Конфигурация Astra linux kerberos samba

Обновлено: 03.07.2024

Kerberos — это протокол аутентификации, использующий криптографию с секретным ключом. Существует несколько реализаций протокола Kerberos, используемых как в коммерческом программном обеспечении, так и в программном обеспечении с открытым исходным кодом. В этом руководстве рассматривается настройка сервера и клиентов Samba для использования служб проверки подлинности Kerberos.

Подробные инструкции по интеграции Samba с Active Directory доступны на вики Samba.

На связанной странице указано расположение файлов конфигурации PAM для Red Hat. В Ubuntu файлы конфигурации PAM находятся в каталоге /etc/pam.d/. Разделы auth, account и passwd разделены на три файла в Ubuntu: /etc/pam.d/common-auth для разделов auth; /etc-pam.d/common-account для разделов учетной записи; и /etc/pam.d/common-passwd для разделов пароля.

Ubuntu версии 9.04 (Jaunty Jackalope) и новее автоматически обновляет файлы конфигурации PAM с помощью утилиты pam-auth-update. В предыдущих версиях файлы конфигурации нужно было редактировать вручную.

Инструкции по установке и настройке MIT Kerberos доступны на его вики-странице. Samba — это просто еще одна служба для Kerberos, поэтому, чтобы позволить Samba аутентифицировать пользователей через Kerberos, просто сгенерируйте участника для сервера Samba, поместите служебный ключ в keytab и настройте Samba для его использования.

Вот пошаговое руководство:

<р>1. Запустите утилиту kadmin от имени администратора области или от имени пользователя, которому разрешено добавлять участников:

<р>2. В интерфейсе kadmin введите следующую команду:

<р>3. Создайте keytab для нового принципала:

Обязательно укажите тип шифрования. Тип шифрования по умолчанию несовместим с клиентскими утилитами Samba.

<р>4. Надежно скопируйте keytab в /etc/krb5.keytab на сервере, на котором будет работать Samba.

<р>5. Убедитесь, что только пользователь root может получить доступ к таблице ключей:

<р>6. Отредактируйте файл smb.conf (по умолчанию находится в папке /etc/samba/), как показано ниже:

Опция сервера паролей требуется только в том случае, если вы собираетесь использовать сервер паролей, отличный от настроенного в /etc/krb5.conf.

<р>7. Перезапустите Samba:

Администрирование пользователей

Добавить пользователей в базу данных Kerberos с помощью интерфейса kadmin:

Имя области является необязательным в правильно настроенных средах Kerberos.

Вам будет предложено ввести пароль для пользователя. После добавления пользователя вы сможете получать билеты на выдачу билетов с помощью kinit из любой системы, настроенной для аутентификации с использованием вашего домена Kerberos. Дополнительные сведения см. на странице Kerberos.

Обратите внимание, что Samba сопоставляет аутентифицированных пользователей системным пользователям. Это означает, что если вы добавите в базу данных Kerberos пользователя, который не существует в качестве системного пользователя, вы не сможете пройти аутентификацию с использованием своих учетных данных Kerberos, пока пользователь с таким же именем не будет добавлен в качестве системного пользователя. Дополнительные сведения о добавлении пользователей см. в разделе AddUsersHowto. Другие варианты, такие как извлечение информации о пользователе из LDAP, возможны, но выходят за рамки этого руководства.

Существование пользователя можно проверить с помощью этой команды:

Если все в порядке, отобразится список активных общих ресурсов.

Samba/Kerberos (последним удаленным пользователем rotfl-s 09.12.2012 13:09:02)

Материалы этой вики доступны по бесплатной лицензии, подробности см. в разделе Авторские права / Лицензия
Вы можете внести свой вклад в эту вики, подробности см. в Руководстве по вики

В англоязычной документации для обозначения процесса Samba при выполнении роли AD DC используется термин "provisioning", в официальном переводе на русский язык термин "Назначение".

