Присоединить linux к домену linux

Обновлено: 03.07.2024

Помимо инстансов Amazon EC2 Windows, вы также можете присоединить определенные инстансы Amazon EC2 Linux к своему каталогу службы каталогов AWS для Microsoft Active Directory. Поддерживаются следующие дистрибутивы и версии экземпляров Linux:

AMI Amazon Linux 2018.03.0

Amazon Linux 2 (64-разрядная версия x86)

Red Hat Enterprise Linux 8 (HVM) (64-разрядная версия x86)

Ubuntu Server 18.04 LTS и Ubuntu Server 16.04 LTS

SUSE Linux Enterprise Server 15 SP1

Другие дистрибутивы и версии Linux могут работать, но не тестировались.

Присоединить экземпляр к вашему каталогу

Прежде чем вы сможете присоединить экземпляр Amazon Linux, CentOS, Red Hat или Ubuntu к своему каталогу, этот экземпляр необходимо сначала запустить, как указано в разделе Беспрепятственное присоединение к экземпляру Windows EC2.

Если неправильно выполнить некоторые из следующих процедур, ваш экземпляр может стать недоступным или непригодным для использования. Поэтому мы настоятельно рекомендуем вам сделать резервную копию или сделать снимок вашего экземпляра перед выполнением этих процедур.

Чтобы присоединить экземпляр Linux к вашему каталогу

Выполните шаги для вашего конкретного экземпляра Linux, используя одну из следующих вкладок:

Подключитесь к экземпляру с помощью любого SSH-клиента.

Настройте экземпляр Linux для использования IP-адресов DNS-серверов DNS-серверов, предоставляемых AWS Directory Service. Вы можете сделать это, настроив его в наборе параметров DHCP, прикрепленном к VPC, или настроив его вручную на экземпляре. Если вы хотите установить его вручную, см. раздел Как назначить статический DNS-сервер частному инстансу Amazon EC2 в Центре знаний AWS, чтобы получить рекомендации по настройке постоянного DNS-сервера для вашего конкретного дистрибутива и версии Linux.

Убедитесь, что ваш экземпляр Amazon Linux — 64-разрядная версия обновлен.

Установите необходимые пакеты Amazon Linux на свой экземпляр Linux.

Некоторые из этих пакетов могут быть уже установлены.

По мере установки пакетов может появиться несколько всплывающих экранов конфигурации. Как правило, вы можете оставить поля на этих экранах пустыми.

Чтобы определить, какую версию Amazon Linux вы используете, см. раздел Идентификация образов Amazon Linux в Руководстве пользователя Amazon EC2 для инстансов Linux.

Присоедините экземпляр к каталогу с помощью следующей команды.

Полное DNS-имя вашего каталога.

Настройте службу SSH, чтобы разрешить аутентификацию по паролю.

Откройте файл /etc/ssh/sshd_config в текстовом редакторе.

Установите для параметра PasswordAuthentication значение yes .

Перезапустите службу SSH.

После перезапуска инстанса подключитесь к нему с помощью любого SSH-клиента и добавьте группу AWS Delegated Administrators в список sudoers, выполнив следующие действия:

Откройте файл sudoers с помощью следующей команды:

Добавьте следующее в конец файла sudoers и сохраните его.

(В приведенном выше примере используется "\ " для создания символа пробела в Linux.)

Подключитесь к экземпляру с помощью любого SSH-клиента.

Убедитесь, что ваш экземпляр CentOS 7 обновлен.

Установите необходимые пакеты CentOS 7 в свой экземпляр Linux.

Некоторые из этих пакетов могут быть уже установлены.

Присоедините экземпляр к каталогу с помощью следующей команды.

Полное DNS-имя вашего каталога.

Настройте службу SSH, чтобы разрешить аутентификацию по паролю.

Откройте файл /etc/ssh/sshd_config в текстовом редакторе.

Установите для параметра PasswordAuthentication значение yes .

Перезапустите службу SSH.

Откройте файл sudoers с помощью следующей команды:

Добавьте следующее в конец файла sudoers и сохраните его.

(В приведенном выше примере используется "\ " для создания символа пробела в Linux.)

Подключитесь к экземпляру с помощью любого SSH-клиента.

Настройте экземпляр Linux для использования IP-адресов DNS-серверов DNS-серверов, предоставляемых AWS Directory Service. Вы можете сделать это, настроив его в наборе параметров DHCP, прикрепленном к VPC, или настроив его вручную на экземпляре.Если вы хотите установить его вручную, см. раздел Как назначить статический DNS-сервер частному инстансу Amazon EC2 в Центре знаний AWS, чтобы получить рекомендации по настройке постоянного DNS-сервера для вашего конкретного дистрибутива и версии Linux.

