Join do domény

Ubuntu file server jako člen domény firma.local. Vše je o synchronizaci času mezi serverem a doménovým řadičem. Nejdříve přidám potřebné balíčky.

sudo apt-get install sudo apt-get install libnss-winbind libpam-winbind winbind samba krb5-user

Upravím konfigurák pro sync času

Time Sync

sudo nano /etc/systemd/timesyncd.conf

Název serveru kde beží time sync server je shodný s názvem doménového řadiče

[Time]
NTP=firma1
FallbackNTP=tik.cesnet.cz

pro jistotu nastavím timezone na CET

sudo timedatectl set-timezone CET
sudo systemctl restart systemd-timesyncd.service

Kerberos

Zkontrolujeme si jak vypadá krb5.conf

[libdefaults]
default_realm = FIRMA.LOCAL
clockskew = 300
ticket_lifetime = 1d
forwardable = true
proxiable = true
dns_lookup_realm = true
dns_lookup_kdc = true
allow_weak_crypto = true
[realms]
FIRMA.LOCAL = {
kdc = FIRMA1.FIRMA.LOCAL
admin_server = FIRMA1.FIRMA.LOCAL
default_domain = FIRMA.LOCAL
}
[domain_realm]
.kerberos.server = FIRMA.LOCAL
.firma.local = FIRMA.LOCAL
firma.local = FIRMA.LOCAL
firma = FIRMA.LOCAL
[appdefaults]
pam = {
ticket_lifetime = 1d
renew_lifetime = 1d
forwardable = true
proxiable = false
retain_after_close = false
minimum_uid = 0
debug = false
}
[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/kdc.log
admin_server = FILE:/var/log/kadmind.log

NSSwitch

Begin /etc/nsswitch.conf
passwd: files winbind
group: files winbind
shadow: files winbind
publickey: files
hosts: files dns wins
networks: files
protocols: files
services: files
ethers: files
rpc: files
netgroup: files
End /etc/nsswitch.conf

Restartuju Sambu a mrknu do výpisu

sudo systemctl restart smbd nmbd winbind
sudo systemctl status smbd nmbd winbind

Kerberos ticket a join do domény

Kerberos ticket s autorizací doménového administrátora v mém případě root, ve windows DC spíše administrator

sudo kinit -U root

Zkontroluji

sudo klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: root@FIRMA.LOCAL
Valid starting Expires Service principal
11/21/18 14:36:55 11/22/18 00:36:55 krbtgt/FIRMA.LOCAL@FIRMA.LOCAL
renew until 11/22/18 14:36:50

Zajoinu do domény a následně zkontroluji status

sudo net ads join -U root
sudo net ads info

LDAP server: 10.0.0.2
LDAP server name: firma1.firma.local
Realm: FIRMA.LOCAL
Bind Path: dc=FIRMA,dc=LOCAL
LDAP port: 389
Server time: Wed, 21 Nov 2018 14:38:11 CET
KDC server: 10.0.0.2
Server time offset: 0
Last machine account password change: Wed, 21 Nov 2018 14:21:43 CET

Napsat komentář