Выполнение Назначения требует наличия привилегий суперпользователя (в Astra Linux Special Edition - суперпользователя с высоким уровнем владения) для создания конфигурационных файлов и установки прав доступа. После выполнения Назначения служба smbd перестанет работать, а службы winbind,nmbd, krb5-kdc перейдут под управление доменной службы samba-ad-dc. Однако после установки всех пакетов все эти службы автоматически запускаются и перед выполнением Приведенные дополнительные сценарии

Samba версии 4.0 может работать как контроллер домена (контроллер домена, DC) Active Directory (AD).

При использовании Samba в качестве DC AD в условиях реальной эксплуатации
рекомендуется использовать два или более DC для обеспечения отказоустойчивости.

Эта статья рассказывает, как настроить Samba как первый DC в домене, чтобы создать новый лес AD.
Дополнительно, эту статью можно использовать для использования из домена Samba NT4 в домене Samba AD.

Если требуется подключить Samba к уже существующему доменному лесу AD, как дополнительный DC

  • Для быстрого подключения с помощью графического инструмента fly-admin-ad-server см. Samba: инструменты Astra Linux для быстрого выбора
  • Подробные инструкции см. Присоединение Samba DC к существующему домену Active Directory.

Samba в сборе в ролике AD DC поддерживает:

  • Интегрированный сервер LDAP как база данных AD. Подробности см. Подключена работа Samba AD DC с OpenLDAP или другими службами LDAP;
  • Авторизация через службу Kerberos Key Distribution Center (KDC). Подключены варианты MIT KDC и Heimdal KDC;
    Поставляемая в состав Astra Linux Samba использует MIT KDC, также поставляемый в составе этой ОС;
  • Работу с региональным сервером DNS;
  • Работа с федеральным сервером DNS (в примере ниже следует работа с сервером DNS BIND9).

Подготовка к установке

  • Выберите имя хоста для вашего AD DC. Не рекомендуется использовать в качестве имен хостов такие идентификаторы, как PDC или BDC, унаследованные от NT4. Эти сущности отсутствуют в AD, и такие названия вызывают путаницу;

Выберите DNS-имя для вашего доменного леса AD. Это имя также будет использовано как имя области (области) Kerberos AD ;

Для создания домена AD використовуйте DNS-имя, которое невозможно изменить. Samba не поддерживает переименование зоны DNS AD и распространения Kerberos.

Отключите инструменты (например, resolvconf), которые автоматически обновляют файл конфигурации DNS /etc/resolv.conf.
AD DC и состав домена должны использовать сервер DNS, способный разрешить зону DNS AD . Если в сети нет других серверов DNS, то файл /etc/resolv.conf должен указывать адрес самого сервера:

Убедитесь, что файл /etc/hosts на DC корректно разрешает полное доменное имя (полное доменное имя, FQDN) и короткое имя хоста DC во внешнем сетевом IP-адресе DC. Например:

Имя хоста не должно разрешаться в IP-адресе 127.0.0.1 или в любом другом IP-адресе, кроме использования на внешнем сетевом интерфейсе DC.
Для проверки правильности настроек можно использовать команду:

Если Samba уже была установлена ​​(настроена)

Если Samba уже была установлена ​​(настроена):

  • Проверено, что все процессы Samba остановлены:
    • При наличии вывода команды показывает любой из процессов samba, smbd, nmbd или winbindd, то остановите эти процессы и запретите их автоматический запуск:
    • Пакет (apt install winbind) называется winbind с одним 'd';
    • Процесс (ps факс | grep winbindd) называется winbindd с двумя 'dd';
    • Сервис (sytemsctl status winbind) называется winbind с одним 'd';
    • Удалите все файлы, содержащие файлы Samba smb.conf. Чтобы получить список путей к этим файлам:
      • Удалите все файлы баз данных Samba (*.tdb и *.ldb). Чтобы получить список путей к этим файлам:

      sudo smbd -b | egrep "LOCKDIR|STATEDIR|CACHEDIR|PRIVATE_DIR"
      LOCKDIR: /usr/local/samba/var/lock/
      STATEDIR: /usr/local/samba/var/locks/
      CACHEDIR: /usr/local/samba/var/cache/
      PRIVATE_DIR: /usr/local/samba/private/

      Только поможет полная очистка настроек предотвращения ошибок и настроек, что никакие файлы из других настроек Samba не попадут в новые DC.