Убедитесь, что 64-разрядная версия Red Hat обновлена.

Установите необходимые пакеты Red Hat на свой экземпляр Linux.

Некоторые из этих пакетов могут быть уже установлены.

Присоедините экземпляр к каталогу с помощью следующей команды.

Полное DNS-имя вашего каталога.

Настройте службу SSH, чтобы разрешить аутентификацию по паролю.

Откройте файл /etc/ssh/sshd_config в текстовом редакторе.

Установите для параметра PasswordAuthentication значение yes .

Перезапустите службу SSH.

Откройте файл sudoers с помощью следующей команды:

Добавьте следующее в конец файла sudoers и сохраните его.

(В приведенном выше примере используется "\ " для создания символа пробела в Linux.)

Подключитесь к экземпляру с помощью любого SSH-клиента.

Убедитесь, что ваш экземпляр SUSE Linux 15 обновлен.

Подключить репозиторий пакетов.

Установите необходимые пакеты SUSE Linux 15 на свой экземпляр Linux.

Некоторые из этих пакетов могут быть уже установлены.

Присоедините экземпляр к каталогу с помощью следующей команды.

Полное DNS-имя вашего каталога.

Обратите внимание, что оба следующих возврата являются ожидаемыми.

Вручную включить SSSD в PAM.

Отредактируйте nsswitch.conf, чтобы включить SSSD в nsswitch.conf

Добавьте следующую строку в /etc/pam.d/common-session для автоматического создания домашнего каталога при первом входе в систему

Перезагрузите экземпляр, чтобы завершить процесс присоединения к домену.

Повторно подключитесь к экземпляру с помощью любого SSH-клиента, чтобы убедиться, что присоединение к домену успешно завершено, и завершить дополнительные действия.

Подтвердить, что экземпляр зарегистрирован в домене

Чтобы проверить состояние демона SSSD

Чтобы разрешить пользователю доступ через SSH и консоль

Чтобы разрешить группе домена доступ через SSH и консоль

Или разрешить доступ всем пользователям

Настройте службу SSH, чтобы разрешить аутентификацию по паролю.

Откройте файл /etc/ssh/sshd_config в текстовом редакторе.

Установите для параметра PasswordAuthentication значение yes .

Перезапустите службу SSH.

<р>13. После перезапуска инстанса подключитесь к нему с помощью любого SSH-клиента и добавьте группу AWS Delegated Administrators в список sudoers, выполнив следующие действия:

Откройте файл sudoers с помощью следующей команды:

Добавьте следующее в конец файла sudoers и сохраните его.

Подключитесь к экземпляру с помощью любого SSH-клиента.

Убедитесь, что ваш 64-разрядный экземпляр Ubuntu обновлен.

Установите необходимые пакеты Ubuntu на свой экземпляр Linux.

Некоторые из этих пакетов могут быть уже установлены.

Отключите обратное разрешение DNS и установите областью по умолчанию полное доменное имя вашего домена. Экземпляры Ubuntu должны иметь обратное разрешение в DNS, прежде чем область заработает. В противном случае вам необходимо отключить обратный DNS в /etc/krb5.conf следующим образом:

Присоедините экземпляр к каталогу с помощью следующей команды.

Полное DNS-имя вашего каталога.

Настройте службу SSH, чтобы разрешить аутентификацию по паролю.

Откройте файл /etc/ssh/sshd_config в текстовом редакторе.

Установите для параметра PasswordAuthentication значение yes .

Перезапустите службу SSH.

Откройте файл sudoers с помощью следующей команды:

Добавьте следующее в конец файла sudoers и сохраните его.

(В приведенном выше примере используется "\ " для создания символа пробела в Linux.)

Ограничение доступа к учетной записи

Поскольку все учетные записи определены в Active Directory, по умолчанию все пользователи в каталоге могут войти в экземпляр. Вы можете разрешить только определенным пользователям входить в экземпляр с помощью ad_access_filter в sssd.conf. Например:

Указывает, что пользователям должен быть разрешен доступ к экземпляру только в том случае, если они являются членами определенной группы.

Общее имя группы, у которой должен быть доступ. В этом примере имя группы — admins .

Это организационное подразделение, в котором находится указанная выше группа. В этом примере организационной единицей является Testou .

Это доменный компонент вашего домена. В этом примере пример .

Это дополнительный компонент домена. В этом примере ком .

Вы должны вручную добавить ad_access_filter в файл /etc/sssd/sssd.conf.

Откройте файл /etc/sssd/sssd.conf в текстовом редакторе.

