Присоединение к домену в роли участника

Рядовыми участниками домена Эллес могут быть серверы и рабочие станции под управлением ОС Windows и дистрибутивов Linux, поддерживающих работу с инструментами аутентификации и авторизации в домене (SSSD, Winbind).

Примеры в данном разделе основаны на следующих допущениях:

В сети доступен полностью настроенный контроллер домена Эллес, который также выступает в роли DNS-сервера, со следующими параметрами:
- статический IP-адрес — 10.0.9.100;
- домен — samdom.example.com;
- полное доменное имя (FQDN) — dc01.samdom.example.com.
В домен добавляются рабочие станции и рядовые серверы под управлением ОС Astra Linux 1.7.x, РЕД ОС 7.3.x, Ubuntu 22.04 LTS и ОС Windows 10/11 или ОС Windows Server.
Для использования аутентификации на базе Kerberos между всеми участниками домена обеспечивается синхронизация времени в соответствии с инструкциями разработчика используемого дистрибутива ОС.
На вводимых в домен машинах настроен доступ к репозиториям с пакетами используемого дистрибутива операционной системы.
Для выполнения операций присоединения используется учетная запись с локальными административными правами на вводимой машине и административными правами на добавление компьютера в домен (administrator).
В домене создана учетная запись рядового пользователя user01 в группе Domain Users.

Предварительные замечания

При вводе в домен Эллес машин в роли рядовых участников следует учитывать некоторые особенности используемых инструментов.

Коллизия имен локальных и доменных пользователей

Во избежание возможных коллизий, обусловленных совпадением имен локальных пользователей и доменных пользователей, при использовании инструментария SSSD для аутентификации и авторизации на рядовых участниках домена под управлением ОС Astra Linux рекомендуется выполнить одно из следующих действий по дополнительной настройке:

разрешите вход доменных пользователей только с использованием UPN;
Для этого:
1. Добавьте следующую настройку в конфигурационный файл /etc/sssd/sssd.conf:
  
  use_fully_qualified_names = True
2. Для применения изменения перезапустите службу sssd:
  
  sudo systemctl restart sssd.service
измените последовательность анализа источников данных, используемых диспетчером службы имен (Name Service Switch) на машине — участнике домена.

Для этого приведите соответствующие строки в конфигурационном файле диспетчера (/etc/nsswitch.conf) к следующему виду:
```
...
passwd:     sss files
group:      sss files
...
```

Учет атрибута userWorkstations

Атрибут userWorkstations доменной учетной записи пользователя содержит список NetBIOS- или DNS-имен компьютеров:

на которых пользователю разрешен локальный вход в операционную систему;
с которых пользователю разрешен удаленный доступ к другим компьютерам в домене.

Значение атрибута может редактироваться:

на дистрибутивах Linux:
- в блоке Учетная запись формы пользователя в веб-интерфейсе приложения «Менеджер службы каталогов» (DSM) при выборе в окне Доступные компьютеры опции Выбранные компьютеры (см. описание в подразделе «Учетная запись»);
- с помощью подкоманды samba-tool user edit (см. описание в подразделе «Изменение атрибутов пользователя»);
на ОС Windows или Windows Server:
- на вкладке Учетная запись окна Свойства учетной записи пользователя в оснастке «Пользователи и компьютеры в Active Directory» (Active Directory Users and Computers, ADUC) при выборе опции только на указанные компьютеры в окне Рабочие станции для входа в систему;
- с помощью параметра /workstations команды net user (см. описание в документации Microsoft);
- с помощью параметра -LogonWokstations командлета PowerShell Set-ADUser (см. описание в документации Microsoft).

Обработка значения атрибута зависит от операционной системы и способа ввода в домен машины:

на клиентских машинах под управлением ОС Windows или Windows Server значение атрибута учитывается во всех случаях;
на клиентских машинах на Linux, введенных в домен с помощью Winbind, значение атрибута учитывается в том случае, если в нем заданы NetBIOS-имена компьютеров;
на клиентских машинах на Linux, введенных в домен с помощью SSSD, значение атрибута игнорируется полностью.

Клиент на ОС Astra Linux

Операционная система Astra Linux предоставляет следующие инструменты для ввода рабочих станций и серверов в домен Эллес:

пакет astra-ad-sssd-client и графическая утилита fly-admin-ad-sssd-client;
пакет astra-winbind и графическая утилита fly-admin-ad-client.