      • Если существует файл настроек Kerberos /etc/krb5.conf, также удалите его:

      Пакет samba входит в дистрибутивы Astra Linux, и может быть установлен с помощью графического менеджера пакетов,
      или из командной команды

      Отдельно установленный пакет samba может быть использован как сервер файлов или сервер печати. Для использования samba в качестве домена AD необходимо установить пакет samba и дополнительные пакеты:

      sudo apt install samba winbind libpam-winbind libnss-winbind libpam-krb5 krb5-config krb5-user krb5-kdc bind9

      Подготовительные команды

      Перед назначением останавливаем ненужные службы, запрещаем их запуск и удаляем установленную по умолчанию настройку Samba:

      sudo systemctl stop winbind smbd nmbd krb5-kdc
      sudo systemctl mask winbind smbd nmbd krb5-kdc
      sudo rm /etc/samba/smb.conf

      Назначение

      Назначение увеличено с помощью команды предоставления домена samba-tool. Эта команда поддерживает возможность выполнения настроек в интерактивном или автоматическом режиме. Подробности см.:


      При создании нового домена AD рекомендуется сразу включить так называемые доменные имена NIS (расширения NIS), передав инструменту samba-tool параметр предоставления домена --use-rfc2307.
      Это допустимо хранить в AD специфические атрибуты Unix. :

      • Числовые идентификаторы пользователей (UID);
      • Пути по интересам каталогам;
      • Идентификаторы группы.

      Включение расширений NIS при установке не включает никаких побочных эффектов, а их включение в существующем домене требует ручного подключения схемы AD.

      Подробности см. в:

      Описание возможных параметров Назначения

      При назначении проверки могут быть получены следующие результаты:

      Выбирает службу DNS.

      Варианты службы NONE и BIND9_FLATFILE более не верные.

      Устанавливает пароль администратора домена.

      Заданный пароль не будет соответствовать требованиям по сложности, назначение не будет выполнено.

      Другие параметры, часто используемые в загрузке домена samba-tool:

      --option="interfaces=lo eth0" --option="bind interfaces only=yes": Это весело: samba-tool зарегистрировать корректный сетевой адрес при настройке.

      • Не використовуйте NONE как службу DNS, эта возможность больше не подвержена риску;
      • При сборе в качестве службы службы DNS BiIND, не використовуйте версию BIND9_FLATFILE, эта возможность больше не понятна;
      • После настройки первого контроллера домена в домене AD не настраивайте больше таким образом никакие другие контроллеры домена в этом домене, використовуйте возможность присоединения (присоединения) к остальным контроллерам домена.

      Назначение Samba в интерактивном протоколе

      Для выполнения Назначения в интерактивном протоколе выполнения команды:

      предоставление домена sudo samba-tool --use-rfc2307 --interactive

      Интерактивный режим поддерживает различные параметры команды предоставления домена samba-tool, что позволяет задавать настройки, не содержащиеся в интерактивном диалоге.

      Назначение Samba в автоматическом режиме

      Для примера использования Samba в автоматическом режиме используются параметры:

      Для взятия под контроль команды назначения будет выглядеть так:

      Завершающие команды

      После успешного выполнения команды Назначения:

      Подробная команда для проверки результатов проверки домена домена в статье Присоединение Samba к существующему домену AD. Разница только в том, что домена AD сейчас нет, сервер только один, соответственно, опрашивать нужно только один сервер, и в ответах будет только один сервер.

      С помощью команды samba-tool dns zonecreate м ожно добавить необязательную реализацию реверсивного поиска:

      Если требуется использование нескольких реверсивных зон, просто выполните команду несколько раз с настройками параметров подсетей.
      Изменение реверсивных зон не требует перезапуска сервисов Samba или BIND.

      Настройка времени

      Для нормальной рабочей службы Kerberos требуется синхронизация времени всех участников домена. Подробности см. в настройке NTP или в Синхронизации времени.

