Новые ответы

Сложности с Debian 10 в качестве клиентской машины члена АД,

dr.anatolij, 03-Авг-19, 21:23 [смотреть все]

Коллеги, приветствую. Задачу которую поставил перед собой, решить удалось лишь частично, потому нуждаюсь в ваших комментариях и помощи.
Что планировалось:
В качестве экономии ресурсов, как железа (память и ssd), так и финансов (лицензии MS) и особенно учитывая то, что клиентские машины используются лишь как терминалки, и на их стороне максимум IRC-клиент стоит, и сетевая шара, показалось не плохим вариантом вместо платной операционной системы, выбрать бесплатную.
Что получилось:
В качестве клиентских систем тестировались Mint, Lubuntu, Debian
По итогу тестирования, самым стабильным дистрибутивом показался Debian, а самым привычным конечному пользователю интерфейсом KDE.
В домен ввел 4 строчками и незначительными правками krb5.conf
sudo apt install realmd samba-common-bin samba-libs sssd-tools krb5-user adcli
sudo realm discover dc.com
sudo realm --verbose join dc.com -U YourDomainAdmin
sudo pam-auth-update (тут выбрал создание папки пользователя при логине)
kinit, klist продемонстрировали, что все успешно. Так как основной целью использования AD была именно авторизация, я посчитал, что задача выполнена.
При тестировании возникло форменное безобразие. При логине от своего имени, создалась папка формата admin1@dc.com я закинул ее в sudoers.conf и уже из под нее установил irc
Затем, в качестве тестирования я зашел под второй учетной записью, создалась вторая папка пользователя, и мой irc успешно "автозапустился" уже под другим пользователем, используя учетные данные первого. Я только начал настраивать безопасность. Понимаю, что профили пользователей, аналогичные Виндовым, вряд ли создадутся. Даже особенно не удивлен тем, что в "пользователях и группах" доменных пользователей не вижу. Но все же, как можно было бы избежать подобной некрасивости? Я разберусь с настройкой сетевых шар, что-нибудь придумаю с паролем на Grub, и возможно, с параметрами монтирования ОС (чтобы с внешних дисков никак не делали безобразий), разберусь с udev и всеми типа монтирования юсб и прочих устройств, но вот эта ситуация с "профилями" просто выбила из коллеи.
Если можно, подскажите, как подобного избежать.
Всем добра. Не судите строго, я только перехожу на сторону добра и света.
Спасибо!

Ответить | Сообщить модератору

Сложности с Debian 10 в качестве клиентской машины члена АД, ACCA, 04:26 , 10-Авг-19 (1)
У шапок есть подробная инструкция - https://access.redhat.com/documentation/en-us/red_hat_enterp...
Есть альтернативный подход - выбросить AD и использовать FreeIPA. Сразу отпадают грабли вроде папок вида admin1@dc.com. Из приятных фишек - NFSv4 сильно быстрее SAMBA.
Ответить | Сообщить модератору

Сложности с Debian 10 в качестве клиентской машины члена АД, dr.anatolij, 15:18 , 11-Авг-19 (2)
Александр, спасибо большое. Как с вами можно связаться? (если есть такая возможность). Нуждаюсь в консультациях.
Ответить | Сообщить модератору

Сложности с Debian 10 в качестве клиентской машины члена АД, ACCA, 08:02 , 13-Авг-19 (3)
> Нуждаюсь в консультациях.
Сейчас это будет очень неудобно. Чем можно - помогут здесь.
Там особо нечего консультировать - софт нужно ставить однотипный на всех машинах, домашние каталоги юзеров монтировать через NFSv4.
FreeIPA ставится с полпинка, но нужно всё делать аккуратно - и прямая зона в DNS должна быть уникальная, и обратную зону не полениться сделать. Особо обрати внимание на NTP - часы на всех машинах должны идти правильно, иначе Kerberos работать не будет.
Из необычного - с FreeIPA лучше не пользоваться DHCP. Хаки существуют, но, строго говоря, они вредны. Новый компьютер не должен автоматически получать адрес в твоей сети.
Ответить | Сообщить модератору