Aby dodać maszynę z systemem Debian 8 należy wykonać kilka prostych kroków.
Na początku musimy sprawdzić kilka rzeczy:
- czy na pewno mamy system Debian 8 – można to sprawdzić poleceniem
cat /etc/debian_version - czy nasz system jest podłączony do sieci (dostęp do sieci LAN/WAN)
- czy nasz serwer DNS wskazuje poprawnie na usługi AciveDirectory (czy możemy podłączać w tej sieci komputery do wybranej domeny)
1. Instalujemy wymagane pakiety, ponieważ mój Debian jest na maszynie wirtualnej to instaluje również pakiet ntp, jeśli twój system posiada RTC to nie musisz go instalować:
apt-get update
apt-get install realmd adcli sssd ntp
2. Po zainstalowaniu wszystkich pakietów wraz z zależnościami tworzymy katalog /var/lib/samba/private, z nieznanych przyczyn brak tego katalogu może uniemożliwić nam podłączenie systemu do domeny:
mkdir -p /var/lib/samba/private
3. Dodajemy do automatycznego uruchomienia przy starcie pakietu sssd:
systemctl enable sssd
4. Sprawdzamy czy nasz system „widzi” domenę do której chcemy go podłączyć, należy zastąpić nasza-domena.local swoja docelową domeną:
realm discover nasza-domena.local
Powinniśmy dostać informacje o naszej domenie jeśli wszystko działa poprawnie:
5. Teraz możemy podłączyć nasz system do domeny, należy pamiętać aby zastąpić nazwę użytkownika nasz.admin nazwą użytkownika z uprawnieniami do podłączania nowych komputerów do domeny oraz nazwę domeny moja-domena.local swoją nazwą domeny:
realm join --user=nasz.admin moja-domena.local
6. Debian domyślnie nie tworzy katalogów domowych dla użytkowników domeny logujących się do systemu wiec musimy skonfigurować to poleceniem:
echo "session required pam_mkhomedir.so skel=/etc/skel/ umask=0022" | tee -a /etc/pam.d/common-session
7. Na koniec aby logować się do systemu samą nazwą użytkownika bez domeny czyli np. janek zamiast janek@moja-domena.local należy edytować plik /etc/sssd/sssd.conf i zmieniamy wartość use_fully_qualified_names na False:
nano /etc/sssd/sssd.conf
Zapisujemy plik konfiguracyjny kombinacją klawiszy Ctrl + x i restartujemy system poleceniem reboot:
reboot
Gotowe, teraz już możemy logować się użytkownikami z AD 🙂
Linkografia:
http://www.alandmoore.com/blog/2015/05/06/joining-debian-8-to-active-directory/
7 komentarzy “Podłączenie serwera z systemem Debian 8 do domeny Active Directory”
Witam,
U mnie po wydaniu komendy realm discover moja-domena.local
pokazuje mi tylko:
realm discover moja-domena.local
moja-domena.local
type: kerberos
realm-name: MOJA-DOMENA.LOCAL
domain-name: moja-domena.local
realm join –user=moja-nazwa-usera moja-domena.local
See: journalctl REALMD_OPERATION=r4309.3676
realm: Nie można dołączyć do tego obszaru
Może jakieś wskazówki?
Pozdrawiam
realm join --user=nasz.admin moja-domena.localtam jest 2 myślniki przed user, inaczej próbuje dodać do domeny moja-nazwa-usera moja-domena.local używając domyślnego admina 🙂
https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Windows_Integration_Guide/realmd-domain.html
Brak jednego myślnika to wynik przy przepisywaniu, to samo się dzieje z dwoma myślnikami.
Nie wiem dlaczego, ale u mnie po wydaniu komendy
[code]realm discover moja-domena.local[/code]
wyświetla mi tylko
[code]
root@desktop:/home/user# realm discover moja-domena.local
moja-domena.local
type: kerberos
realm-name: MOJA-DOMENA.LOCAL
domain-name: moja-domena.local
configured: no[/code]
a u Ciebie są jeszcze wpisy dotyczące [code]sssd[/code]
Oczywiście pakiet [code]sssd[/code] mam zainstalowany i włączony
A domenę masz Active Directory na windows server? Jeśli tak to czy DNS masz również tam i czy Debian ma DNS wpisany z tego serwera? Powinno ci znaleźć server-software: active-directory.
Domena jest na Windows Server 2012 R2, dns również.
W debianie mam ustawiony dns serwera AD
Po zrobieniu wszystkiego jeszcze raz, udało mi się dodać debiana do domeny, ale zalogować się już nie mogę 🙂
/etc/init.d/sssd status pokazuje mi coś takiego
http://wklej.org/id/2407678/
Jeśli dodane jest do domeny to musisz walczyć i szukać. Coś gdzieś musi „przeszkadzać” skoro miałeś problemy z dodaniem, może jakiś firewall albo coś z usługami na kontrolerze domeny?