      Участники домена AD используются для поиска сервисов DNS, например, таких, как LDAP и Kerberos. Для этого они должны использовать сервер DNS, способный разрешить зону DNS AD.

      Если в системе используется сервер DHCP, то в его работе можно указать имя домена, которое будет передано всем хостам по запросу адреса Подробнее см. DHCP

      Помимо использования DHCP, присутствие на конкретном сервере можно использовать непосредственным образом на хостах - наличие домена в файле /etc/resolv.conf.
      Для этого обнаруживаются в файле:

      • имя домена DNS AD как имя домена для поиска,
      • IP-адрес вашего контроллера домена как параметр сервера имен.

      Разрешение имён для клиентских машин

      После выполнения вышеуказанных настроек сервер DNS не может получать и, соответственно, выдавать информацию об именах и IP-адресах клиентских машин.

      Если в домене используются клиентские машины, получающие охват IP-адреса от сервера DHCP, сервер DNS может быть настроен на получение информации о выданных адресах. Примерный порядок см. в статье Динамическое обновление DNS клиентских машин FreeIPA;

      Если в домене используются клиентские машины, объекты присваиваются готовым образом, то:

      1. Можно использовать для присвоения проверенных адресов сервера DHCP с полным обновлением адресов;
      2. Можно вручную назначить имя и адрес для каждого такого клиента. См. Администрирование DNS.

      Кербер

      При работе в домене AD, Kerberos используется для аутентификации пользователей, хостов и сервисов.

      Процедуры установки и настройки клиентов Kerberos см. Керберос

      Во время процедуры назначения Samba автоматическим образом создается конфигурационный файл /var/lib/samba/private/krb5.conf для клиентов Kerberos, настроенный на принимаемый DC.

      В автоматически создаваемом файле сборки Kerberos для поиска доменного контроллера Kerberos (KDC) используются сервисные записи (SRV). Для того, чтобы такая настройка работала корректно, в домене должны быть правильно настроены и работали службы, в том числе отображались файлы зоны, в которых размещались временные сервисные записи (см. статью DNS-сервер BIND9).

      Во время выделения автоматически разделяемых ресурсов netlogon и sysvol, и они обязательно должны существовать в DC. Чтобы увидеть все разделяемые ресурсы, поисковые DC:

      Домен=[SAMDOM] ОС=[Unix] Сервер=[Samba x.y.z]

      Sharename Type Comment
      --------- ---- -------
      netlogon Disk
      sysvol Disk
      IPC$ IPC IPC Служба (Samba xyz)
      Домен=[SAMDOM] ОС=[Unix] Сервер=[Samba xyz]

      Для проверки работы аутентификации, подключитесь к ресурсу netlogon с использованием учётной записи администратора домена:

      Введите пароль администратора:
      Домен=[SAMDOM] OS=[Unix] Server=[Samba x.y.z]
      . D 0 Вт 1 ноября 08:40:00 2016
      .. D 0 Вт 1 ноября 08:40:00 2016

      49386 блоков размером 524288. Доступно 42093 блока

      Для управления Samba AD DC в состав пакета Samba входит инструмент командной строки samba-tool.

      Основные команды инструмента:

      Подробная информация об инструменте доступна в справочнике man:

      Инструмент wbinfo

      При установке пакета службы samba автоматически устанавливается winbindd.

      Для работы с этой службой используется инструмент командной строки wbinfo,
      позволяющий получать информацию о пользователях и помещениях AD.

      КомандаОписание
      wbinfo -uВывести список пользователей
      wbinfo -g Вывести список групп
      wbinfo -i имя_пользователя Вывести подробную информацию о пользователе
      wbinfo -?
      wbinfo --help      		Вывести справку по командам

      По умолчанию настройки домена домена AD не выполняются входом в Linux-системы.
      Для этого входа в Linux-системы с учетными записями Active Directory необходимо получить доступ к изменениям в Samba AD DC на обнаруженных компьютерах.

      Настрока Samba AD DC

      В настройке конфигурационного файла Samba /etc/samba/smb.conf необходимо добавить службы winbind и разрешение авторизоваться через службу (добавленные строки, выделенные жирным шрифтом):

      template shell = /bin/bash
      winbind use default domain = true
      winbind offline logon = false
      winbind nss info = rfc2307

      пользователи перечисления winbind = да
      группы перечисления winbind = да

      После внесения изменений проверка правильности составления команды

      Настройка компьютеров

      На пользовательском компьютере/компьютере:

      Я уверен, что включены все профили PAM.
      При исключении возможности аутентификации winbind, используя обнаружение "пробел".
      По определению "Вкладка", перейдите на "ОК", и получите изменения.

      В файле /etc/nsswitch.conf добавить слово winbind параметры пароля и группы:

      passwd: compat winbind
      группа: compat winbind
      shadow: compat

      хосты: файлы DNS
      сети: файлы

      протоколы: файлы db
      сервисы: файлы db
      эфиры: файлы db
      rpc: файлы db

      Чтобы пользователи AD после аутентификации могли изменить свой пароль из командной строки
      в файле /etc/pam.d/common-password из строки password [success=1 default=ignore] pam_winbind.so use_authtok try_first_passfile слово use_authtok заявление:

      Не рассматривая то, что Samba в протоколе AD DC может использовать услуги выбора файлов так, как и в любом другом примере применения, разработчкики Samba не рекомендуется использовать DC как файлы на севере по предложению набора:

      • Для всех организаций, за исключением самых маленьких, наличие более, чем одного DC, является реально хорошей возможностью резервирования, повышающим безопасность обновлений;
      • Отсутствие сложного набора данных и анализ других сервисов разрешений версии DC совместно с хостом ОС на выбор год или два;
      • Обновление запускает выполнение пути установки новых версий, или внесения изменений, которые лучше проверены в Samba, что позволяет получить новые возможности, избежав анализа, подвергается риску с применением данных;
      • Необходимость расширения DC и файлового сервера наступает в разные моменты. Потребность в новых возможностях DC и файлового сервера возникают в разные моменты времени. В то время, как AD DC развивается, приобретает новые возможности, файловый сервер, после более чем 20 лет, значительно более консервативен;
      • обязательное подписание smb применяется на контроллере домена.

      Если вы оцените возможность использования Samba DC в качестве файлового сервера, рассмотрите вместо этой возможности использовать на DC виртуальную машину VM, содержащую определенный набор доменов.

      Если вы используете Samba DC в качестве файлового сервера, помните, что виртуальная файловая система (виртуальная файловая система, VFS) позволяет использовать разделяемые ресурсы только со списками управления доступом (списки управления, ACL) Windows.
      Разделяемые ресурсы с ACL POSIX на Samba DC не встречается, и не работает.

      Для предоставления сетевх разделяемых ресурсов с полным охватом Samba, використовуйте отдельный домен Samba.

      Если у вас небольшой домен (маленький офис, домашняя сеть), нет желания следовать рекомендации, связанной с Samba, и DC, используемый в качестве файлового сервера, настраивать Winbindd до начала разрабатываемых ресурсов.
      Подробности см.: Настройка Winbindd на сервере Самба AD DC.

      Эта документация поможет вам устранить проблемы, с которыми пользователи могут столкнуться при запуске Samba в качестве члена леса Active Directory (AD) или домена NT4.

      Настройка уровня журнала Samba

      Команде net не удается подключиться к IP-адресу 127.0.0.1

      Используя настройки по умолчанию, команда net подключается к IP-адресу 127.0.0.1. Если Samba не прослушивает петлевой интерфейс, соединение не устанавливается. Например:

      Чтобы решить эту проблему, настройте Samba для дополнительного прослушивания интерфейса обратной связи. Дополнительные сведения см. в разделе Настройка Samba для привязки к определенным интерфейсам.

      В качестве альтернативы, чтобы временно обойти проблему, передайте параметр -I IP_address или -S host_name команде net.

      getent не находит пользователей и группы домена

      Вы используете getent passwd или getent group? Использование этих команд без winbind enum users = yes и windbind enum groups = yes в smb.conf не отобразит никаких пользователей и групп домена. Добавление строк имеет недостаток: оно замедляет работу, и чем больше у вас пользователей и групп, тем медленнее может работать работа, поэтому вам следует добавлять эти строки только в целях тестирования.