Компания-разработчик ОС Astra Linux не рекомендует использовать инструментарий Winbind.

См. подробное описание процедуры ввода и доступных параметров в официальной документации Astra Linux.

Предварительная подготовка

Выполните следующие шаги по предварительной подготовке:

Обновите пакеты операционной системы:
```
sudo apt update -y
```
Выберите для машины имя хоста длиной не более 15 символов (ограничение протокола NetBIOS) и назначьте его.

Например:
```
sudo hostnamectl set-hostname client01
```

В файле /etc/hosts сопоставьте полное доменное имя (FQDN) и короткое имя хоста с IP-адресом клиентской машины (в примере ниже используется статический IP-адрес).

Например:

127.0.0.1     localhost
10.0.9.121    client01.samdom.example.com     client01

При использовании статического IP-адреса требуется настроить его аренду для данного хоста на DHCP-сервере.
Если для управления настройками DNS клиентских машин используется DHCP-сервер, требуется сконфигурировать его для использования соответствующего DNS-сервера.

Задайте IP-адрес DNS-сервера домена (в данном примере DNS-сервер развертывается вместе с контроллером домена) и поисковый домен в настройках используемого сетевого интерфейса любым доступным способом.
После внесенных изменений файл /etc/resolv.conf должен содержать следующие настройки:
search samdom.example.com nameserver 10.0.9.100
Проверьте корректность разрешения имен службой DNS.

Например:
```
host dc01.samdom.example.com
dc01.samdom.example.com has address 10.0.9.100
```

Присоединение с использованием SSSD

Для ввода рабочей станции на ОС Astra Linux 1.7.x в домен Эллес:

Установите пакет astra-ad-sssd-client, требуемый для присоединения к домену с помощью SSSD:
```
sudo apt install astra-ad-sssd-client
```

Выполните присоединение к домену:

sudo astra-ad-sssd-client -d samdom.example.com -u administrator

Описание параметров присоединения:

-d — имя домена;

Если присоединение выполняется к определенному контроллеру домена, укажите его имя (dc01 в данном примере) с помощью параметра -dc. Если передается полное доменное имя (FQDN) контроллера домена (dc01.samdom.example.com в данном примере), указывать домен с помощью ключа -d не требуется.

-u — имя учетной записи с административными правами на добавление компьютера в домен.

В случае успешного присоединения в конце вывода команды отобразится строка:

Компьютер подключен к домену samdom.example.com

Перезагрузите машину.
После перезагрузки для проверки корректности присоединения:
- запросите информацию о текущем подключении к домену:
  sudo astra-ad-sssd-client -i Обнаружен настроенный клиент в домене samdom.example.com
- убедитесь, что имя хоста рабочей станции отображается в списке компьютеров в домене, запросив список на любом из работающих контроллеров домена;
  
  Например:
  samba-tool computer list ... CLIENT01$ ...
- выполните вход на машину под учетной записью доменного пользователя user01:
  su - user01
- убедитесь, что для пользователя создан домашний каталог:
  pwd /home/user01@samdom.example.com
- проверьте, что членство в доменных группах разрешается корректно:
  id uid=<...>(user01) gid=<...>(domain users) groups=<...>(domain users)

Присоединение с использованием Winbind

Компания-разработчик ОС Astra Linux не рекомендует использовать инструментарий Winbind.

Для ввода рабочей станции на ОС Astra Linux 1.7.x в домен Эллес:

Установите пакет astra-winbind, требуемый для присоединения к домену с помощью Winbind:
```
sudo apt install astra-winbind
```

Выполните присоединение к домену:

sudo astra-winbind -d samdom.example.com -u administrator

Описание параметров присоединения:

-d — имя домена;

-u — имя учетной записи с административными правами на добавление компьютера в домен.