После этого ваш файл sssd.conf может выглядеть следующим образом:

Чтобы конфигурация вступила в силу, необходимо перезапустить службу sssd:

В этом разделе показано, как присоединить виртуальную машину Linux к управляемому домену Microsoft AD с помощью демона служб безопасности системы (SSSD) со следующими дистрибутивами Linux:

Ubuntu 16.04 LTS
Red Hat Enterprise Linux (RHEL) 8.2 (необработанный)

Управляемая совместимость с Microsoft AD работает со многими дистрибутивами Linux и другими инструментами подключения. Узнайте об этих инструментах подключения с открытым исходным кодом.

Прежде чем начать

Прежде чем начать, убедитесь, что вы выполнили следующие задачи:

Создайте домен Active Directory, как описано в разделе Краткое руководство: создание домена.

Создайте виртуальную машину Linux. На шаге 4 на вкладке Общедоступные образы выберите соответствующий дистрибутив: Ubuntu 16.04 LTS или Red Hat Enterprise Linux 8.

Создайте виртуальную машину в проекте, в котором размещен управляемый домен Microsoft AD. (Если есть общий VPC, который является авторизованной сетью, вы также можете создать виртуальную машину в любом из его сервисных проектов.)
Создайте виртуальную машину в сети VPC, которая связана с управляемым доменом Microsoft AD.

Установите realmd на виртуальную машину. Узнайте о сфере .

Чтобы установить realmd, выполните следующие команды:

Убунту 16.04 LTS

RHEL 8.2 (Отпа)

Присоединение виртуальной машины Linux к домену

Чтобы присоединить виртуальную машину Linux к домену, выполните следующие действия. И Ubuntu 16.04 LTS, и RHEL 8.2 используют область .

Выполните следующую команду:

Для подробного вывода добавьте флаг -v в конец команды.

По запросу введите пароль для имени пользователя @имя-домена .

Вы должны получить сообщение об успешном присоединении к домену.

Указание местоположения учетной записи с присоединением к области

По умолчанию команда присоединения к области создает учетную запись компьютера, расположенную по адресу:

Чтобы указать, где создать учетную запись, используйте флаг --computer-ou, чтобы указать путь для команды присоединения к области.

Учетная запись имя_пользователя @ имя_домена должна иметь разрешения, необходимые для создания учетных записей в указанном подразделении. По умолчанию это разрешение есть у членов группы учетных записей присоединения к домену облачной службы. Узнайте о группах, которые Managed Microsoft AD создает для вас.

Удаление виртуальной машины Linux из домена

Чтобы удалить виртуальную машину Linux из доменного имени, выполните следующую команду. И Ubuntu 16.04 LTS, и RHEL 8.2 используют область .

Что дальше

Если не указано иное, содержимое этой страницы предоставляется по лицензии Creative Commons Attribution 4.0, а образцы кода — по лицензии Apache 2.0. Подробнее см. в Правилах сайта Google Developers. Java является зарегистрированным товарным знаком Oracle и/или ее дочерних компаний.

Организации с инфраструктурой AD, которые хотят подготовить компьютеры Linux, могут привязать эти устройства к своему существующему домену.

< /p>

Я не так хорошо разбираюсь в дистрибутивах Linux, как в Windows и macOS. Тем не менее, когда мне недавно задали вопрос о том, как связать хосты Linux с существующим доменом Windows AD, я принял вызов, а вместе с ним и возможность получить больше опыта работы с Linux и помочь другу.

Открытый исходный код: обязательно к прочтению

Большинство ИТ-специалистов, которых я встречал, непреклонны в выполнении своих задач с минимальным физическим присутствием. Это не означает, что они не хотят пачкать руки как таковые, а скорее говорит о том, что у ИТ обычно много работы, поэтому работать умнее, а не усерднее, всегда лучше, чем связывать все ваши ресурсы. только на один или два тикета о неполадках.

Практически любую административную задачу можно выполнить с помощью мощного и надежного интерфейса командной строки (CLI). Это одна из областей, в которых Linux абсолютно блистателен. Независимо от того, вводятся ли команды вручную, удаленно через SSH или автоматически передаются с помощью сценариев, возможность управлять хостами Linux изначально не имеет себе равных. Вооружившись этими новыми знаниями, мы направляемся непосредственно к интерфейсу командной строки, чтобы решить эту проблему.

Прежде чем углубиться в суть выполнения этой привязки домена, обратите внимание, что для выполнения этой задачи я включил два разных (хотя и очень похожих) процесса. Используемый процесс будет зависеть от того, на какой версии ядра Linux основан выбранный вами дистрибутив: Debian или Red Hat (RHEL).