      Если getent passwd demo01 ничего не возвращает, попробуйте

      если это работает, а первое нет, вам может потребоваться добавить следующую строку в файл smb.conf

      Устранение неполадок в процедуре присоединения к домену

      Домен DNS не настроен. Не удается выполнить обновление DNS.

      При присоединении хоста к Active Directory (AD) команде net не удается обновить DNS:

      Обратите внимание, что присоединение прошло успешно, и произошла ошибка только при обновлении DNS.

      После присоединения клиента к домену команда net ищет полное доменное имя (FQDN) с помощью библиотек переключателя службы имен (NSS). Если полное доменное имя не может быть разрешено, например, с помощью DNS или файла /etc/hosts, обновление DNS завершается ошибкой.

      Чтобы решить проблему:

      • Добавьте IP-адрес и полное доменное имя в файл /etc/hosts. Например:
      • Повторно запустите команду присоединения к сетевой рекламе.

      Если динамические обновления DNS по-прежнему не работают, проверьте на DNS-сервере AD, что динамические обновления работают.

      Не удалось обновить DNS: ERROR_DNS_UPDATE_FAILED

      При присоединении хоста к Active Directory (AD) сети не удается обновить DNS:

      Обратите внимание, что присоединение прошло успешно, и произошла ошибка только при обновлении DNS.

      Чтобы решить проблему:

      • Проверьте на контроллере домена Samba (DC), работают ли динамические обновления DNS. Дополнительные сведения см. в разделе Тестирование динамических обновлений DNS.
      • Повторно запустите команду присоединения к сетевой рекламе.

      Не удалось обновить DNS: ERROR_DNS_GSS_ERROR

      При использовании серверной части BIND9_DLZ динамические обновления DNS могут завершиться ошибкой из-за неправильной настройки Kerberos на контроллере домена AD (DC), на котором запущен DNS-сервер:

      При присоединении хоста к AD команда net завершается со следующей ошибкой:

      Kerberos требует синхронизированного времени для предотвращения повторных атак. Местное время не должно отличаться от ДЦ более чем на 5 минут.

      Чтобы устранить проблему, установите правильное время и снова запустите команду присоединения к сетевой рекламе.

      Не удалось присоединиться к домену: не удалось найти контроллер домена для домена SAMDOM — неопределенная ошибка

      При присоединении хоста к Active Directory (AD) команде net не удается найти контроллер домена (DC):

      Samba использует DNS-запросы и широковещательные рассылки для обнаружения контроллеров домена при присоединении к домену. Если оба метода не работают, отображается ошибка Не удалось найти контроллер домена для домена SAMDOM - Неопределенная ошибка.

      В качестве краткосрочного решения вы можете передать команде параметр "-S" и имя контроллера домена. Например:

      Однако в AD важна правильная конфигурация DNS. Чтобы избежать будущих проблем, связанных с неправильной конфигурацией DNS, правильно настройте конфигурацию преобразователя DNS. Дополнительные сведения см. в разделе Конфигурация DNS для Linux и Unix.

      Winbind и проблемы с аутентификацией

      Утилита getent не может вывести список всех пользователей или групп домена

      Если утилита getent может вывести список отдельных пользователей или групп домена, но команда getent passwd или getent group не может вывести список всех пользователей или групп домена:

      • Убедитесь, что коммутатор службы имен (NSS) может использовать библиотеку libnss_winbind. Дополнительные сведения см. в разделе Ссылки на libnss_winbind.
      • Включите следующие параметры в файле smb.conf:
      • Перезагрузить Samba:

      Сбой подключения к члену домена Samba после добавления оператора включенного в файл /etc/krb5.conf

      При подключении к члену домена Samba Active Directory (AD) происходит сбой подключения и регистрируется следующая ошибка, если для параметра уровня журнала в разделе [global] файла smb.conf установлено значение 3 или выше:

      Сбой подключения, так как Samba не может обработать включенные операторы в файле /etc/krb5.conf.

