонстрировали, что все успешно. Так как основной целью использования AD была именно авторизация, я посчитал, что задача выполнена.

При тестировании возникло форменное безобразие. При логине от своего имени, создалась папка формата admin1@dc.com я закинул ее в sudoers.conf и уже из под нее установил irc
Затем, в качестве тестирования я зашел под второй учетной записью, создалась вторая папка пользователя, и мой irc успешно "автозапустился" уже под другим пользователем, используя учетные данные первого. Я только начал настраивать безопасность. Понимаю, что профили пользователей, аналогичные Виндовым, вряд ли создадутся. Даже особенно не удивлен тем, что в "пользователях и группах" доменных пользователей не вижу. Но все же, как можно было бы избежать подобной некрасивости? Я разберусь с  настройкой сетевых шар, что-нибудь придумаю с паролем на Grub, и возможно, с параметрами монтирования ОС (чтобы с внешних дисков никак не делали безобразий), разберусь с udev и всеми типа монтирования юсб и прочих устройств, но вот эта ситуация с "профилями" просто выбила из коллеи.
Если можно, подскажите, как подобного избежать.
Всем добра. Не судите строго, я только перехожу на сторону добра и света.

Спасибо!

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Сложности с Debian 10 в качестве клиентской машины члена АД"  +/
Сообщение от ACCA (ok), 10-Авг-19, 04:26 
У шапок есть подробная инструкция - https://access.redhat.com/documentation/en-us/red_hat_enterp...

Есть альтернативный подход - выбросить AD и использовать FreeIPA. Сразу отпадают грабли вроде папок вида admin1@dc.com. Из приятных фишек - NFSv4 сильно быстрее SAMBA.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Сложности с Debian 10 в качестве клиентской машины члена АД"  +/
Сообщение от dr.anatolij (ok), 11-Авг-19, 15:18 
Александр, спасибо большое. Как с вами можно связаться? (если есть такая возможность). Нуждаюсь в консультациях.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Сложности с Debian 10 в качестве клиентской машины члена АД"  +/
Сообщение от ACCA (ok), 13-Авг-19, 08:02 
> Нуждаюсь в консультациях.

Сейчас это будет очень неудобно. Чем можно - помогут здесь.

Там особо нечего консультировать - софт нужно ставить однотипный на всех машинах, домашние каталоги юзеров монтировать через NFSv4.

FreeIPA ставится с полпинка, но нужно всё делать аккуратно - и прямая зона в DNS должна быть уникальная, и обратную зону не полениться сделать. Особо обрати внимание на NTP - часы на всех машинах должны идти правильно, иначе Kerberos работать не будет.

Из необычного - с FreeIPA лучше не пользоваться DHCP. Хаки существуют, но, строго говоря, они вредны. Новый компьютер не должен автоматически получать адрес в твоей сети.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру