Подробный гайд по вводу компьютера в домен Active Directory в Alt Linux с утилитой system-auth
Важное замечание по синтаксису:
В вашей команде присутствует параметр sub, который не является стандартным для system-auth write ad. Вероятно, вы имели в виду путь к подразделению (OU) или поддомену. В гайде корректный формат.
1. Подготовка системы (обязательно)
Перед выполнением команды убедитесь, что выполнены все требования инфраструктуры:
| Требование | Как проверить / настроить |
|---|---|
| Root-доступ | Выполняйте от root или через sudo -i |
| Пакеты AD-клиента | apt-get install alt-ad-client system-auth sssd krb5-workstation samba-common |
| Имя хоста | Должно совпадать с тем, что передаётся в команде. Проверьте: hostnamectl |
| DNS | /etc/resolv.conf должен указывать на контроллеры домена. nslookup domain.alt и nslookup _ldap._tcp.domain.alt должны возвращать DC |
| Синхронизация времени | Отклонение > 5 мин ломает Kerberos. chronyc tracking или systemctl status chronyd |
| Сеть и firewall | Открыты порты: 53 (TCP/UDP), 88, 135, 139, 389, 445, 636, 3268/3269, 1024-65535 (RPC) |
2. Разбор вашей команды
# ./system-auth write ad domain.alt super-long-hostname sub --netbiosname=short-host
| Часть | Значение | Примечание |
|---|---|---|
system-auth write ad |
Модуль записи конфигурации AD | Находится в пакете system-auth, обычно доступен в $PATH |
domain.alt |
FQDN домена AD | Должен резолвиться в DNS |
super-long-hostname |
Полное имя компьютера (FQDN) | Должно совпадать с выводом hostname -f |
sub |
Нестандартный параметр | Вероятно, вы имели в виду --ou="OU=Servers,DC=domain,DC=alt" |
--netbiosname=short-host |
NetBIOS-имя хоста | Максимум 15 символов, только A-Z, 0-9, - |
Корректный формат команды:
system-auth write ad domain.alt super-long-hostname.alt \
--netbiosname=short-host \
--ou="OU=Linux,DC=domain,DC=alt"
(Если компьютер должен попасть в контейнер по умолчанию, параметр --ou можно опустить.)
3. Пошаговое выполнение
Шаг 1. Очистка предыдущих настроек (если были попытки)
system-auth reset ad
Это удалит старые конфигурации SSSD, Kerberos и PAM, связанные с AD.
Шаг 2. Выполнение ввода в домен
system-auth write ad domain.alt super-long-hostname.alt \
--netbiosname=short-host \
--ou="OU=Linux,DC=domain,DC=alt"
Система запросит учётные данные пользователя с правами на добавление компьютеров в домен (обычно Administrator или делегированный сервисный аккаунт).
В процессе будут автоматически сгенерированы и записаны:
/etc/krb5.conf/etc/sssd/sssd.conf/etc/nsswitch.conf- PAM-конфиги (
/etc/pam.d/system-auth)
Шаг 3. Перезапуск служб
systemctl enable --now sssd
systemctl restart sssd
В Alt Linux system-auth не всегда автоматически перезапускает sssd. Выполните явно.
4. Проверка работоспособности
| Тест | Команда | Ожидаемый результат |
|---|---|---|
| Kerberos-тикет | kinit Administrator@DOMAIN.ALT → klist |
Тикет TGT получен |
| Доступ к домену | wbinfo -p / wbinfo -u |
Список пользователей домена |
| NSS-интеграция | getent passwd domain_user |
Строка с UID/GID доменного пользователя |
| Статус SSSD | systemctl status sssd |
active (running), без ошибок в логе |
| Доменная группа | id domain_user |
Видны дополнительные группы AD |
Тестовый вход:
Попробуйте зайти через SSH или TTY: ssh domain_user@localhost
5. Типовые ошибки и диагностика
| Симптом | Причина | Решение |
|---|---|---|
kinit: KDC has no support for encryption type |
Некорректный krb5.conf или старый DC |
В /etc/krb5.conf добавьте default_tgs_enctypes = aes256-cts-hmac-sha1-96 aes128-cts-hmac-sha1-96 |
SSSD[...]: Failed to connect to AD |
DNS не резолвит _ldap._tcp или порты закрыты |
Проверьте resolvectl status и telnet dc.domain.alt 389 |
NetBIOS name too long |
Имя > 15 символов | Сократите до short-host (макс. 15) |
User not found / getent пустой |
SSSD не обновил кэш или domain не указан в sssd.conf |
sss_cache -E, проверьте domains = domain.alt в [sssd] |
| Ошибка PAM при входе | Не подключён модуль pam_sss.so |
system-auth write ad должен сделать это автоматически. При необходимости: pam-config --add --sss |
Логи для отладки:
journalctl -u sssd -f
cat /var/log/sssd/sssd_domain.alt.log
6. Рекомендации по эксплуатации
- Резервное копирование: Сохраните
/etc/sssd/sssd.conf,/etc/krb5.conf,/etc/pam.d/system-authдо и после изменения. - Не редактируйте
sssd.confвручную без крайней необходимости:system-authможет перезаписать его при обновлении. - Обновление домена: При смене пароля сервисного аккаунта используйте
system-auth write ad ...повторно с--force. - Отключение от домена:
system-auth reset ad && systemctl restart sssd - Безопасность: Не используйте
Administratorдля повседневных операций. Настройте делегирование прав на OULinuxчерез ADUC илиdsacls.
7. Официальные источники Alt Linux
- Документация по AD:
https://www.altlinux.org/Active_Directory - Справка
system-auth:man system-auth - Настройка SSSD:
man sssd-ad,man sssd.conf - База знаний Alt Linux:
https://wiki.altlinux.org/
Информация предоставлена в ознакомительных целях. Применение описанных настроек в системах, должно осуществляться только после согласования с ответственными за информационную безопасность и в соответствии с требованиями ФСТЭК, ФСБ и иных уполномоченных органов.