В случае успешного присоединения в конце вывода команды отобразится строка:

Joined 'CLIENT01' to dns domain 'samdom.example.com'

Для проверки корректности присоединения:
- запросите информацию о текущем подключении к домену:
  astra-winbind -i checking the NETLOGON for domain[SAMDOM] dc connection to "dc01.samdom.example.com" succeeded
- убедитесь, что имя хоста рабочей станции отображается в списке компьютеров в домене, запросив список на любом из работающих контроллеров домена;
  
  Например:
  samba-tool computer list ... CLIENT01$ ...
- выполните вход на машину под учетной записью доменного пользователя user01:
  su - user01
- убедитесь, что для пользователя создан домашний каталог:
  pwd /home/SAMDOM/user01
  Формат пути задается параметром template homedir в файле /etc/samba/smb.conf (по умолчанию — /home/%D/%U).
- проверьте, что членство в доменных группах разрешается корректно:
  id uid=<...>(user01) gid=<...>(domain users) groups=<...>(domain users)

Клиент на РЕД ОС

Ввод клиентских машин на РЕД ОС выполняется с помощью штатного инструмента join-to-domain.

В зависимости от варианта установки инструмент в составе РЕД ОС может быть доступен как в виде утилиты с графическим интерфейсом, так и в виде скрипта для запуска в терминале в интерактивном режиме или с входными параметрами.

По умолчанию утилита использует для ввода в домен инструментарий SSSD. Ввод с использованием Winbind также возможен.

См. описание процедуры ввода и доступных параметров утилиты join-to-domain в официальной документации РЕД ОС.

Также см. описание процедуры ввода с помощью realmd в официальной документации РЕД ОС.

Предварительная подготовка

Выполните следующие шаги по предварительной подготовке:

Обновите пакеты операционной системы:
```
sudo dnf update -y
```
Задайте IP-адрес DNS-сервера домена (в данном примере DNS-сервер развертывается вместе с контроллером домена) и поисковый домен в настройках используемого сетевого интерфейса любым доступным способом.
Например, с помощью утилиты nmcli:
1. Определите имя используемого сетевого интерфейса:
  
  nmcli connection show NAME UUID TYPE DEVICE enp0s1 973b457f-ad2e-32c0-8849-5d27ce648bac ethernet enp0s1 ...
2. Задайте требуемые настройки для сетевого интерфейса:
  
  nmcli connection modify enp0s1 ipv4.dns 10.0.9.100 ipv4.dns-search samdom.example.com
3. Перезапустите сетевую службу:
  
  nmcli networking off && nmcli networking on
4. Убедитесь, что настройки заданы корректно:
  
  nmcli enp0s1: подключено к enp0s1 ... DNS configuration: servers: 10.0.9.100 domains: samdom.example.com interface: enp0s1
Проверьте корректность разрешения имен службой DNS.

Например:
```
host dc01.samdom.example.com
dc01.samdom.example.com has address 10.0.9.100
```

Присоединение

Для ввода клиентской машины на РЕД ОС в домен Эллес:

Убедитесь, что на машине установлена утилита join-to-domain (она может отсутствовать при установке РЕД ОС в конфигурации «Сервер минимальный»):
dnf list installed join-to-domain join-to-domain.noarch ...
Если утилита отсутствует, установите ее:
sudo dnf install join-to-domain -y

Выполните присоединение к домену:

sudo join-to-domain.sh -d samdom.example.com -n client01 -u administrator -y

Описание параметров присоединения:

-d — имя домена;

Если присоединение выполняется к определенному контроллеру домена, укажите его имя (dc01 в данном примере) с помощью параметра --dc.

-n — имя компьютера;
-u — имя учетной записи с административными правами на добавление компьютера в домен.

Если требуется сразу добавить компьютер в определенное подразделение, укажите его имя (в формате OU=OrgUnit) с помощью параметра --ou.

Для использования инструментария Winbind передайте ключ -w.

В случае успешного присоединения в конце вывода команды отобразится строка:

Выполнено. Компьютер успешно введен в домен! Перезагрузите ПК.

Перезагрузите машину.
Для проверки корректности присоединения:
- убедитесь, что имя хоста рабочей станции отображается в списке компьютеров в домене, запросив список на любом из работающих контроллеров домена;
  
  Например:
  samba-tool computer list ... CLIENT01$ ...
- выполните вход на машину под учетной записью доменного пользователя user01:
  su - user01
- убедитесь, что для пользователя создан домашний каталог:
  pwd /home/user01@samdom.example.com
- проверьте, что членство в доменных группах разрешается корректно:
  id uid=<...>(user01) gid=<...>(domain users) группы=<...>(domain users)

Клиент на ОС Ubuntu Server 22.04 LTS

Ввод клиентских машин на ОС Ubuntu Server выполняется с помощью пакетов:

realmd и sssd;
winbind.

Состав остальных дополнительных пакетов определяется особенностями эксплуатации.

См. инструкции по вводу в домен Active Directory в официальной документации Ubuntu Server:

Предварительная подготовка

Выполните следующие шаги по предварительной подготовке:

Обновите пакеты операционной системы:
```
sudo apt update -y
```
Выберите для машины имя хоста длиной не более 15 символов (ограничение протокола NetBIOS) и назначьте его.

Например:
```
sudo hostnamectl set-hostname server01
```

Например:

127.0.0.1     localhost
10.0.9.121    server01.samdom.example.com     server01

Задайте IP-адрес DNS-сервера домена (в данном примере DNS-сервер развертывается вместе с контроллером домена) и поисковый домен в настройках используемого сетевого интерфейса любым доступным способом.
После внесенных изменений файл /etc/resolv.conf должен содержать следующие настройки:
search samdom.example.com nameserver 10.0.9.100
Проверьте корректность разрешения имен службой DNS.

Например:
```
host dc01.samdom.example.com
dc01.samdom.example.com has address 10.0.9.100
```

Присоединение с использованием SSSD

Для ввода рядового сервера на ОС Ubuntu Server 22.04 LTS в домен Эллес:

Установите пакеты, требуемые для присоединения к домену с помощью SSSD и дальнейшей эксплуатации сервера в домене.

Например:
```
sudo apt install sssd sssd-tools libnss-sss libpam-sss realmd adcli packagekit oddjob oddjob-mkhomedir krb5-user
```

Если в процессе установки пакета krb5-user требуемые настройки аутентификации Kerberos не были указаны в интерактивном режиме, приведите файл /etc/krb5.conf к следующему виду:

[libdefaults]
        default_realm = SAMDOM.EXAMPLE.COM
        dns_lookup_realm = false
        dns_lookup_kdc = true
        udp_preference_limit = 1

Значение 1 в параметре udp_preference_limit указывает на необходимость использования протокола TCP для всех запросов аутентификации. Это позволяет повысить эффективность сетевого взаимодействия.

Если параметр не установлен, клиент сначала отправляет запрос аутентификации по протоколу UDP, что в случае превышения ограничения на размер успешного ответа в 1400 байт может приводить к ошибке, и только после этого выполняет повторный запрос по TCP.

Выполните присоединение к домену:
- используйте следующую команду для получения информации о домене и области безопасности:
  realm -v discover samdom.example.com * Resolving: _ldap._tcp.samdom.example.com * Performing LDAP DSE lookup on: 10.0.9.100 * Successfully discovered: samdom.example.com samdom.example.com type: kerberos realm-name: SAMDOM.EXAMPLE.COM domain-name: samdom.example.com configured: no server-software: active-directory client-software: sssd required-package: sssd-tools required-package: sssd required-package: libnss-sss required-package: libpam-sss required-package: adcli required-package: samba-common-bin
- получите билет Kerberos для доменного пользователя с административными правами на добавление компьютера в домен (в данном случае — administrator):
  kinit administrator@samdom.example.com
- выполните ввод в домен:
  sudo realm join samdom.example.com -U 'administrator@samdom.example.com' --install=/ --no-password
  Описание параметров присоединения:
  
  имя домена, к которому выполняется присоединение;
  
  -U — имя пользователя с административными правами на добавление компьютера в домен;
  
  --install=/ — рабочий каталог;
  
  --no-password — использовать для аутентификации билет Kerberos вместо ввода пароля.
  
  См. описание всех доступных параметров в документации realmd.
  
  В случае успешного выполнения команды в конце вывода будет содержаться следующее сообщение:
  
  Successfully enrolled machine in realm
Настройте локальный вход с доменной учетной записью:
- в файле /etc/sssd/sssd.conf закомментируйте следующую строку:
  # use_fully_qualified_names = True
- для применения изменений перезапустите службу sssd:
  sudo systemctl restart sssd.service
Для настройки возможности аутентификации доменных учетных записей по паролю при подключении через SSH:
- в файле /etc/ssh/sshd_config задайте в параметре PasswordAuthentication значение yes:
  PasswordAuthentication yes
- для применения изменения перезапустите службу ssh:
  sudo systemctl restart ssh.service

Настройте автоматическое создание домашнего каталога при первом входе пользователя, добавив следующие строки в файл /etc/pam.d/common-session:

session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
account optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

Также данную настройку можно выполнить в интерактивно режиме с помощью инструмента pam-auth-update:

sudo pam-auth-update

Или используйте команду:

sudo pam-auth-update --enable mkhomedir

Выдайте пользователям из группы Domain Users разрешение на вход на сервер:
```
sudo realm permit -g 'Domain Users'
```

Для проверки корректности присоединения повторно запросите информацию о домене и области безопасности Kerberos:

realm list
samdom.example.com
  type: kerberos
  realm-name: SAMDOM.EXAMPLE.COM
  domain-name: samdom.example.com
  configured: kerberos-member
  server-software: active-directory
  client-software: sssd
  required-package: sssd-tools
  required-package: sssd
  required-package: libnss-sss
  required-package: libpam-sss
  required-package: adcli
  required-package: samba-common-bin
  login-formats: %U
  login-policy: allow-permitted-logins
  permitted-logins:
  permitted-groups: Domain Users

Для проверки возможности поиска доменных пользователей и групп с помощью библиотеки libnss-sss, выполните следующие команды:
- для поиска в домене, например, пользователя user01:
  getent passwd SAMDOM\\user01 user01:*:<...>:<...>:user01:/home/user01@samdom.example.com:/bin/bash
- для поиска доменной группы Domain Users:
  getent group "SAMDOM\\Domain Users" domain users:*:<...>:administrator,user01
Убедитесь, что имя хоста отображается в списке компьютеров в домене, запросив список на любом из работающих контроллеров домена.

Например:
```
samba-tool computer list
...
SERVER01$
...
```
Выполните вход на машину под учетной записью доменного пользователя user01:
```
su - user01
```
Убедитесь, что для пользователя создан домашний каталог:
```
pwd
/home/user01@samdom.example.com
```
Проверьте, что членство в доменных группах разрешается корректно:
```
id
uid=<...>(user01) gid=<...>(domain users) groups=<...>(domain users)
```
Для проверки возможности подключения к машине по SSH с аутентификацией по паролю, выполните вход на любой контроллер в домене и установите новое подключение к присоединенной машине:
```
sudo ssh -l user01@samdom.example.com server01.samdom.example.com
```

Присоединение с использованием Winbind

Для ввода рядового сервера на ОС Ubuntu Server 22.04 LTS в домен Эллес:

Установите пакеты, требуемые для присоединения к домену с помощью Winbind:

Например:

sudo apt install samba winbind krb5-user libpam-krb5 libpam-winbind libnss-winbind

Для присоединения требуются отдельные компоненты Samba. В качестве упрощения в примере устанавливается базовый пакет, доступный в репозиториях используемого дистрибутива Linux.

[libdefaults]
        default_realm = SAMDOM.EXAMPLE.COM
        dns_lookup_realm = false
        dns_lookup_kdc = true
        udp_preference_limit = 1

Выполните настройку Samba, отредактировав конфигурационный файл smb.conf:

определите расположение файла:

sudo smbd -b | grep "CONFIGFILE"
   CONFIGFILE: /etc/samba/smb.conf

приведите файл smb.conf, например, к виду (состав настроек определяется конкретными условиями эксплуатации):

[global]
    dedicated keytab file = /etc/krb5.keytab
    dns forwarder = 10.0.9.100
    domain master = No
    idmap config * : range = 100000-199999
    idmap config * : backend = tdb
    idmap config DOMAIN : range = 200000-299999
    idmap config DOMAIN : backend = rid
    kerberos method = secrets and keytab
    load printers = No
    local master = No
    map acl inherit = Yes
    os level = 0
    preferred master = No
    printcap name = /dev/null
    realm = samdom.example.com
    security = ADS
    store dos attributes = Yes
    template homedir = /home/%U
    template shell = /bin/bash
    vfs objects = acl_xattr
    winbind enum groups = Yes
    winbind enum users = Yes
    winbind nss info = rfc2307
    winbind refresh tickets = Yes
    winbind use default domain = Yes
    workgroup = SAMDOM

при необходимости заполните разделы [homes], [printers] и т. д.;
проверьте корректность подготовленной конфигурации:
```
samba-tool testparm
```

Для обеспечения доступа к доменным пользователям и группам через диспетчер службы имен (NSS) в файле /etc/nsswitch.conf в строках со значениями параметров passwd и group добавьте рядом с files значение winbind:
```
passwd: files winbind
group:  files winbind
```

session required pam_mkhomedir.so skel=/etc/skel/ umask=0077
account optional pam_mkhomedir.so skel=/etc/skel/ umask=0077

Также данную настройку можно выполнить в интерактивно режиме с помощью инструмента pam-auth-update:

sudo pam-auth-update

Или используйте команду:

sudo pam-auth-update --enable mkhomedir

Выполните присоединение к домену:
```
net ads join -U administrator
```
В случае успешного присоединения в конце вывода команды отобразится строка:
```
Joined 'server01' to dns domain 'samdom.example.com'
```
Перезапустите службу winbind:
```
sudo systemctl restart winbind.service
```
Для проверки возможности поиска доменных пользователей и групп с помощью библиотеки libnss-winbind, выполните следующие команды:
- для поиска в домене, например, пользователя user01:
  getent passwd SAMDOM\\user01 user01:*:<...>:<...>:user01:/home/user01@samdom.example.com:/bin/bash
- для поиска доменной группы Domain Users:
  getent group "SAMDOM\\Domain Users" domain users:*:<...>:administrator,user01
Убедитесь, что имя хоста отображается в списке компьютеров в домене, запросив список на любом из работающих контроллеров домена.

Например:
```
samba-tool computer list
...
SERVER01$
...
```
Выполните вход на машину под учетной записью доменного пользователя user01.

Например:
```
su - user01
```
Убедитесь, что для пользователя создан домашний каталог:
```
pwd
/home/user01
```
Формат пути задается параметром template homedir в файле /etc/samba/smb.conf (в примере конфигурации выше — /home/%U).
Проверьте, что членство в доменных группах разрешается корректно:
```
id
uid=<...>(user01) gid=<...>(domain users) groups=<...>(domain users)
```

Клиент на ОС Windows

В качестве рядовых участников в домен Эллес могут вводиться машины под управлением ОС Windows 10/11 редакций Pro, Education, Pro for Workstations, Enterprise и ОС Windows Server всех редакций.

Присоединение возможно как с помощью инструментов с графическим интерфейсом, так и с помощью командлетов PowerShell.

Предварительная подготовка

Выполните следующие шаги по предварительной подготовке:

Обеспечьте доступ машины к DNS-серверу в домене для корректного разрешения имен. При использовании статического IP-адреса для машины, укажите IP-адрес DNS-сервера в настройках сетевого адаптера. Убедитесь, что имена разрешаются корректно, например, с помощью ping или nslookup.
Убедитесь, что дата и время на машине не отличаются от даты и времени на контроллере домена.
При необходимости измените имя компьютера.

Присоединение

Для ввода рабочей станции на ОС Windows или рядового сервера на ОС Windows Server в домен Эллес:

Нажмите клавиши Win+R.
Наберите в поле ввода команду sysdm.cpl и нажмите OK.
В окне System Properties на вкладке Computer Name нажмите Change….
В окне Computer Name/Domain Changes при необходимости отредактируйте имя компьютера в поле Computer name, в блоке Member of выберите Domain и укажите имя домена в поле ввода.

Рис. 1. Окно ввода имени компьютера и домена
В диалоговом окне Windows Security введите имя и пароль пользователя с административными права на добавление компьютера в домен и нажмите OK.

В случае успешного завершения операции отобразится диалоговое окно с сообщением о добавлении компьютера в домен. Нажмите OK.
Перезагрузите машину.
Для проверки корректности присоединения:
- убедитесь, что имя хоста рабочей станции отображается в списке компьютеров в домене, запросив список на любом из работающих контроллеров домена;
  
  Например:
  samba-tool computer list ... CLIENT01$ ...
- выполните вход на машину под учетной записью доменного пользователя user01.