Подробный гайд: Настройка клиента Альт Домен на ALT Linux

Настройка клиента Альт Домен на ALT Linux: ввод в домен, аутентификация через SSSD/Winbind, диагностика и решение проблем

2026.04.20                  

Подробный гайд: Настройка клиента Альт Домен на ALT LinuxПодробный гайд: Настройка клиента Альт Домен на ALT Linux Альт Домен — служба каталогов (доменная служба) на базе Samba/Active Directory, позволяющая централизованно управлять компьютерами и пользователями в корпоративной сети.

Предварительные требования

1. Настройка сети и времени

  • DNS: В качестве первичного DNS должен быть указан сервер, способный разрешать имена домена:
  # Проверка разрешения доменных имён
  $ host -t SRV _kerberos._tcp.domain.alt | grep 'SRV record'
  • Синхронизация времени:

Обязательно перед вводом в домен:

  $ net time set -S <имя_домена>

2. Проверка имени хоста

  • Убедитесь, что NetBIOS-имя машины отличается от NetBIOS-имени домена:
  • Пример: host1.domain.alt → NetBIOS хоста: HOST1, NetBIOS домена: DOMAIN
  • Для имён длиннее 15 символов используйте два имени (длинное DNS и короткое NetBIOS)

Варианты подключения клиента к домену

В Альт Домен поддерживаются два механизма аутентификации: SSSD (рекомендуется) и Winbind.

Вариант 1: Подключение через SSSD (рекомендуемый)

Шаг 1: Установка пакетов

# apt-get install task-auth-ad-sssd gpupdate gpresult

Шаг 2: Ввод в домен через командную строку

# system-auth write ad domain.alt hostname workgroup Administrator пароль \
  --create computer=HOSTNAME OU=LinuxComputers

Параметры команды:

Параметр Описание
--domain Имя домена (например, domain.alt)
--account Учётная запись администратора домена
--password Пароль администратора
--create computer=NAME OU=Path OU, куда будет добавлен компьютер
--gpo Включить поддержку групповых политик

Шаг 3: Проверка подключения

# Проверка аутентификации
$ klist -ket

# Проверка видимости доменных пользователей
$ getent passwd DOMAIN\\username

# Диагностика клиента
# apt-get install diag-domain-client
$ diag-domain-client

Шаг 4: Настройка SSSD (опционально)

Файл /etc/sssd/sssd.conf (минимальная конфигурация):

[sssd]
config_file_version = 2
services = nss, pam
domains = DOMAIN.ALT

[nss]
[pam]

[domain/DOMAIN.ALT]
id_provider = ad
auth_provider = ad
chpass_provider = ad
access_provider = ad
default_shell = /bin/bash
fallback_homedir = /home/%d/%u
ad_gpo_access_control = permissive
ad_update_samba_machine_account_password = true

Вариант 2: Подключение через Winbind

Шаг 1: Установка пакетов

# apt-get install task-auth-ad-winbind gpupdate gpresult

Шаг 2: Ввод в домен

# system-auth write ad domain.alt hostname workgroup Administrator пароль --winbind

Шаг 3: Проверка

# Проверка подключения к домену
$ wbinfo -t
$ wbinfo -u  # список доменных пользователей

# Проверка аутентификации
$ kinit username@DOMAIN.ALT

Важно:

  • Winbind не поддерживает аутентификацию по UPN (user@domain.alt). Используйте формат DOMAIN\\username.

Графический способ: Центр управления системой (ЦУС)

  1. Запустите Центр управления системойПользователиАутентификация
  2. Выберите «Домен Active Directory»

3. Заполните поля:

  • Имя домена
  • Учётная запись администратора
  • Пароль
  1. Выберите метод: SSSD или Winbind
  2. Нажмите «Применить»

Настройка входа доменных пользователей

Настройка PAM/NSS

# Настройка аутентификации
# control system-auth sss  # для SSSD
# control system-auth winbind  # для Winbind

# Настройка NSS (/etc/nsswitch.conf)
passwd:     files sss
shadow:     tcb files sss
group:      files sss

Назначение прав доменным группам

# Включение модуля libnss-role
# control libnss-role enabled

# Сопоставление доменных групп с локальными ролями
# roleadd 'Domain Users' users
# roleadd 'Domain Admins' localadmins

Диагностика и устранение неполадок

Утилита diag-domain-client

# Установка
# apt-get install diag-domain-client

# Запуск всех тестов
$ diag-domain-client

# Запуск конкретного теста
$ diag-domain-client check_dns

# Подробный вывод в файл
$ diag-domain-client -v -w /var/log/domain-check.log

Частые проблемы и решения

Проблема Решение
getent не показывает доменных пользователей Проверьте sssd.conf, перезапустите systemctl restart sssd
Ошибка аутентификации Проверьте синхронизацию времени: chronyc tracking
Не разрешаются имена домена Убедитесь, что в /etc/resolv.conf указан DNS-сервер домена
Ошибка при вводе в домен Проверьте права учётной записи и доступность контроллера: nc -zv dc.domain.alt 88

Просмотр логов

# Логи SSSD
$ journalctl -u sssd -f

# Логи Samba/Winbind
$ journalctl -u winbind -f

# Логи Kerberos
$ cat /var/log/krb5kdc.log

Вывод машины из домена

# Через командную строку
# net ads leave -U administrator

# Через ЦУС:
# Аутентификация → переключить на «Локальная база» → восстановить конфиги по умолчанию

# Очистка кеша
# sss_cache -E  # для SSSD
# net cache flush  # для Winbind

# Удаление keytab
# rm /etc/krb5.keytab

Совет:

  • Для производственной среды рекомендуется использовать SSSD вместо Winbind из-за лучшего кеширования, поддержки офлайн-аутентификации и более гибкой настройки политик.
×

Полный размер Слайдшоу Предыдущий Следующий