      Обратите внимание, что обновление пакетов Kerberos в вашей операционной системе может автоматически добавить этот оператор, чтобы разрешить включение фрагментов конфигурации. Например, при обновлении члена домена Samba AD с помощью немодифицированного файла /etc/krb5.conf с Red Hat Enterprise Linux 7.2 на 7.3 автоматически добавляется оператор includeir, и клиенты не могут подключиться к члену домена Samba.

      Чтобы обойти эту проблему, удалите оператор includeir из файла /etc/krb5.conf.


      < /p>

      Руководство

      В этом обнаружении мы обсудим, как интегрировать Linux-серверы (Centos/RHEL) с Windows Active Directory в аутентификации.

      Выполните следующие шаги, чтобы интегрировать эти серверы с AD с помощью samba, winbind и Kerberos.

      Шаг 1: Устанавливаем пакеты samba-winbind и kerberos.

      Шаг 2: Синхронизация времени.

      AD очень требователен к соответствию времени при аутентификации.

      Поэтому время сервера linux и сервера AD должно быть синхронизировано с сервером ntp.

      Используйте приведенную ниже команду для сбора времени сервера Linux с сервером ntp.

      Чтобы сделать избыточную настройку стабильности, отредактируйте файл «/etc/ntp.conf» и просто замените его на один или несколько NTP-серверов в этом домене, например:

      Шаг 3: Отредактируйте файл /etc/hosts.

      Шаг 4: Отредактируйте файл /etc/krb5.conf.

      Шаг 5: Теперь протестируйте аутентификацию Kerberos.

      Если он запросит пароль, введите пароль пользователя ad, если все в порядке, по нашему приглашению, в случае необходимости перепроверьте файл krb5.conf.

      Шаг 6: Теперь настройте Samba и Winbind.

      Отредактируйте файл /etc/samba/smb.conf.

      Шаг 7: Настройте файл /etc/nsswitch.conf для обработки аутентификации.

      Шаг 8: Теперь перезапуск службы winbind и Samba.

      Теперь присоединитесь к домену:

      При наличии команды сообщает «Присоединиться в порядке», проверьте winbind:

      Команда для составления списка всех пользователей AD:

      Шаг 9: Теперь проведите тестирование и попробуйте войти на сервер linux с помощью учетных данных пользователя AD.



      Все, что здесь находится, будет заменено в браузерах, поддерживающих элемент canvas

      Команда su – это специальная Linux, которая разрешает использование команды от имени другого пользователя и группы. Она также позволяет переключиться на корневую учетную запись (если более высокая без аргументов) или другую указанную учетную запись пользователя. По умолчанию доступ к игре su разрешен всем пользователям. Но как системный администратор, вы можете запретить доступ к su для [...]

      Возможность обнаружения задач с использованием скриптов Bash в Linux является наиболее часто используемой системой обнаружения. Однако из-за наличия множества компонентов скриптов это может быть пугающим для новичков. Даже опытные пользователи время от времени могут что-то забыть, поэтому мы затрагиваем эту шпаргалку Bash. В такие моменты очень удобно собирать список компонентов Bash, […]

      Введение Развертывание контейнеров – это практический метод обеспечения переносимости, масштабируемости и гибкости в мире DevOps. От тестирования до продажи, контейнеры облегчают весь процесс разработки программного обеспечения. Платформы для управления и оркестрации контейнеров были разработаны так, чтобы быть реализованными и естественными для конечного пользователя. Однако сами платформы сложны и возникают из возникающих скоординированных проектов. В этом […]

      Целью nist-data-mirror является возможность предлагать данные об уязвимостях NIST внутри брандмауэра компании, чтобы использовать локальный (более быстрый) доступ к данным NIST.nist-data-mirror не зависит от каких-либо внешних зависимостей, только от основных библиотек Java SE. Его можно использовать в оценке с [OWASP Dependency-Check], чтобы выбрать Dependency-Check зеркально используемую информацию NIST. OWASP DependencyCheck – открытое публичное […]

      Читайте также: