Podpięcie Linux Mint do AD

Postaram się opisać, jak podpiąć Mint’a pod AD (w moim przypadku Windows Server 2012 R2). Męczyłem się z tym trochę czasu, więc opiszę w jednym miejscu 🙂

Najpierw oczywiście aktualizacja systemu:

sudo apt-get update
sudo apt-get upgrade

Następnie instalacja SSH:

sudo apt-get install ssh

Dalej konfiguracja DNS’ów:

sudo nano /etc/dhcp/dhclient.conf

W pliku trzeba odkomentować dwa pola:

#supersede domain-name "fugue.com home.vix.com";
 #prepend domain-name-servers 127.0.0.1;

Zamiast fugue.com wpisać swoją domenę, a niżej adres IP serwera.

Dalej

sudo nano /etc/nsswitch.conf

trzeba zmienić linijkę na taką:

hosts:     files dns [NOTFOUND=return] myhostname

I jeszcze:

sudo nano /etc/resolv.conf

trzeba zmienić nameserver na IP serwera DNS.

Teraz pobranie pbis-open. Należy pobrać odpowiednią paczkę (w moim przypadku pbis-open-8.8.0.506.linux.x86_64.deb.sh) i zainstalować:

cd ~
wget https://github.com/BeyondTrust/pbis-open/releases/download/8.8.0/pbis-open-8.8.0.506.linux.x86_64.deb.sh
sudo chmod +x pbis-open-8.8.0.506.linux.x86_64.deb.sh
sudo ./pbis-open-8.8.0.506.linux.x86_64.deb.sh

Dalej dołączamy do domeny:

sudo /opt/pbis/bin/domainjoin-cli join <domena> <u żytkownik>

gdzie oczywiście <domena> to nazwa Twojej domeny, a <użytkownik> to administrator z prawami dodania komputera do domeny. Trzeba jeszcze potwierdzić hasłem administratora domeny i komputer powinien zostać dodany.

Dalej kilka ustawień opcji:

sudo /opt/pbis/bin/config UserDomainPrefix <domena> 
sudo /opt/pbis/bin/config AssumeDefaultDomain true 
sudo /opt/pbis/bin/config LoginShellTemplate /bin/bash 
sudo /opt/pbis/bin/config HomeDirTemplate %H/%U 
sudo /opt/pbis/bin/config HomeDirUmask 077

Pierwsza linia pozwala na logowanie bez dopisywania nazwy domeny (zamiast admin@domena.local wystarczy admin)
Druga linia włącza domyślne logowanie do domeny.
Trzecia linia ustawia terminal dla użytkowników.
Czwarta linia ustawia katalog domowy w /home/<użytkownik> tak jak standardowo mają użytkownicy linuxa.

Jeszcze trzeba zmienić domyślne uprawnienia katalogów domowych, aby użytkownicy nie mogli podglądać plików nawzajem.
Żeby to zrobić trzeba ustawić UMASK na 077 w pliku /etc/login.defs oraz DIR_MODE w /etc/adduser.conf na 0750.

Teraz trzeba jeszcze wejść w start, wyszukać logowanie i ustawić monit o wpisanie nazwy użytkownika i nie wyświetlanie użytkowników lokalnych. Po tym restart i powinno wszystko śmigać.

Źródło:

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany.

 

Witryna wykorzystuje Akismet, aby ograniczyć spam. Dowiedz się więcej jak przetwarzane są dane komentarzy.