Присоединение дистрибутивов на базе Debian к Active Directory

Запустите Терминал и введите следующую команду:

sudo apt-get realmd

После успешной установки realmd введите следующую команду для присоединения к домену:

присоединение к области domain.tld --user имя пользователя

Введите пароль учетной записи с разрешениями на присоединение устройств к домену и нажмите клавишу ввода. Если зависимости в данный момент не загружены на хост Linux, процесс привязки запустит их автоматическую установку.

Присоединение дистрибутивов на основе RHEL к Active Directory

Запустите Терминал и введите следующую команду:

yum install sssd realmd нечетная работа нечетная работа-мхомедир adcli samba-common samba-common-tools krb5-workstation openldap-clients policycoreutils-python -y

После успешной установки зависимостей введите следующую команду для присоединения к домену:

присоединение к области domain.tld --user=username

После первой аутентификации Linux автоматически создаст файлы /etc/sssd/sssd.conf и /etc/krb.conf, а также /etc/krb5.keytab, которые управляют тем, как система будет подключаться и обмениваться данными с помощью Kerberos (протокол аутентификации, используемый Microsoft Active Directory).

Примечание. Зависимости устанавливаются с настройками по умолчанию. Это может работать или не работать с конкретной настройкой вашей среды. Перед проверкой подлинности учетных записей домена может потребоваться дополнительная настройка.

Подтверждение успешного присоединения домена (области)

В Терминале введите следующую команду, чтобы получить список доменов вместе с набором информации о конфигурации:

Кроме того, вы всегда можете проверить свойства объекта-компьютера в оснастке "Пользователи и компьютеры Active Directory", чтобы убедиться, что он был создан и что между хостом и AD установлены надлежащие доверительные отношения.

Проблема интеграции рабочей станции Ubuntu с каталогом Active Directory довольно распространена. Ниже мы описываем необходимые шаги, чтобы помочь пользователям DataSunrise выполнить эту задачу:

1. Укажите имя настроенного компьютера в файле /etc/hostname

Запрос текущего имени хоста:

При необходимости укажите новое имя хоста:

эхо мой хост > /etc/имя хоста

Примечание. Имя хоста не может быть localhost, поскольку localhost — это имя для 127.0.0.1 (указывается в файле /etc/hosts при установке операционной системы).

2. Укажите полное имя контроллера домена в файле /etc/hosts

Добавьте статическую запись с полным именем контроллера домена в конец файла /etc/hosts. Требуется перевод между IP-адресом и именем компьютера, чтобы вы могли использовать имя хоста вместо IP-адреса.

echo 192.168.1.51 hostname.db.local hostname >> /etc/hosts

3. Установите DNS-сервер на настроенном компьютере

Контроллер домена должен быть первым вариантом поиска. Добавьте IP-адрес контроллера домена в /etc/resolv.conf. В большинстве дистрибутивов resolv.conf генерируется автоматически, поэтому добавьте IP-адрес контроллера домена в файл /etc/resolvconf/resolv.conf.d/head.

sudo vim /etc/resolvconf/resolv.conf.d/head

Измените открытый файл следующим образом:

Перезапустите сетевую службу.

Используйте команду nslookup для проверки.

4. Настроить синхронизацию времени

Системное время на машине должно быть синхронизировано с системным временем на сервере контроллера домена. Установите инструмент ntp и измените файл ntp.conf.

sudo apt-get install ntp sudo vim /etc/ntp.conf

Измените файл следующим образом.

Перезапустите демон ntpd.

sudo /etc/init.d/ntp перезапустить

5. Установите клиент Kerberos

6.Установите Samba, Winbind и NTP

7. Отредактируйте файл /etc/krb5.conf, добавив полное доменное имя, имя контроллера домена и параметр realm

8. Отредактируйте файл /etc/samba/smb.conf, добавив короткое и полное доменное имя:

Примечание. Перед использованием файла конфигурации удалите строки комментариев.

9. Введите домен:

После успешного присоединения к домену вы сможете пинговать имена хостов Active Directory, например:

10. Убедитесь, что аутентификация пользователя Active Directory прошла успешно:

Примечание. Введите имя домена заглавными буквами.

Если все настроено правильно, тикет будет создан.

Убедитесь, что заявка создана:

И вот оно: рабочая станция Ubuntu, интегрированная с Windows Active Directory.

Если вам нужна дополнительная информация, обратитесь к статье Аутентификация Active Directory для базы данных MySQL.

Далее, содержит ли ваша база данных конфиденциальные данные, которые необходимо защитить? Или вам нужно соблюдать GDPR, SOX или HIPAA? Проверьте программное обеспечение DataSunrise для обеспечения безопасности баз данных и маскирования данных или загрузите пробную версию .

Читайте также: